\u00fcberhaupt von der EU-DSGVO betroffen sein wird<\/a>. Ist dies der Fall, m\u00fcssen alle relevanten Informationen zur neuen Regulierung zusammengetragen werden, um sich auf die Umsetzung vorzubereiten. Hierzu sind u.a. folgende Fragen zu beantworten: Wie sieht das Recht heute aus? Was wird neu gelten? Was \u00e4ndert sich? Welche Verordnungsartikel betreffen uns? Welche Massnahmen m\u00fcssen bzw. k\u00f6nnen ergriffen werden?<\/p>\nIn einem zweiten Schritt m\u00fcssen alle vorhandenen internen Prozesse, die personenbezogene Daten (diese umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare nat\u00fcrliche Person beziehen) betreffen, eruiert werden. Auch potentielle neue Prozesse m\u00fcssen, soweit m\u00f6glich, bereits abgesch\u00e4tzt und erfasst werden. Ziel ist es, k\u00fcnftig zum Beispiel die Meldepflicht bei einer Datenschutzverletzung akkurat und innert n\u00fctzlicher Frist (max. 72 Stunden) oder die L\u00f6schungspflicht (Recht auf Vergessen) erf\u00fcllen zu k\u00f6nnen. Die gesammelten Informationen \u00fcber die neue Regulierung und \u00fcber erforderliche und m\u00f6gliche Massnahmen zu s\u00e4mtlichen bisherigen und neuen Prozessen sind dann bspw. in einem Umsetzungsmanual einander gegen\u00fcberzustellen, sodass jeder Mitarbeiter m\u00f6gliche Pflichten und Massnahmen f\u00fcr sich oder seinen Bereich daraus ableiten kann. Dieses Manual kann ausserdem Teil des internen Quality-Managements werden, dessen Umsetzung mittels Kontrollmechanismen sichergestellt wird. Die Bearbeitung personenbezogener Daten muss dokumentiert werden und untersteht einer verantwortlichen Person. All diese Informationen k\u00f6nnen tabellenartig in diesem Umsetzungsmanual verankert werden.<\/p>\n
Damit das ganze Team bzw. Unternehmen auf dem neusten Stand ist, gilt es, eine Schulung durchzuf\u00fchren, in welcher das Manual vorgestellt und dessen Anwendung erl\u00e4utert wird.<\/p>\n
Was sind die Sofortmassnahmen?<\/strong><\/h3>\nNeben den ebengenannten Unterlagen und Schulungen m\u00fcssen weitere Massnahmen ergriffen werden. So ist es zum Beispiel zentral, dass bereits vorhandene Daten analysiert werden. Mit anderen Worten: Es gilt sicherzustellen, dass personenbezogene Daten nur zu einem bestimmten Zweck und mit der Zustimmung der betroffenen Person erfasst werden. Minimalismus ist hier das Zauberwort. Nur diejenigen Daten, welche wirklich erforderlich sind, d\u00fcrfen erhoben werden. Dar\u00fcber hinaus gehende Informationen sollten nicht abgefragt werden.<\/p>\n
Ferner m\u00fcssen \u2013 sofern das Unternehmen von diesen Gesetzesbestimmungen betroffen ist \u2013 sowohl ein interner Datenschutzbeauftragter sowie unter Umst\u00e4nden ein europ\u00e4ischer Datenschutzvertreter ernannt werden. Ersterer soll als Kompetenzzentrum innerhalb eines Unternehmens agieren und die regulierungskonforme Datenverarbeitung \u00fcberwachen sowie als Anlaufstelle bei Unklarheiten dienen. Letzterer soll Anlaufstelle f\u00fcr europ\u00e4ische Beh\u00f6rden sein, welche mit dem Unternehmen in Kontakt treten m\u00f6chten. Diese Position ist lediglich dann zu besetzen, wenn das Unternehmen keine europ\u00e4ische Niederlassung und deshalb auch keine Ansprechperson im europ\u00e4ischen Raum hat.<\/p>\n
Was passiert, wenn die EU-DSGVO nicht eingehalten wird?<\/strong><\/h3>\nDie neuen Sanktionen sind harsch und einschneidend, drohen doch Bussen bis zu EUR 20 Mio. bzw. 4% des weltweiten Jahresumsatzes, wobei der jeweils h\u00f6here (!) Betrag zur Anwendung gelangt. Dar\u00fcber hinaus besteht f\u00fcr das betroffene Unternehmen ein massives Risiko von Reputationssch\u00e4den.<\/p>\n
Wie die Durchsetzung und Vollstreckung dieser europ\u00e4ischen Regulierung im Einzelnen aussehen wird, muss sich in Pr\u00e4zedenzf\u00e4llen erst noch zeigen. Unter Umst\u00e4nden werden Schweizer Beh\u00f6rden gegebenenfalls wohl auch Amtshilfe leisten m\u00fcssen.<\/p>\n
M\u00f6gliche weitere Massnahmen<\/strong><\/h3>\nAls weitere m\u00f6gliche Massnahmen k\u00f6nnten unter anderem die Pseudonymisierung und Verschl\u00fcsselung der Daten in Erw\u00e4gung gezogen werden, insbesondere dann, wenn es sich um besonders sch\u00fctzenswerte Daten handelt. Ferner m\u00fcssen die Vertraulichkeit, Integrit\u00e4t, Verf\u00fcgbarkeit und Widerstandsf\u00e4higkeit der Daten und der Datenverarbeitung in einem Unternehmen gew\u00e4hrleistet werden, unter anderem durch eine beschr\u00e4nkte Zugangsfreigabe oder einen Virenschutz. Damit diese Massnahmen stets aktuell bleiben, ist ausserdem eine regelm\u00e4ssige \u00dcberpr\u00fcfung, Messung und Bewertung der Wirksamkeit der Massnahmen zur Gew\u00e4hrung der Sicherheit empfehlenswert. Wie oft diese \u00dcberpr\u00fcfung und wie umfassend diese Schutzmassnahmen sein m\u00fcssen, h\u00e4ngt von der Sensitivit\u00e4t der Daten ab und bedarf einer Beurteilung im jeweiligen Einzelfall.<\/p>\n
Schlussgedanke<\/strong><\/h3>\nAbschliessend ist festzuhalten, dass durch die Digitalisierung viele neue Gefahren und M\u00f6glichkeiten f\u00fcr den Missbrauch von Daten geschaffen werden. Es ist deshalb wichtig, dass jeder gesch\u00fctzt wird, zum Teil auch vor sich selbst. Denn es kommt nicht selten vor, dass betroffene Personen das Ausmass und die Gefahren einer autorisierten Weiter- oder Freigabe ihrer Daten im Netz nicht gen\u00fcgend einsch\u00e4tzen k\u00f6nnen. Dennoch scheint mir die vorliegende europ\u00e4ische L\u00f6sung in Bezug auf den dadurch entstehenden b\u00fcrokratischen Aufwand etwas \u00fcber das Ziel hinauszuschiessen \u2013 insbesondere in Bezug auf die hohen Bussen. Wir d\u00fcrfen gespannt bleiben, wie die Schweizer Gesetzgebung diesem Problem begegnet und den Inhalt der EU-DSGVO in die Revision des Datenschutzgesetzes einfliessen lassen wird.<\/p>\n
<\/p>\n
Bild: Istockphotos<\/em><\/p>\n <\/p>\n\n