EU-Datenschutz-Grundverordnung (DSGVO) – die Zeit läuft
Am 25. Mai 2018 wird die Europäische Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar. Die Verordnung regelt die Verarbeitung personenbezogener Daten und gilt weit über die EU hinaus. Einerseits sind Schweizer Unternehmen mit einer Niederlassung in der EU betroffen (Art. 3 Abs. 1 DSGVO). Die Verordnung umfasst aber entsprechend dem Marktortprinzip auch Firmen, die betroffenen Personen in der Union Waren oder Dienstleistungen anbieten (Art. 3 Abs. 2a) oder Verhalten von betroffenen Personen in der EU beobachten (Art. 3 Abs. 2b). Aufgrund dieser umfassenden Regelung gehen Schätzungen davon aus, dass bis zu ¾ aller Schweizer Unternehmen betroffen sind. Hinzu kommt, dass die derzeit laufende Revision des Schweizer Bundesgesetzes über den Datenschutz (DSG) voraussichtlich zahlreiche Elemente aus der DSGVO übernehmen wird.
Die EU meint es ernst: Bei Nichteinhaltung der neuen Regelungen müssen Unternehmen mit hohen Bussgeldern von bis zu 4% ihres globalen Jahresumsatzes bzw. 20 Mio. Euro rechnen.
Es bleibt daher nicht mehr viel Zeit, sich auf die DSGVO vorzubereiten. Einige der zentralen Fragen, die Unternehmen beantworten müssen, sind:
- Inwieweit und in welchen Bereichen sind wir durch die DSGVO betroffen?
- Gewährleisten unsere Prozesse die Rechte der betroffenen Personen, beispielsweise auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17) oder Datenübertragung (Art. 20)?
- Verfügen wir über ein Verzeichnis der Verarbeitungstätigkeit gemäss Art. 30 DSGVO?
- Benötigen wir einen Datenschutzbeauftragten gemäss Art. 37 DSGVO?
- Benötigen wir einen EU-Vertreter gemäss Art. 27 DSGVO?
- Haben wir geeignete technische und organisatorische Massnahmen ergriffen, um die Sicherheit personenbezogener Daten gemäss Art. 32 DSGVO zu gewährleisten?
- Gewährleisten unsere Prozesse und Systeme den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)?
- Sind wir im Fall der Verletzung des Schutzes personenbezogener Daten in der Lage, dies binnen 72 Stunden an die Aufsichtsbehörden (Art. 33 DSGVO) oder, bei hohem Risiko, an die betroffenen Personen (Art. 34 DSGVO) zu melden?
- Wann müssen wir eine Datenschutzfolgeabschätzung durchführen (Art. 35, 36 DSGVO)?
Als unabhängiges Schweizer Beratungsunternehmen für Informationstechnologie kann Eraneos Unternehmen und Organisationen bei der Umsetzung von Massnahmen zur Erfüllung der Anforderungen der EU-DSGVO wie folgt unterstützen:
- Durchführung eines Readiness Assessments zur Identifikation von Schlüsselrisiken und Priorisierung von Handlungsfeldern
- Erstellung eines Dateninventars zwecks Identifikation betroffener Bereiche und zur Erstellung eines Verzeichnisses zu Verarbeitungstätigkeiten (Art. 30 DSGVO)
- Prozessanalyse und Prozessdesign hinsichtlich Auskunftsrechten, Löschung, Portierung (Art. 12-21), Privacy by Design & Default (Art. 25) oder Datenschutzfolgeabschätzung (Art. 35)
- EU-DSGVO konforme Evaluation von Auftragsverarbeitern (Art. 28)
- IT-Sicherheitsaudit und Risikoanalyse von Datenschutzverletzungen (Art. 32)