EU-Datenschutz-Grundverordnung (DSGVO) – die Zeit läuft

Am 25. Mai 2018 wird die Europäische Datenschutz-Grund­ver­ord­nung (DSGVO) unmittelbar anwendbar. Die Verordnung regelt die Verarbeitung per­so­nen­be­zo­ge­ner Daten und gilt weit über die EU hinaus. Einerseits sind Schweizer Unternehmen mit einer Niederlassung in der EU betroffen (Art. 3 Abs. 1 DSGVO). Die Verordnung umfasst aber entsprechend dem Markt­ort­prin­zip auch Firmen, die betroffenen Personen in der Union Waren oder Dienst­leis­tun­gen anbieten (Art. 3 Abs. 2a) oder Verhalten von betroffenen Personen in der EU beobachten (Art. 3 Abs. 2b). Aufgrund dieser umfassenden Regelung gehen Schätzungen davon aus, dass bis zu ¾ aller Schweizer Unternehmen betroffen sind. Hinzu kommt, dass die derzeit laufende Revision des Schweizer Bundesgesetzes über den Datenschutz (DSG) vor­aus­sicht­lich zahlreiche Elemente aus der DSGVO übernehmen wird.

Die EU meint es ernst: Bei Nicht­ein­hal­tung der neuen Regelungen müssen Unternehmen mit hohen Bussgeldern von bis zu 4% ihres globalen Jahresumsatzes bzw. 20 Mio. Euro rechnen.

Es bleibt daher nicht mehr viel Zeit, sich auf die DSGVO vorzubereiten. Einige der zentralen Fragen, die Unternehmen beantworten müssen, sind:

• Inwieweit und in welchen Bereichen sind wir durch die DSGVO betroffen?
• Gewährleisten unsere Prozesse die Rechte der betroffenen Personen, beispielsweise auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17) oder Da­ten­über­tra­gung (Art. 20)?
• Verfügen wir über ein Verzeichnis der Ver­ar­bei­tungs­tä­tig­keit gemäss Art. 30 DSGVO?
• Benötigen wir einen Da­ten­schutz­be­auf­trag­ten gemäss Art. 37 DSGVO?
• Benötigen wir einen EU-Vertreter gemäss Art. 27 DSGVO?
• Haben wir geeignete technische und or­ga­ni­sa­to­ri­sche Massnahmen ergriffen, um die Sicherheit per­so­nen­be­zo­ge­ner Daten gemäss Art. 32 DSGVO zu gewährleisten?
• Gewährleisten unsere Prozesse und Systeme den Datenschutz durch Tech­nik­ge­stal­tung und durch da­ten­schutz­freund­li­che Vor­ein­stel­lun­gen (Art. 25 DSGVO)?
• Sind wir im Fall der Verletzung des Schutzes per­so­nen­be­zo­ge­ner Daten in der Lage, dies binnen 72 Stunden an die Auf­sichts­be­hör­den (Art. 33 DSGVO) oder, bei hohem Risiko, an die betroffenen Personen (Art. 34 DSGVO) zu melden?
• Wann müssen wir eine Da­ten­schutz­fol­ge­ab­schät­zung durchführen (Art. 35, 36 DSGVO)?

Als unabhängiges Schweizer Be­ra­tungs­un­ter­neh­men für In­for­ma­ti­ons­tech­no­lo­gie kann Eraneos Unternehmen und Organisationen bei der Umsetzung von Massnahmen zur Erfüllung der Anforderungen der EU-DSGVO wie folgt unterstützen:

• Durchführung eines  Readiness Assessments  zur Identifikation von Schlüs­sel­ri­si­ken und Priorisierung von Hand­lungs­fel­dern
• Erstellung eines  Dateninventars  zwecks Identifikation betroffener Bereiche und zur Erstellung eines Verzeichnisses zu Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 DSGVO)
• Prozessanalyse und Prozessdesign  hinsichtlich Aus­kunfts­rech­ten, Löschung, Portierung (Art. 12-21), Privacy by Design & Default (Art. 25) oder Da­ten­schutz­fol­ge­ab­schät­zung (Art. 35)
• EU-DSGVO konforme  Evaluation von Auf­trags­ver­ar­bei­tern  (Art. 28)
• IT-Si­cher­heits­au­dit und Risikoanalyse  von Da­ten­schutz­ver­let­zun­gen (Art. 32)

Bitte wenden Sie sich bei Fragen und Anliegen zu diesem Thema an Adrian Marti, Bereichsleiter Cyber Security & Privacy (adrian.marti@awk.ch, +41 58 411 97 67).