16. April 2018

DSGVO – die Zeit drängt

Am 25. Mai 2018 ist es so weit: Die Umsetzungsfrist der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) läuft ab und die DSGVO entfaltet direkte Wirkung. Wer Waren oder Dienstleistungen in die EU anbietet oder Personendaten in der EU verarbeitet, unterliegt der EU DSGVO.

Wer sich noch nicht mit der Implementierung der EU DSGVO beschäftigt hat, sollte dies raschmöglichst tun, denn der Grossteil der Schweizer KMU ist davon betroffen – und bei fehlender Konformität oder Datenschutzverletzungen drohen Bussen in Millionenhöhe. Eine Datenschutzverletzung kann vorliegen, wenn eine unbefugte Person sich Zugang zu Personendaten verschafft, Personendaten ungewollt gelöscht werden oder beispielsweise Datenträger verloren gehen etc.

Die Unternehmen haben die Pflicht, innert 72 Stunden seit ihrer Entdeckung die Datenschutzverletzung der zuständigen Aufsichtsbehörde zu melden. In einem weiteren Schritt könnte das Unternehmen angehalten werden, die betroffenen Personen über die Datenschutzverletzung zu informieren. Diese Frist ist denkbar knapp. Im Vordergrund steht deshalb, das Szenario einer Datenschutzverletzung in die Disaster Recovery Prozesse respektive die Business Continuity Prozesse zu integrieren respektive diese anzupassen und zu ergänzen. Kommt es zu einer Datenschutzverletzung, bleibt keine Zeit, die eigene Notfall-Organisation aufzubauen, Kommunikationskonzepte zu erstellen oder Ansprechstellen für Kunden zu implementieren. Organisation und Prozesse müssen bereit sein, um im Falle einer Datenschutzverletzung umgehend agieren zu können.

Unternehmen  – KMU und Grossunternehmen – sollten im Hinblick auf mögliche Datenschutzverletzung vier Massnahmen treffen:

  1. Risiken evaluieren hinsichtlich einer möglichen Datenschutzverletzung (Risiko-basierter Ansatz)
  2. Ansprechpartner, Kunden und Dienstleister einbinden und vertraglich zur Kooperation in Datenschutzverletzungen verpflichten
  3. Prozess einer Datenschutzverletzung definieren, Verantwortliche nennen, Kontaktangaben der Ansprechpartner bei Kunden, Dienstleistern und ad-hoc benötigte Spezialisten (IT-Security Experten und Forensiker, Kommunikationsagentur, Rechtsanwälte etc.) und zuständige Aufsichtsbehörden bereithalten, Datenschutzverletzung intern üben.

Als vorbeugende Massnahme sollten sich Unternehmen sich ein klares Bild ihrer Datenverarbeitungsprozesse machen. Dabei gilt es die Risiken zu definieren, welche mit der Bearbeitung der Personendaten einhergehen: Entscheidend ist die Sensibilität der bearbeiteten Personendaten, die Art und Weise der Bearbeitung, die involvierten (externen) Partner – massgebend ist das Risiko einer Datenschutzverletzung für die betroffene Person, d.h. die Person, über welche personenbezogene Daten bearbeitet werden. Die Risiken sind in der Folge in Bezug auf ihre Eintretenswahrscheinlichkeit und die Schadensausmass für die betroffene Person im Verletzungsfalle zu kategorisieren und priorisieren.

Im Rahmen der Implementierung der Prozesse im Falle von Datenschutzverletzungen ist festzulegen, wer im Fall der Datenschutzverletzung die internen Verantwortlichen sind. Innerhalb vertraglicher Beziehungen stehen Zulieferer und Kunden im Fokus. Ad-hoc Unterstützung von ICT-, Kommunikations- und Rechtsexperten soll im Vorfeld mittels Dienstleistungserträgen organisiert werden. Schliesslich müssen die zuständigen Aufsichtsbehörden in geeigneter Form, innert vorgegebener Frist von der verantwortlichen Person informiert sein. Und ohne Übung kein Erfolg im Ernstfall – Test Cases sollten in jedem Fall durchgespielt werden.

Datenschutzverletzungen können jederzeit passieren und jedes Unternehmen treffen. Unternehmen, die nicht gerüstet sind und sich nicht um die Einhaltung der Informations- und Dokumentationspflichten gemäss EU DSGVO kümmern, gehen das Risiko hoher Bussen und Reputationsverluste ein – in der EU, und zukünftig auch in der Schweiz mit dem revidierten Datenschutzgesetz. Höchste Zeit also, sich mit diesem Thema zu befassen.

 

Disclaimer:

Diese Kolumne erschien erstmals in der «Computerworld» Nr. 04/2018. swissICT berichtet in der Kolumne «Recht & IT» mehrmals jährlich über aktuelle juristische Themen im digitalen Bereich.

 

Zum Autor:

Carmen de la Cruz, sie ist Co-Leiterin der Rechtskommission von swissICT und Rechtsanwältin/Partnerin bei de la cruz beranek Rechtsanwälte AG.

Autor:in

Rechtskommission

Zum Kurzporträt der Fachgruppe.
Mehr erfahren

Ähnliche Artikel

Cyberattacken – Meldung bei den Behörden?

16. März 2019:

Risiken durch Cyberangriffe auf Schweizer Unternehmen sowie deren Top-Management nehmen stetig zu. Für Unternehmen ist die Frage nach dem rechtlichen Handlungsbedarf im Ernstfall daher von grosser Wichtigkeit.

Zum Artikel

DSGVO-Sanktionen – ein Fall für die Versicherung?

16. Mai 2018:

Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung in Kraft. Verstösse gegen den Datenschutz können dann mit saftigen Bussen sanktioniert werden.

Zum Artikel

:
Zum Artikel

Mit Ihrem Besuch auf unserer Website stimmen Sie unserer Datenschutzerklärung und der Verwendung von Cookies zu. Dies erlaubt uns unsere Services weiter für Sie zu verbessern. Datenschutzerklärung

OK