Umsetzungshinweise zu GDPR anhand von Informationen des SECO
In meinem Blog-Beitrag "Technische Umsetzung von GDPR" habe ich beschrieben, wie ein pragmatisches Vorgehen betreffend GDPR vorgenommen werden könnte. Am Schluss wurden auf die Umsetzungshinweise des SECO (Staatssekretariat für Wirtschaft ) hingewiesen.
In diesem zweiten Artikel werden die darin enthaltenen sieben Punkte aufgelistet und mit eigenen Informationen und Erkenntnissen ergänzt. Wichtig ist einmal mehr, dass die nun folgenden Informationen als Praxistipps eines Technikers und nicht als juristisch wasserdichte Infos eines Anwalts verstanden werden.
Zusätzliche IT Pflichten aufgrund GDPR für Schweizer Unternehmen
Das SECO hat also das erwähnte GDPR-Delta für Schweizer Unternehmen in sieben Punkten zusammengefasst, die unter diesem Link publiziert sind.
Die darin vorhandenen Überschriften der sieben Punkte zu GDPR und Schweiz sind im folgenden Text übernommen und mit eigenen „Praxis-Kommentaren“ ergänzt:
1. Informieren und die Einwilligung der betroffenen Person einholen
Wenn die Bearbeitung von Personendaten beispielsweise per Gesetz oder zur Vertragserfüllung nicht bereits erlaubt ist, muss bei der betroffenen Person eine Einwilligung eingeholt werden. Dabei ist verständlich und vollständig zu informieren, unter anderem auch über Zweck der Datenbearbeitung sowie über eine allfällige Weitergabe der Daten an Dritte. Diese Pflicht besteht grundsätzlich bereits im aktuellen Schweizer Datenschutzgesetz. Eine Firma muss nun aber diese Einwilligung jederzeit nachweisen können. Eine stillschweigende Zustimmung zu datenschutzrelevanten Vorgängen ist zudem nicht mehr wirksam. Auch muss die Einwilligung durch die betroffene Person jederzeit widerrufbar sein.
Das SECO hat also das erwähnte GDPR-Delta für Schweizer Unternehmen in sieben Punkten zusammengefasst, die unter diesem Link publiziert sind.
Die darin vorhandenen Überschriften der sieben Punkte zu GDPR und Schweiz sind im folgenden Text übernommen und mit eigenen „Praxis-Kommentaren“ ergänzt:
1. Informieren und die Einwilligung der betroffenen Person einholen
Wenn die Bearbeitung von Personendaten beispielsweise per Gesetz oder zur Vertragserfüllung nicht bereits erlaubt ist, muss bei der betroffenen Person eine Einwilligung eingeholt werden. Dabei ist verständlich und vollständig zu informieren, unter anderem auch über Zweck der Datenbearbeitung sowie über eine allfällige Weitergabe der Daten an Dritte. Diese Pflicht besteht grundsätzlich bereits im aktuellen Schweizer Datenschutzgesetz. Eine Firma muss nun aber diese Einwilligung jederzeit nachweisen können. Eine stillschweigende Zustimmung zu datenschutzrelevanten Vorgängen ist zudem nicht mehr wirksam. Auch muss die Einwilligung durch die betroffene Person jederzeit widerrufbar sein.
2. "Privacy by design" und "Privacy by default" gewährleisten
Diese Punkte enthalten noch einiges an Spezifizierungspotential. Grundsätzlich sind Datenverarbeitende Unternehmungen mit dem Punkt „Privacy by Design“ dazu angehalten, bereits während Design und Entwicklung ihrer Anwendung den Schutz von Personendaten mit einzubeziehen. Beispielsweise müssen während des Designs die mit GDPR verlangten umfangreichen Auskunfts- und Löschrechte von betroffenen Personen berücksichtigt und zur Implementierung vorgesehen werden. Zudem lassen sich für IT Projekte in diesem Punkt auch technische Selbstverständlichkeiten wie Verschlüsselung der Datenübertragung oder angemessene Datensicherheit unterbringen.
Gemäss „Privacy by Default“ muss dem User die Nutzung der Anwendung so zur Verfügung gestellt werden, dass er bei erstmaliger Verwendung nicht zuerst alle Lücken selber erkennen und schliessen muss. Der maximale Schutz seiner Privatsphäre soll also bereits ohne zusätzliche Konfigurationsschritte gewährleistet sein.
Diese Punkte enthalten noch einiges an Spezifizierungspotential. Grundsätzlich sind Datenverarbeitende Unternehmungen mit dem Punkt „Privacy by Design“ dazu angehalten, bereits während Design und Entwicklung ihrer Anwendung den Schutz von Personendaten mit einzubeziehen. Beispielsweise müssen während des Designs die mit GDPR verlangten umfangreichen Auskunfts- und Löschrechte von betroffenen Personen berücksichtigt und zur Implementierung vorgesehen werden. Zudem lassen sich für IT Projekte in diesem Punkt auch technische Selbstverständlichkeiten wie Verschlüsselung der Datenübertragung oder angemessene Datensicherheit unterbringen.
Gemäss „Privacy by Default“ muss dem User die Nutzung der Anwendung so zur Verfügung gestellt werden, dass er bei erstmaliger Verwendung nicht zuerst alle Lücken selber erkennen und schliessen muss. Der maximale Schutz seiner Privatsphäre soll also bereits ohne zusätzliche Konfigurationsschritte gewährleistet sein.
3. Einen Vertreter in der EU ernennen
Ein Datenschutz-Vertreter in der EU dient dazu, dass behördliche Aufsichtspersonen in der Union vor Ort einen Ansprechpartner zur Verfügung haben, der alle Datenschutz relevanten Informationen bezüglich Schweizer Unternehmungen auf Anforderung bereitstellen kann. Dieser Vertreter muss bei Bedarf bei seiner beauftragenden Unternehmung die benötigten Informationen abholen und weiterleiten können. Schweizer KMU werden diese Anforderung möglicherweise an spezialisierte Unternehmungen in der EU delegieren. Beispielsweise ist unter https://www.datenschutzpartner.ch/ ein entsprechendes Angebot verfügbar. Auf dieser Webseite ist auch ein einfacher Fragebogen vorhanden, mit dem sich prüfen lässt, ob ein Datenschutz-Vertreter in der EU tatsächlich nötig ist.
Ein Datenschutz-Vertreter in der EU dient dazu, dass behördliche Aufsichtspersonen in der Union vor Ort einen Ansprechpartner zur Verfügung haben, der alle Datenschutz relevanten Informationen bezüglich Schweizer Unternehmungen auf Anforderung bereitstellen kann. Dieser Vertreter muss bei Bedarf bei seiner beauftragenden Unternehmung die benötigten Informationen abholen und weiterleiten können. Schweizer KMU werden diese Anforderung möglicherweise an spezialisierte Unternehmungen in der EU delegieren. Beispielsweise ist unter https://www.datenschutzpartner.ch/ ein entsprechendes Angebot verfügbar. Auf dieser Webseite ist auch ein einfacher Fragebogen vorhanden, mit dem sich prüfen lässt, ob ein Datenschutz-Vertreter in der EU tatsächlich nötig ist.
4. Ein Verzeichnis der Verarbeitungstätigkeiten erstellen
Geschäftsabläufe, worin personenbezogene Daten verarbeitet werden, müssen in ein Prozessverzeichnis aufgenommen und darin gepflegt werden. Im Verzeichnis sind unter anderem die Rechtsgrundlagen der Bearbeitung, der Zweck der Bearbeitung sowie Löschfristen aufzuführen. Ziel eines solchen Verzeichnisses ist, dass jederzeit nachvollzogen werden kann, wo und wie welche Personendaten bearbeitet und weitergeleitet werden. Gemäss der in GDPR enthaltenen Rechenschaftspflicht muss ein Unternehmen die Einhaltung der Vorschriften nachweisen können, entsprechend sind datenschutzrelevante Abläufe zu dokumentieren und aufzuzeichnen.
Geschäftsabläufe, worin personenbezogene Daten verarbeitet werden, müssen in ein Prozessverzeichnis aufgenommen und darin gepflegt werden. Im Verzeichnis sind unter anderem die Rechtsgrundlagen der Bearbeitung, der Zweck der Bearbeitung sowie Löschfristen aufzuführen. Ziel eines solchen Verzeichnisses ist, dass jederzeit nachvollzogen werden kann, wo und wie welche Personendaten bearbeitet und weitergeleitet werden. Gemäss der in GDPR enthaltenen Rechenschaftspflicht muss ein Unternehmen die Einhaltung der Vorschriften nachweisen können, entsprechend sind datenschutzrelevante Abläufe zu dokumentieren und aufzuzeichnen.
5. Verstösse gegen den Datenschutz an die Aufsichtsbehörde melden
Auch in diesem Punkt sind Unternehmungen gegenüber dem geltenden Schweizer DSG in Zukunft stärker gefordert: Tritt eine Datenschutzverletzung auf, beispielsweise gestohlene Personendaten, bei der die Betroffenen mit negativen Folgen rechnen müssen, ist innerhalb von höchstens 72 Stunden die zuständige Behörde zu informieren. Dabei sind unter anderem die Art der Verletzung sowie die Anzahl der betroffenen Personen anzugeben. Auch müssen mögliche Folgen und vorgeschlagene Massnahmen zur Behebung gemeldet werden. Besteht durch die Verletzung zudem ein hohes persönliches Risiko für die betroffenen Personen, müssen diese auch noch direkt und unverzüglich darüber informiert werden.
Auch in diesem Punkt sind Unternehmungen gegenüber dem geltenden Schweizer DSG in Zukunft stärker gefordert: Tritt eine Datenschutzverletzung auf, beispielsweise gestohlene Personendaten, bei der die Betroffenen mit negativen Folgen rechnen müssen, ist innerhalb von höchstens 72 Stunden die zuständige Behörde zu informieren. Dabei sind unter anderem die Art der Verletzung sowie die Anzahl der betroffenen Personen anzugeben. Auch müssen mögliche Folgen und vorgeschlagene Massnahmen zur Behebung gemeldet werden. Besteht durch die Verletzung zudem ein hohes persönliches Risiko für die betroffenen Personen, müssen diese auch noch direkt und unverzüglich darüber informiert werden.
6. Eine Datenschutz-Folgenabschätzung durchführen
Diese Anforderung gilt, wenn die „Datenverarbeitung ein hohes Risiko mit sich bringt, dass Rechte und Freiheiten verletzt werden.“ Beispielsweise trifft das zu, wenn medizinische Informationen verarbeitet werden. Da besteht grundsätzlich die Gefahr, dass solche Daten entwendet und damit sehr persönliche Informationen in falsche Hände geraten können. Für solche und ähnliche Fälle ist deshalb eine Folgeabschätzung vorzunehmen. Darin sind die besonderen Eigenheiten der jeweiligen Datenverarbeitung und die damit verbundenen Risiken aufzuführen. Es sind auch Eintrittswahrscheinlichkeiten und mögliche Auswirkungen der Datenschutzverletzungen zu beschreiben. Schliesslich muss aufgeführt werden, mit welchen Massnahmen die vorhandenen Risiken minimiert und die GDPR Vorschriften eingehalten werden können.
Diese Anforderung gilt, wenn die „Datenverarbeitung ein hohes Risiko mit sich bringt, dass Rechte und Freiheiten verletzt werden.“ Beispielsweise trifft das zu, wenn medizinische Informationen verarbeitet werden. Da besteht grundsätzlich die Gefahr, dass solche Daten entwendet und damit sehr persönliche Informationen in falsche Hände geraten können. Für solche und ähnliche Fälle ist deshalb eine Folgeabschätzung vorzunehmen. Darin sind die besonderen Eigenheiten der jeweiligen Datenverarbeitung und die damit verbundenen Risiken aufzuführen. Es sind auch Eintrittswahrscheinlichkeiten und mögliche Auswirkungen der Datenschutzverletzungen zu beschreiben. Schliesslich muss aufgeführt werden, mit welchen Massnahmen die vorhandenen Risiken minimiert und die GDPR Vorschriften eingehalten werden können.
7. Bei Verstössen gegen die DSGVO Geldbussen zahlen
Das Thema DSGVO / GDPR hat unter anderem auch deshalb grosse Resonanz gefunden, weil die maximalen Strafen bei Verletzung der Datenschutzgesetze so hoch angesetzt wurden, dass sie „weh tun“ und nicht aus der Portokasse bezahlt werden können. Damit will der EU Gesetzgeber sicherstellen, dass GDPR ernst genommen und breit befolgt wird.
Das Thema DSGVO / GDPR hat unter anderem auch deshalb grosse Resonanz gefunden, weil die maximalen Strafen bei Verletzung der Datenschutzgesetze so hoch angesetzt wurden, dass sie „weh tun“ und nicht aus der Portokasse bezahlt werden können. Damit will der EU Gesetzgeber sicherstellen, dass GDPR ernst genommen und breit befolgt wird.
Damit sind meine ersten Blog-Gedanken zu GDPR und IT Praxis formuliert. Weitere Beiträge zu einzelnen GDPR Themen werden folgen.