Security News

Die Europäische Datenschutz-Grundverordnung (DSGVO) – auch für die Schweiz relevant


Ein Überblick

Es dauert weniger als ein Jahr – bis zum 25. Mai 2018 – und die DSGVO muss verbindlich umgesetzt worden sein. Obwohl die DSGVO schon 2 Jahre zuvor in Kraft gesetzt worden ist (damit Unternehmen genügend Zeit haben, ihre Datenschutzvorgaben und entsprechende Prozesse der neuen Gesetzeslage anzupassen), zeigen verschiedene aktuelle Umfragen jedoch, dass selbst in Ländern der EU nur ein geringer Prozentsatz der befragten Unternehmen diese bereits umgesetzt hat oder der Meinung ist, bis zum Stichdatum die DSGVO umgesetzt zu haben.

 

Obwohl die Europäische Datenschutz-Grundverordnung ein Gesetzestext der EU ist, so hat er doch auch Einfluss auf die Tätigkeiten und Prozesse schweizerischer Unternehmungen. Um eventuell betroffenen Unternehmen und Organisationen einen Überblick geben zu können und Hinweise darauf, wo möglicherweise Handlungsbedarf besteht, haben wir im Folgenden einige Informationen für Sie zusammengestellt.

 

1 Die Grundlage für die Schweiz

Die Anwendbarkeit der DSGVO ergibt sich primär aus Art. 3, der wie folgt lautet:

Räumlicher Anwendungsbereich

1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts   dem Recht eines Mitgliedstaats unterliegt.

 

2 Datenschutzverhältnis Schweiz und EU

Zwar ähnelt die DSGVO in ihrem Regelungskern in Teilen den Vorschriften des schweizerischen Datenschutzgesetzes (DSG), gleichwohl sind aber eine Reihe von Änderungen und Zusätzen zu beachten, die die betroffenen Schweizer Unternehmen schnell in Zugzwang bringen können.

Ein Unsicherheitsfaktor ist hierbei, dass die momentan anstehende Totalrevision des DSG unter anderem den Zweck hat, die aus der DSGVO entstehenden Anforderungen abzudecken, damit die Schweiz den Status eines Landes mit gleichwertigem Datenschutz behalten kann, und so weiterhin die Daten wie anhin zwischen der Schweiz und der EU fliessen können. Zurzeit ist jedoch nicht abzusehen, wann das totalrevidierte DSG tatsächlich verabschiedet bzw. in Kraft gesetzt werden wird und ab wann es umzusetzen ist. Mithin besteht derzeit keine eindeutige und konsistente Rechtslage als Blaupause, nach der schweizerische Unternehmen die Umsetzung der DSGVO verfolgen könnten.

Dennoch raten wir Unternehmen dazu, nicht abzuwarten, sondern jetzt zu handeln! Obwohl nicht davon auszugehen ist, dass ab dem 29. Mai 2018 diesbezügliche Strafverfahren eingeleitet werden, ist nicht zu ignorieren, dass neu die Nichteinhaltung der DSGVO-Vorschriften sehr kostspielig werden kann: nach Art. 83 DSGVO kann die Busse bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder, falls höher, bis zu 20 Mio. € betragen.

 

3 Was sind die wesentlichen Anforderungen der DSGVO?

1. Geltungsbereich
Die DSGVO ist auf Personendaten anwendbar. Es ist aber der vorhin erwähnte Artikel 3 nicht zu vergessen, der jetzt das Marktortprinzip statuiert. Dies heisst, dass global alle Unternehmen die DSGVO zu beachten haben, die in der EU geschäftlich tätig sind und dabei persönliche Daten oder Daten einer bestimmbaren Person sammeln bzw. verarbeiten.

2. Rechenschaftspflicht und Transparenz durch Dokumentation
Die Stärkung der Rechte der Datensubjekte ist eines der Hauptziele der DSGVO. Aus diesem Grund müssen die Verantwortlichen für die Datenverarbeitung jederzeit in der Lage sein, die Compliance mit den entsprechenden Bestimmungen nachweisen zu können. Dieser Anforderung entspricht Art. 30 (Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.) Es ist zu beachten, dass die weiteren entsprechenden Anforderungen des Art. 30 sehr detailliert sind. Dies kann für Unternehmen, die bis jetzt keine ähnlichen Dokumentationen und Nachweise führen, einen sehr grossen Aufwand bedeuten.

3. Datenschutz-Folgenabschätzung
Art. 35 stipuliert, dass Unternehmen bei der Einführung von IT-Technologien, die zur Verarbeitung von Personendaten dienen vorgängig zu überprüfen haben, ob diese (neuen) Technologien den Schutz personenbezogener Daten beeinflussen könnten. Sollte es sich zeigen, dass die entsprechenden Personendaten in Folge einem hohen Risiko ausgesetzt sind, ist die jeweilige Aufsichtsbehörde miteinzubeziehen.

4. Einwilligung
Im Bereich der Einwilligung sind die relevanten Anforderungen detaillierter und damit komplexer geworden. Es muss nun sichergestellt werden, dass eine informierte Einwilligung eindeutig erklärt werden kann. Ebenso ist eine Pauschaleinwilligung für alle Datenverarbeitungen eines Unternehmens nicht mehr zulässig.  Es besteht hier also quasi ein Koppelungsverbot. Auch ist der Nutzer vor Erteilung der Einwilligung darauf hinzuweisen, dass seine Einwilligung jederzeit mit widerrufen kann. Dieser Widerruf betrifft aber nur zukünftige Datenbearbeitungen.

5. Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Zum ersten Mal wird durch die DSGVO die Umsetzung der Anforderungen aus den Grundsätzen „Datenschutz durch Technik (Privacy by Design)» und «datenschutzfreundliche Voreinstellungen (Privacy by Default)» gesetzlich gefordert. Privacy by Design heisst hier, dass durch eine Software nur so viele personenbezogene Daten wie erforderlich unter Einhaltung eines angemessenen Datenschutzniveaus erhoben und bearbeitet werden.

6. Profiling
Nach Art. 22 Abs. 1 DSGVO hat eine betroffene Person das Recht, nicht einer ausschliesslich auf einer automatisierten Verarbeitung –  einschliesslich Profiling  –  beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die relevanten Verantwortlichen haben also angemessene Massnahmen zu treffen, um diese Anforderungen umsetzen zu können.

7. Auftragsverarbeitung
Der recht ausführliche Artikel 28 zum Thema „Auftragsverarbeiter“ legt eine Vielzahl von Verpflichtungen fest, die selbstverständlich einzuhalten sind. Dies heisst, dass allenfalls bestehende relevante Verträge bezüglich dieser Drittparteien zu überprüfen und wo notwendig anzupassen sind.

8. Betroffenenrechte; Recht auf Vergessenwerden
Rechte, die einer von einer Datenverarbeitung betroffenen Person zugesprochen werden, sind dementsprechend in die relevanten Firmenprozesse zu integrieren. Erwähnt sei hier das Recht auf Vergessenwerden. Danach können Betroffene von dem Verantwortlichen die Löschung ihrer personenbezogenen Daten verlangen, soweit diese nicht mehr für den Zweck notwendig sind, für den sie erhoben wurden.

9. Datenportabilität 
Neu ist Artikel 20 mit seinem Recht auf Datenübertragbarkeit. Damit hat die betroffene Person das Recht, „die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.“ 

10. Datenschutzbeauftragter
Ein Unternehmen muss nach der DSGVO nur dann einen Datenschutzbeauftragten bestellen, sofern die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmässige und systematische Überwachung von betroffenen Personen erforderlich machen oder sensible Daten verarbeitet werden (Art. 37 DSGVO). Dies bedeutet, dass die Position des betrieblichen Datenschutzbeauftragten durch die Haftungsvorgaben bei Verstössen mit den potentiellen Strafzahlungen in Millionenhöhe um eine grössere Aufwertung erfahren wird.

11. Meldung von Datenschutzverstössen
Verantwortliche Stellen müssen zukünftig jede Verletzung des Schutzes personenbezogener Daten, die zu einem Risiko für die Rechte und Freiheiten des Datensubjektes führt, innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden (Art. 33 DSGVO). Aus diesen Fristvorgaben folgt, dass Unternehmen Prozesse für solche Meldungen zu implementieren und den Ernstfall zu proben haben.

12. Sanktionen und Haftungsverschärfungen
Das neue Sanktionssystem verschärft sich ebenfalls. Behörden können nach Art. 83 DSGVO Strafzahlungen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder, falls höher, bis zu 20 Mio. Euro verhängen. Auch ergeben sich Haftungsverschärfungen für Auftragsverarbeiter. Sie stehen stärker in der Verantwortung gezogen und können bei Verstössen gegen die DSGVO mit Bussgeldern belegt werden.  

13. Zertifizierungen
Art. 42 DSGVO regelt die Einführung von datenschutzspezifischen Zertifizierungen. Das Zertifikat soll bescheinigen, dass datenschutzrechtliche Anforderungen im Unternehmen eingehalten werden und darf nach Art. 42 Abs. 5 DSGVO nur von den Aufsichtsbehörden oder akkreditierten Zertifizierungsstellen ausgestellt werden.

Wie das Zertifizierungsverfahren im Einzelnen aussehen wird und wer die Zertifizierung ausstellen darf bzw. nach welchem Standard (ISO 27001, weitere) wird im Moment innerhalb der Working Group 29 noch diskutiert.

 

4 Exkurs zur Zertifizierung

Um ein Informationssicherheits-Managementsystem (ISMS) zertifizieren zu lassen, sind die Zertifizierung nach ISO 27001 bzw. dem ISO 27001 auf Basis des Grundschutzes wohl am bekanntesten. Die bis 2018 umzusetzende DSGVO erwähnt nun ebenso die Möglichkeit einer Zertifizierung. Worum geht es?

ISO/IEC 27001
Dieser Standard richtet sich mehr auf die Prozesse der Informationssicherheit aus, die vorhanden sein sollten. Wichtig bei einem ISMS nach ISO/IEC 27001 ist eine Risikoanalyse mit nachfolgender Risikoidentifizierung und dem Entscheid zu deren Behandlung. Der ISO/IEC 27001 gibt keine konkret umzusetzenden Handlungsanweisungen, was wiederum bedeutet, dass eine Organisation zwar frei in deren Umsetzung ist, sich mit der Ausarbeitung und Umsetzung der Massnahmen selber befassen muss. In diesem Zusammenhang kann es nützlich sein zu wissen, dass in der Serie ISO/IEC 270XXX eine ganze Reihe von Normen verfügbar ist, die einzelne Gebiete der Norm detaillieren. Es muss aber beachtet werden, dass nur nach ISO/IEC 27001 zertifiziert werden kann.

ISO 27001 auf der Basis von IT-Grundschutz (herausgegeben vom deutschen Bundesamt für Sicherheit in der Informationstechnik)
Bei diesem Standard liegt die Betonung auf den Massnahmen. Hier gibt es über 1000 Massnahmen, die umzusetzen sind. Man darf sich also vom Wort «Grundschutz» nicht täuschen lassen, da bei einer solchen Anzahl von Massnahmen der Umsetzungsaufwand hoch und zeitintensiv ist.

Bei beiden dieser Standards steht die Überprüfung des ISMS mit den dazugehörigen Dokumenten und der entsprechenden Umsetzung im Vordergrund. Eine Organisation muss hier beweisen, dass Prozesse, Richtlinien usw. existieren, die in einem PDCA-Prozess die Informationssicherheit nachhaltig und organisationsentsprechend definieren, steuern, überwachen und verbessern.

Der Art 42 der DSGVO - Zertifizierung
Die DSGVO erwähnt Zertifizierungen ebenso. Solche Zertifikate dürfen gemäss Art. 42 Abs. 5 DSGVO nur von den Aufsichtsbehörden oder akkreditierten Zertifizierungsstellen ausgestellt werden. Eine Zertifizierung kann also damit als Nachweis dienen, das gewisse Erfordernisse der Datenschutz-Grundverordnung erfüllt werden. Es gibt aber noch keine Klarheit, wie dieser Zertifizierungsprozess (EU/national) ausgestaltet werden soll.

Es ist aber zu beachten, dass eine Zertifizierung nach ISO/IEC 27001 nicht bedeutet, dass damit die DSGVO-Anforderungen gleich mit abgedeckt werden. Der ISO/IEC 27001 erlaubt die Zertifizierung nur eines Teilbereiches eines Managementsystems und deckt so unter Umständen einen Bereich ab, in dem Personendaten nicht vorkommen. Man kann die ISO/IEC 27001-Zertifizierung ohne Probleme als Grundlage benutzen und dann, falls erforderlich, diese auf Bereiche ausweiten, die Personendaten miteinschliessen. Hier wäre also zu empfehlen, anhand der bestehenden Zertifizierung, welche Gebiete bezüglich der DSGVO in einem nächsten Schritt anzugehen sind, damit auch hier die gesetzlichen Anforderungen erfüllt werden.

 

5 Was können Schweizer Unternehmen tun, um DSGVO Compliance zu erreichen?

1. Projekt aufsetzen; Ressourcen anfordern, Starten

  • Erforderlichkeit und Dringlichkeit im Unternehmen und beim Management darlegen
  • Notwendige Ressourcen festlegen und organisieren
  • Interne Projekt- und Führungsstruktur etablieren
  • Priorität festlegen
  • Kick-Off des Projektes

2. Bestimmung des konkreten Handlungsbedarfs mittels Gap-Analyse/Soll-Ist-Abgleich

  • Feststellung der neuen gesetzlichen Anforderungen (Soll-Zustand)
  • Bestandsaufnahme des betrieblichen Ist-Zustands
  • Bestimmung des Handlungs- und Umsetzungsbedarfs
  • Risikoanalyse und Accountability

3. Umsetzung

  • Prüfung und Anpassung der Datenverarbeitung; Verträge, Einwilligungserklärungen
  • Prüfung der DS-Organisationsstruktur; Anpassung unternehmensinterner Regularien/Richtlinien/Policies/Handbücher
  • Etablierung eines Datenschutzmanagementsystems

 

6 Alles gleich? Alles anders?

Die DSGVO erlaubt Staaten in zahlreichen Erwägungen, deren Artikel zu einem gewissen Mass zu «individualisieren». Hierzu ist es unerlässlich, dass Unternehmen die jeweilige nationale Legislation genau verfolgen bzw. auf mögliche Umsetzungshilfen nationaler Datenschutzbehörden achten.

Ebenso ist zu beachten, dass einige der DSGVO-Vorgaben nur rudimentär ausgestaltet wurden. Aus diesem Grund veröffentlicht die Article 29 Working Party der EU fortlaufend detailliertere Informationen zu bestimmten Punkten. Veröffentlicht wurden bis jetzt Richtlinien (alle nur auf Englisch erhältlich) zu folgenden Punkten:

  • Guidelines on the right to "data portability"
  • Guidelines on Data Protection Officers ('DPOs')
  • Guidelines on The Lead Supervisory Authority


Nächstens wird veröffentlicht:

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is likely to result in a high risk” for the purposes of Regulation 2016/679

Geplant bzw. in Arbeit sind momentan Guidelines zu den Themen:

  • Consent
  • Profiling
  • Transparency
  • Data breach notifications and data transfers
  • Employee monitoring
  • Certification guidelines

 

7 Welche Fragen müssen beantwortet werden können?

Das Bayrische Landesamt für Datenschutz hat kürzlich einen Fragebogen an Unternehmen geschickt, um den Stand der Umsetzung eruieren zu können. Es kann davon ausgegangen werden, dass solche Fragen auch bei einer DSGVO-bezogenen Überprüfung seitens anderer Aufsichtsbehörden so oder ähnlich gestellt werden. Damit Sie einen Überblick bekommen, haben wir die Fragen unten zusammengestellt.

 

I. Struktur und Verantwortlichkeit im Unternehmen

1. Gibt es das Bewusstsein im Unternehmen, dass Datenschutz Chefsache ist, beispielsweise durch

  • Vorhandensein einer Datenschutzleitlinie
  • Beschreibung der Datenschutzziele
  • Regelung der Verantwortlichkeiten
  • Bewusstsein über Datenschutzrisiken
  • Transparenz über Zielkonflikte (z.B. zwischen Marketing- und Rechtsabteilung)

2. Verfügt Ihr Unternehmen über einen betrieblichen Datenschutzbeauftragten?

  • Wenn ja, ist er schon gem. Art. 37 Abs. 8 DS-GVO der zuständigen Aufsichtsbehörde gemeldet?
  • Wenn ja, ist geklärt, wann er von wem einzubeziehen ist?
  • Wenn nein, warum nicht?

 

II. Übersicht über Verarbeitungen

1. Haben Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten gem. Art. 30 DS-GVO?

  • Wenn nein, warum nicht? Ist das dokumentiert?

Wie haben Sie sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Prozesses in Ihrem Unternehmen Berücksichtigung finden (Privacy by Design – Art. 25 DS-GVO)?

 

III. Einbindung Externer

  1. Haben Sie Externe zur Erledigung Ihrer Arbeiten (Auftragsverarbeiter) eingebunden?
  • Wenn ja, haben Sie eine Übersicht über die Auftragsverarbeiter?
  • Wenn ja, haben Sie mit allen Ihren Auftragsverarbeitern die erforderlichen Vereinbarungen mit dem Mindestinhalt nach Art. 28 Abs. 3 DS-GVO abgeschlossen?

 

IV. Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte

1. Haben Sie Ihre Texte zur datenschutzrechtlichen Information der betroffenen Personen bei der Datenerhebung an die Anforderungen nach Art. 13 bzw. 14 DS-GVO angepasst?

  • Wenn nein, warum nicht?

 

2. Haben Sie insbes. folgende Informationen neu aufgenommen, sofern nicht bereits vorher enthalten:

  • Kontaktdaten des Datenschutzbeauftragten
  • Rechtsgrundlage(n) für die Verarbeitung personenbezogener Daten
  • Falls Sie die Verarbeitung mit ihren berechtigten Interessen oder berechtigten Interessen eines Dritten begründen: die berechtigten Interessen
  • Falls Sie Daten in Drittländer übermitteln: die von Ihnen zum Einsatz gebrachten geeigneten Garantien zum Schutz der Daten (z.B. Standarddatenschutzklauseln)
  • Dauer der Speicherung; sofern nicht möglich, die Kriterien für die Festlegung dieser Dauer
  • Bestehen der Rechte betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der
    Verarbeitung, auf Widerspruch aufgrund besonderer Situation einer betroffenen Person sowie auf Datenportabilität
  • Sofern Verarbeitung auf Einwilligung beruht: das Recht zum jederzeitigen Widerruf der Einwilligung Recht auf Beschwerde bei der Aufsichtsbehörde
  • Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
  • Sofern einschlägig: die Vornahme einer automatisierten Entscheidungsfindung einschliesslich Profiling sowie – in diesem Fall – Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung für die betroffene Person
  • Sofern Sie die Daten nicht bei der betroffenen Person erhoben haben: aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen
  • Haben Sie Ihre Werbe-Einwilligungserklärungen für Kunden, Interessenten usw., an die Anforderungen von Art. 7 und 13 DS-GVO angepasst (insbesondere: erweiterte Informationspflichten, auch zur jederzeitigen Widerrufbarkeit der Einwilligung)?

 

3. Haben Sie ein Verfahren eingerichtet, um Anträge von betroffenen Personen auf Auskunft zu den eigenen Daten nach Art. 15 DS-GVO zeitnah und vollständig erfüllen zu können (Art. 12 Abs. 1 DS-GVO)?

4. Haben Sie Verfahren eingerichtet, um Anträge auf Datenübertragbarkeit betroffener Personen erfüllen zu können (Art. 20 DS-GVO)?

 

V. Verantwortlichkeit, Umgang mit Risiken

  • Gibt es für jede Verarbeitungstätigkeit Angaben, mit der Sie die Rechtmässigkeit Ihrer Verarbeitung nachweisen können, z.B. bezüglich Zwecken, Kategorien personenbezogener Daten, Empfängern und/oder Löschfristen (Art. 5 Abs. 2 DS-GVO)?
  • Haben Sie geprüft, ob die Einwilligungen, auf die Sie eine Verarbeitung stützen, noch den Voraussetzungen der Art. 7 und/oder 8 DS-GVO entsprechen?
  • Können Sie das Vorliegen der Einwilligung nachweisen?
  1. Haben Sie ein Datenschutzmanagementsystem installiert, um sicherzustellen und den Nachweis erbringen zu können, dass Ihre Verarbeitung gemäss der DS-GVO erfolgt (Art 24 Abs. 1 DS-GVO)?

  2. Haben Sie Ihre bestehenden Prozesse zur Überprüfung der Sicherheit der Verarbeitung auf die neuen Anforderungen des Art. 32 DS-GVO angepasst?
  • Haben Sie insbesondere bestehende Checklisten zur Auswahl von technischen und organisatorischen Massnahmen durch eine risikoorientierte Betrachtungsweise auf Basis von Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten ersetzt?
  • Wurde ein geeignetes Managementsystem zur regelmässigen Überprüfung, Bewertung und Verbesserung der Security-Massnahmen umgesetzt?
  • Wurden Schutzmassnahmen wie Pseudonymisierung und der Einsatz von kryptographischen Verfahren zum Schutz vor unbefugten oder unrechtmässigen Verarbeitungen sowohl bezüglich externer als auch interner „Angreifer“ umgesetzt?
  1. Haben Sie sich auf die evtl. Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung vorbereitet?
  • Haben Sie eine geeignete Methode zur Bestimmung der Frage, ob eine Datenschutz-Folgenabschätzung durchzuführen ist, in Ihrem Unternehmen eingeführt?
  • Haben Sie eine geeignete Risikomethode zur Durchführung einer Datenschutz-Folgenabschätzung in Ihrem Unternehmen eingeführt? Haben Sie sich für einen Prozess der Datenschutz-Folgenabschätzung entschieden; haben Sie diesen schon einmal getestet?

 

VI. Datenschutzverletzungen
1. Haben Sie gem. Art. 33 DS-GVO sichergestellt, dass die Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die Aufsichtsbehörde möglich ist?

  • Haben Sie insbesondere sichergestellt, dass Datenschutzverletzungen in Ihrem Unternehmen erkannt werden können. Haben Sie dazu eine geeignete Methode zur Ermittlung eines Risikos bzw. eines hohen Risikos in Ihrem Unternehmen eingeführt?
  • Haben Sie einen Prozess aufgesetzt, wie mit potentiellen Verletzungen intern umzugehen ist
    Haben Sie festgelegt, wer, wann und wie mit der Datenschutzaufsichtsbehörde kommuniziert?
8 Was ist im Einzelnen zu tun – To-Dos
  1. Datenschutzmanagementsystem aufbauen
  2. Datensicherheitskonzept weiterentwickeln und aktuell halten
  3. Position des Datenschutzbeauftragten definieren
  4. Erstellung der verschiedenen erforderlichen Dokumentationen
  5. Verarbeitungstätigkeitsverzeichnisse für alle Verfahren anfertigen
  6. Rechtsfolgenabschätzungen vornehmen
  7. Ggf. vorherige Konsultation der Behörden in die Wege leiten
  8. Risikoklassifizierungen vornehmen
  9. Einwilligungserklärungen anpassen, aufsplitten, entkoppeln
  10. Auftrags(daten)verarbeitungsverträge überprüfen und anpassen 
  11. Datenschutzerklärungen, -hinweise, Policies anpassen
  12. Betriebsvereinbarungen überprüfen und anpassen
  13. Zuständigkeiten und Verfahren für die Erfüllung von Betroffenenrechten aufbauen
  14. Informieren
  15. Auskunft erteilen
  16. Berichtigen
  17. Einschränken
  18. Löschen
  19. Übertragen oder strukturiert herausgeben (portieren)
  20. Löschkonzept etablieren, erhalten und aktualisieren
  21. 72-Stunden-Meldewesen für etwaige Verstösse errichten
  22. Privacy by Design and Default-Grundsatz etablieren bei Programmierung, Ausschreibung, Projektplanung und Vertragsgestaltung
  23. Zertifizierung anstreben
  24. Internationalen Datentransfer legal gestalten

Haben Sie Fragen zu diesem Artikel oder generell zur EU-DSGVO?

Gerne stehen wir Ihnen beratend, schulend und unterstützend zur Seite.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich Datenschutz aus mehr als 25 Jahren Erfahrung.

+41 41 984 12 12, infosec@infosec.ch

Schnellanfrage
Natürlich 100% vertraulich, kostenfrei und unverbindlich!

 

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung