Neue Datenschutzgesetze

Nach einer zweijährigen Übergangsfrist tritt Ende Mai 2018 die neue Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft.
Parallel dazu wird das Schweizer Datenschutzgesetz (DSG) revidiert, welches wohl viele Elemente der DSGVO übernehmen wird.

 

Wen betriffts?

Von der DSG sind wir alle betroffen, während sicher ein Teil auch unter die (schärferen) DSGVO-Richtlinien fallen dürfte.

 

Wer ist verantwortlich?

Datenschutz hat neu wohl einen ähnlichen Stand wie z.B. die Buchführungspflicht oder die Steuerdeklaration. Die Sanktionen bei Missachtungen oder Widerhandlungen sollen deutlich höher ausfallen als bisher. Das Thema ist damit ChefInnen-Sache und jede Firma / jeder Verein sollte sich dazu Gedanken machen.

 

Was ist zu tun?

Das Thema gehört auf die Traktandenliste der Verantwortlichen, welche eine Person als Datenschutzverantwortlichen bestimmen. Der oder die Verantwortliche muss dann die Situation in eurem Betrieb analysieren und die nötigen Massnahmen in die Wege leiten. Es wird sehr empfohlen, diese Aufgabe nicht an eine aussenstehende Person zu delegieren, sondern intern das nötige Know-how aufzubauen.

 

Wie weiter?

Was bedeutet das konkret, wie muss ich vorgehen? Soviel vorweg: Der Aufwand für jede Firma ist nicht zu unterschätzen! Allein die Analyse dürfte mehrere Tage Arbeit bedeuten, danach folgen erst die Umsetzungsarbeiten.

Aufgrund der gemachten Erfahrungen kann ich folgendes Vorgehen empfehlen:

 

1. Selbsteinschätzung (Analyse)

Zwei Anwälte haben ein Tool zusammengestellt, mit dem jede Firma ihre Situation einschätzen kann. Es handelt sich dabei um eine Reihe von Fragebogen, die jeder selber ausfüllen kann. Zusammen mit den Anleitungen erhält man so einen guten Einblick in die Problematik. Das Tool unterstützt einen pragmatischen Ansatz und ist zwar noch nicht ganz vollständig (einige Formulare werden erst noch publiziert), man kommt aber schon recht weit.

Zum Datenschutz Self Assessment Tool: http://dsat.ch


2. Massnahmen

Als Ergebnis der Analyse erhaltet ihr eine Liste eurer Datenverarbeitungsprozesse, die mit persönliche Daten arbeiten. Die Liste zeigt, wo Lücken zur Datenschutzgesetzgebung bestehen und mit welchen Massnahmen ihr diese beheben könnt. Die Massnahmen können folgende Bereiche betreffen:

  •  Anpassungen von Geschäftsprozessen
  • Erstellen/Anpassen von internen und externen Weisungen (z.B. Datenschutzerklärungen, Weisungen an Mitarbeitende, etc.)
  • Verträge mit Lieferanten von IT-Dienstleistungen überprüfen/erstellen/anpassen (z.B. Hosting, Applikations-Outsourcing, E-Mail-Betrieb, Website-Tracking)
  • technische Anpassungen an IT-Systemen (Website, Applikationen, Cloud-Dienstleistungen)
  • etc.

 

3. Umsetzung

Mit einer Risikoanalyse könnt ihr bestimmen, welche Massnahmen ihr in welcher Reihenfolge umzusetzen gedenkt. Das Risiko bemisst sich i.A. an den anfallenden Kosten, um eine Lücke zu beheben im Verhältnis zur vermuteten Schadenshöhe und Eintretenswahrscheinlichkeit.

 

Kostenüberlegungen

Der Aufwand für dieses Projekt wird von Firma zu Firma stark variieren und ist abhängig davon, wie euer Kundenstamm aussieht, wie viele Mitarbeitende ihr beschäftigt, wie stark ihr das Internet für eure gewerblichen Aktivitäten nutzt, welche Bedeutung ihr bisher dem Datenschutz beigemessen habt, ob und welche Cloudanbieter ihr für eure Tätigkeiten nutzt, etc.

Kurzfristig am wichtigsten ist Punkt 1, die Selbsteinschätzung. Der Aufwand dürfte im Bereich von zwei bis drei Arbeitstagen liegen, ist überschaubar
und die Firma kann damit bereits belegen, dass sie am Thema gearbeitet.
Dieser Schritt benötigt keine Fremdexpertise. Die Arbeit kann intern erledigt werden und liefert als Ergebnis eine priorisierte Liste der Folgeaufgaben.