Privacy Legal | Daniela Fabian






Datenschutz ist zu einem entscheidenden Erfolgsfaktor für jedes Unternehmen geworden

Die stetige Weiterentwicklung des Internet, neue Technologien zur einfachen Datenverfolgung und zum weltweiten Informationsaustausch sowie diverse Technologien zur Datenauswertung haben vielen Unternehmen neue Geschäftsmöglichkeiten eröffnet. Gleichzeitig verabschieden zahlreiche Länder, darunter die EU und die Schweiz, laufend neue oder strengere Gesetze, um der rasanten Entwicklung neuer Technologien und der wachsenden Besorgnis von Konsumenten, Angestellten und anderen Interessengruppen bezüglich Erhebung, Nutzung, Bekanntgabe und Sicherheit ihrer Personendaten gerecht zu werden.


Was ist Datenschutz?

Datenschutz ist das Recht jedes Einzelnen, über die Verwendung der ihn betreffenden Personendaten zu entscheiden und die Erhebung, Nutzung und Bekanntgabe seiner Personendaten selbst zu kontrollieren.

Personendaten sind alle Informationen, die sich auf eine Person beziehen, unabhängig davon ob die Person bestimmt ist, beispielsweise durch den Namen, oder bloss bestimmbar ist, beispielsweise durch eine Passnummer oder durch einen Code.


Weshalb geht Datenschutz Unternehmen etwas an?

Jedes Unternehmen ist gesetzlich verpflichtet, Personendaten und Persönlichkeitsrechte zu schützen. Insbesondere wenn eine Gesellschaft IT-Systeme oder neue Geschäftsmodelle plant und entwickelt, wie zum Beispiel weltweite Datenmanagementsysteme oder die Auslagerung von Aktivitäten, müssen die Anforderungen in Bezug auf Datenschutz sowie Transferrestriktionen von Anfang an berücksichtigt werden.

Die Nichteinhaltung gesetzlicher Verpflichtungen birgt erhebliche Risiken und die Konsequenzen können schwerwiegend sein.

Unzureichendes Datenschutzmanagement kann den Ruf eines Unternehmens schwer schädigen und das Vertrauen der verschiedenen Interessengruppen beeinträchtigen. Weitere mögliche Folgen sind unter anderem hohe Geldstrafen, gerichtliche Verfügungen, Audits durch staatliche Behörden sowie strafrechtliche Verantwortlichkeit.


Was sollten Unternehmen tun?

Unternehmen sollten darauf vorbereitet sein, auf die wachsenden Herausforderungen zu reagieren. Ein gut strukturiertes Datenschutzkonzept vereinfacht das Datenschutzmanagement, denn es unterstützt Unternehmen, proaktiv auf die stetig wachsenden Herausforderungen im Bereich Datenschutz zu reagieren und sowohl rechtliche als auch organisatorische und strategische Anforderungen zu erfüllen und so Risiken zu minimieren. Zugleich bietet ein gut funktionierendes Datenschutzmanagement die Grundlage, Verantwortungsbewusstsein zu zeigen und das Vertrauen der verschiedenen Interessengruppen zu steigern.


Wie können wir Sie unterstützen?

Wir helfen Ihnen durch strukturierte und risikobasierte Massnahmen, die Einhaltung von Datenschutzvorschriften zu gewährleisten und so rechtliche als auch unternehmerische Risiken zu vermeiden. Dabei berücksichtigen wir sowohl die für Ihr Unternehmen geltenden gesetzlichen und behördlichen Vorgaben als auch Ihre individuellen Bedürfnisse.

Entwicklungen:

4. Mai 2016: EU Datenschutz-Grundverordnung veröffentlicht


Am 4. Mai 2016 hat die Europäische Union die Endfassung der EU Datenschutz-Grundverordnung (DSGVO) veröffentlicht.  Die DSGVO wird die EU Datenschutz-Direktive ersetzen und nach einer zweijährigen Umsetzungsfrist ab dem 25. Mai 2018 in allen EU Staaten unmittelbar und direkt gelten. Unternehmen haben bis dahin Zeit, ihr Datenschutz Management System den neuen Anforderungen anzupassen.

Die DSGVO sieht strengere und neue Rechte für Datensubjekte vor, beispielsweise ein Recht auf Vergessen oder ein Recht auf Datenübertragbarkeit, sowie neue Verpflichtungen für verantwortliche Unternehmen (Controller) und Auftragsdatenbearbeiter (Processor).

Hier sind ein paar der wichtigsten Änderungen:

1. Der räumliche Anwendungsbereich hat sich insofern geändert, dass nun neben Controllers neu auch Processors in der EU der Verordnung unterstehen. Wichtig ist, dass neu auch Unternehmen, die NICHT in der EU niedergelassen sind, der Verordnung unterstehen, wenn diese betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder das (online) Verhalten betroffener Personen beobachten, soweit ihr Verhalten in der EU erfolgt.

2. Verantwortliche Unternehmen müssen die Einhaltung der Verordnung nachweisen können und haben somit neu eine Rechenschaftspflicht (accountability). Diese beinhaltet Pflichten, wie:

  • Führung eines Verzeichnisses von Verarbeitungstätigkeiten
  • Einführung einer Datenschutzpolitik und Richtlinien
  • Bestellung eines Datenschutzverantwortlichen in bestimmten Fällen
  • Umsetzung von technischen und organisatorischen Sicherheitsmassnahmen
  • Umsetzung von „privacy by design“ und „privacy by default“
  • Durchführung von Datenschutzfolgeabschätzungen

Verantwortliche Unternehmen können die Einhaltung der Verordnung auf verschiedene Weise bewiesen, beispielsweise durch Unternehmensrichtlinien, sog. Binding Corporate Rules (BCR), Zertifizierungen oder Verhaltens Kodizes.

3.     Die Bedingungen für die Einwilligung sind strenger. Verantwortliche Unternehmen müssen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese muss freiwillig, spezifisch, eindeutig und aufgrund von genügend Informationen und für besonders schützenwerten Daten explizit erfolgen. Die Einwilligung muss jederzeit widerrufbar sein. Erfolgt die Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen und sich von den anderen Sachverhalten klar unterscheiden. Die Einwilligung ist nicht gültig, wenn ein klares Missverhältnis zwischen dem Datensubjekt und dem verantwortlichen Unternehmen besteht, was beispielsweise in einem Arbeitsverhältnis der Fall sein könnte. Schliesslich ist eine Einwilligung ungültig, wenn die Erfüllung eines Vertrages, einschliesslich die Erbringung einer Dienstleistung, von einer solchen Einwilligung abhängt, wenn für die Erfüllung des Vertrages die Verarbeitung der personenbezogenen Daten nicht erforderlich ist.

4. Auftragsdatenbearbeiter unterstehen ebenfalls der Verordnung und haben nun direkte gesetzliche Pflichten.

5. Im Falle einer Verletzung des Schutzes personenbezogener Daten, welche voraussichtlich zu einem Risiko für die betroffenen Personen führt, muss das verantwortliche Unternehmen die Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, melden. Hat die Verletzung voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge, dann muss das verantwortliche Unternehmen die betroffenen Personen unverzüglich von der Verletzung benachrichtigen.

6. Datensubjekte können ihre Ansprüche auf immateriellen Schadenersatz geltend machen, wobei das verantwortliche Unternehmen die Beweislast trägt. Bussgelder für Verletzungen, beispielsweise Nichtbeachtung der Rechte der betroffenen Personen oder die Übermittlung von personenbezogenen Daten an einen Empfänger in einem Drittland ohne adäquaten Datenschutz, können bis zu 20 Millionen Euro oder 4% des weltweit jährlichen Umsatzes betragen.

Was sollten Unternehmen jetzt tun?

Unternehmen, welche der DSGVO unterstehen, sollten jetzt damit beginnen, ihren Datenschutz den neuen Anforderungen anzupassen und insbesondere:

  1. Sich mit der DSGVO auseinandersetzen und ihre Verpflichtungen verstehen
  2. Eine Gefährdungsanalyse und einen Soll-Ist-Vergleich durchführen, um allfällige Lücken zwischen ihrem jetzigen Datenschutz Management System und den neuen Anforderungen zu identifizieren.
  3. Notwendige Massnahmen definieren und einen entsprechenden Zeit- und Umsetzungsplan erstellen
  4. Richtlinien und Meinungen von nationalen Datenschutzbehörden und der Artikel 29 Arbeitsgruppe (WP29), welche in den nächsten Monaten erlassen werden, beachten.

Wir unterstützen Sie gerne bei der Erarbeitung der Grundlagen und eines vertieften Verständnisses der Anforderungen sowie bei der Durchführung von Gefährdungsanalysen, Soll-Ist Analysen, Entwicklung oder Anpassung von Datenschutz Management Systemen, Richtlinien und Prozessen um eine optimale Basis zur Einhaltung der neuen DSGVO zu erschaffen und gleichzeitig Risiken zu minimieren.

Den finalen Text der DSGVO finden Sie in verschiedenen Sprachen hier:

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC

Möchten Sie mehr erfahren? Dann kontaktieren Sie uns via E-Mail unter daniela.fabian@privacylegal.ch oder via Telefon unter +41 61 564 01 08.

 

 

15. Dezember 2015: Neue EU Datenschutzgrundverordnung


Am 15. Dezember 2015 haben sich die EU Institutionen auf einen finalen Text der EU Datenschutz-Grundverordnung (DSGV) geeinigt. Nach formeller Genehmigung des Textes durch das Parlament und den Ministerrat welche Anfang 2016 zu erwarten ist, wird die DSGV nach 2 Jahren in Kraft treten und in den 28 EU-Mitgliedstaaten unmittelbar anwendbar sein. Die neue Verordnung wird weitreichende Implikationen für Unternehmen in der EU als auch für solche ausserhalb der EU haben.