Ein Beitrag von Dr. Stefano Caldoro
Handlungsbedarf
Schweizer Unternehmen sollten prüfen, ob und inwiefern sie von der DSGVO betroffen sind und wie sie die DSGVO umsetzen und einhalten können.
A. Vorgehen
Vorbereitung: Schaffung eines Projekt-Teams (am besten aus den Bereichen IT-, HR-, Legal-, Compliance- und Risk Management); Festlegung der Zuständigkeiten und der Projektorganisation; Definition des Projektumfangs („Scope“), der Ressourcen, des Budgets, des Zeitplans und der Mittel (Interviews, Questionnaires, Dokumentationssammlung, usw.).
Bestandsaufnahme: Dokumentation und Erfassung der Informationen darüber, (i) welche Daten bearbeitet werden (z.B. Mitarbeiter-, Kunden-, Lieferanten- oder sonstige Daten) und wo sie behalten werden, (ii) wer die Daten bearbeitet (z.B. Outsourcing der Bearbeitungsaktivitäten?), (iii) wie die Daten beschafft, verwendet, bearbeitet und behalten werden (z.B. Bearbeitungsszenarien, Einhaltung der Bearbeitungsgrundsätze, Rechtfertigungsgründe und Einwilligungen, Informationen an die Betroffenen, Dokumentation der Bearbeitungsart, Anonymisierung und Pseudonymisierung), (iv) ob die Daten ins Ausland und, falls ja, wohin übertragen werden, (v) welche technischen und organisatorischen Massnahmen zur Datensicherheit bestehen, (vi) wie die interne Organisation und die Kontrollmechanismen aufgebaut sind (z.B. zuständige Abteilungen, Prozesse und Richtlinien, Verträge und datenschutzrechtliche Klauseln, Datenschutzhinweise, Informationen und Schulungen, Massnahmenüberprüfung, Datenschutzaudits).
Gap-Analyse: Vergleich des Ist-Zustands mit den Anforderungen der DSGVO mittels einer datenbezogenen und organisationsbezogenen Analyse; Erstellung eines Massnahmenplans (Zeitplan, Budget) nach einem risikobasierten Ansatz.
Umsetzung der Massnahmen: Schaffung von Strukturen, Erstellung von Prozessen und Richtlinien; Ausarbeitung der erforderlichen Dokumentation; Trainings; Kontrolle.
B. Erforderliche Massnahmen im Einzelnen
Schaffung eines Datenschutzkompetenzzentrums innerhalb des Unternehmens und, wenn erforderlich, Ernennung eines Datenschutzbeauftragten.
Eventuelle Einstellung oder Anpassung der Datenbearbeitung sowie Einführung oder Anpassung der entsprechenden Prozesse und Richtlinien (z.B. betreffend Zweckfestlegung und -änderung, Profiling, Big Data-Analyse); Festlegung von Prozessen zur Prüfung von neuen Datenbearbeitungen, inkl. Privacy by Design und Privacy by Default, d.h. Beizug von Datenschutzspezialisten bei der Entwicklung und Ausgestaltung aller neuen Produkte, Dienste und Anwendungen mit Datenbearbeitungsmerkmalen.
Festlegung des Rahmens für die „Accountability“, insbesondere durch (i) Nachweis der Compliance mit den Datenschutzgrundsätzen, (ii) Erstellung einer Liste mit allen Datenbearbeitungen (Verarbeitungsverzeichnis), (iii) betriebsinterne Informationen und Schulungen, (iv) Entwicklung einer Kultur der Verhältnismässigkeit und Minimierung der Datenbearbeitungen und Datensammlungen, (v) Datenschutz-Folgeabschätzungen und (vi) laufende Überprüfung, Überarbeitung und Auditierung der Risikoanalysen, inklusive der jeweiligen Prozesse und Richtlinien.
Umfassende Information der Betroffenen; Prüfung und Anpassung von Datenschutzerklärungen und -hinweisen sowie von Verträgen mit Betroffenen und sonstigen Informationen.
Einholung der Einwilligungen; Prüfung, ob die bisherigen Einwilligungsdokumente geeignet und angemessen sind sowie ob die Einwilligungen freiwillig erteilt wurden.
Festlegung oder Anpassung von Prozessen und Richtlinien für Betroffenenrechte; Technische Implementierung von Datenlöschungen, Datenminimierung und Datenportabilität.
Erstellung oder Anpassung von Verträgen mit Auftragsdatenbearbeitern sowie von entsprechenden Prozessen und Richtlinien.
Einbau der neuen datenschutzrechtlichen Pflichten für die Auftragsdatenbearbeiter durch Aufbau eigener Richtlinien, Prozesse und Verträge sowie durch Überprüfung bestehender Vertragsdokumentation.
Erstellung oder Anpassung von Verträgen über den Auslandsdatentransfer und Binding Corporate Rules sowie von entsprechenden Prozessen und Richtlinien.
Anpassung der technischen und organisatorischen Sicherheitsmassnahmen und der entsprechenden Richtlinien und Prozesse (Pseudonymisierung personenbezogener Daten, Sicherung von Integrität, Vertraulichkeit und Verfügbarkeit der Daten, unverzügliche Verfügbarkeit von und Zugriff auf Personendaten, Prozess zur regelmässigen Prüfung der Effektivität der technischen und organisatorischen Sicherheitsmassnahmen).
Erstellung von Prozessen und Richtlinien zur Sicherstellung schneller Reaktionsmassnahmen im Fall von Datenschutzverstössen.
Ernennung eines Datenschutzvertreters in der EU, wenn erforderlich.
Ihre Fragen beantwortet Ihnen gerne Dr. Stefano Caldoro.
Teil 1: EU Datenschutz-Grundverordnung – Ist Ihr Unternehmen bereit?
Teil 2: EU Datenschutz-Grundverordnung – Was Sie wissen müssen
Teil 3: EU Datenschutz-Grundverordnung – Handlungsbedarf