Blog

Die neue DSGVO ist seit dem 25. Mai 2018 in Kraft und wird voraussichtlich im Juli 2018 in das EWR-Abkommen übernommen. Hierdurch wird auch Liechtenstein – aufgrund seiner EWR-Mitgliedschaft – zur Anwendung der neuen Regelung verpflichtet. Das neue liechtensteinische Datenschutzgesetz wird voraussichtlich Ende 2018 rechtskräftig.

Aufgrund des Geltungsbereiches der DSGVO hat dieses aber auch eine direkte Auswirkung auf viele Schweizer Unternehmen und ist entgegen einiger Auffassungen, keine rein juristische Angelegenheit. Vielmehr spielen die eingesetzten Technologien, bei der Einhaltung der neuen Gesetzgebung ebenfalls eine entscheidende Rolle. Hierzu zählt u.a. die «Sicherheit bei der Verarbeitung» nach Artikel 32. Weitere Informationen zur Auswirkung der DSGVO auf die Schweiz finden Sie beispielsweise beim EDÖB .

Auch wenn die DSGVO nun gut einen Monat in Kraft getreten ist, so herrscht heute noch sehr viel Unklarheit darüber, welche konkreten Massnahmen zu ergreifen sind und die eigentlichen Herausforderungen stecken dann, wie so oft, in den jeweiligen unternehmensspezifischen Details.  

So gibt es mittlerweile zwar diverse Mustervorlagen zur Erstellung eines Verfahrensverzeichnisses nach Artikel 30 DSGVO, jedoch kämpfen viele Unternehmen mit deren Erstellung, da der Umfang der Dokumentation alle Verarbeitungstätigkeiten eines Unternehmens, in welchem personenbezogene Daten verarbeitet werden, umfasst.
Das bedeutet in der Praxis, dass eine Prozessbeschreibung von A – Z mit klarer Definition der personenbezogenen Datenkategorien, der Verarbeitungsgrundlagen, der TOMs (technische und/oder organisatorische Massnahmen) und der Abgrenzung zu möglichen Auftragsdatenverarbeitern sowie beispielsweise einer Datenübermittlung in Drittländer (Schweiz), etc. enthalten sein müssen.  

Der Teufel steckt im Detail
In der Praxis zeigt sich, dass viele Unternehmen insbesondere bei folgenden Themen Unterstützung bei der Erarbeitung der Details benötigen:

1. Verarbeitungsverzeichnis (Art. 30): was, warum, wo, wie lange, wohin, etc.? 
2. Sicherheit bei der Verarbeitung (Art. 32): Definition und Umsetzung der TOMs. 
3. Verpflichtung von Auftragsdatenverarbeitern (Art. 28), sowie bei Erst- und Folgeprüfungen von Auftragsdatenverarbeitern.
4. Auskunftsersuchen (Art. 15): Wie komme ich als Unternehmen meiner Informations- und Auskunftsplicht fristgerecht nach? 

Aber auch das Thema «Datenschutzbeauftragter» (Art. 37) sorgt immer wieder für interessante und spannende Diskussionen. 

Kennen Sie Ihr Risiko? 
Des Weiteren zeigt sich in der Praxis auch, dass das Thema «Risikoanalyse» viele Unternehmen vor eine neue Herausforderung stellt. Warum? Bisher umfasst die Risikoanalyse eines Unternehmens in der Regel die Unternehmensrisiken. Im Rahmen der DSGVO jedoch sprechen wir von Datenschutzrisiken und deren möglichen Folgen für die betroffenen Personen. Zudem dient die Risikoanalyse wiederum als Grundlage für die Entscheidung, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO notwendig ist oder nicht. Zu guter Letzt führen uns diese Diskussionen dann unweigerlich auch immer wieder zum Thema «Erkennung und Meldung von Verletzungen des Schutzes personenbezogener Daten» nach Art. 33 DSGVO. Bisher haben wir uns ja meist nur mit Cyberattacken und der gleichen beschäftigt. Jedoch sind «Datenpannen» bzw. «Datenschutzverletzungen» weitaus komplexer und weitläufiger zu sehen. 

Die Abmahn-Maschinerie ist angelaufen 
Was ist in den ersten Tagen passiert? Hierzu ein paar konkrete Zahlen zur Nutzung des Beschwerderecht bei den Aufsichtsbehörden gemäss Artikel 77 DSGVO. Kurz nach dem Inkrafttreten der DSGVO hat beispielsweise die Datenschutzgruppe «Noyb» (www.noyb.eu), welche von dem bekannten Datenschutzaktivisten Max Schrems 2017 ins Leben gerufen wurde, vier Beschwerden gegen Google (Android), Instagram, Whatsapp und Facebook eingereicht. 

Des Weiteren lagen gemäss einer Pressemeldung  von «Heute.at» bis Anfang/Mitte Juni 2018, bei der Österreichischen Aufsichtsbehörde, bereits mehr als 80 Beschwerden (62 nationale und 19 internationale) vor. Noch mehr Arbeit kam bereits in den ersten Tagen nach dem Inkrafttreten der DSGVO auf die Irländische Datenschutzkommission zu. Wie der «Irish Examiner» Anfang Juni in einem Presseartikel  berichtete. Gemäss Meldung gingen bei der Irländischen Datenschutzkommission, bereits wenige Tage nach dem Inkrafttreten der DSGVO, mehr als 1300 Bedenken bzw. Beschwerden ein. Die Irländische Datenschutzkommission sei zudem von über 60 Verstössen (Datenpannen) informiert worden, wovon etwas mehr als die Hälfte nach dem 25. Mai 2018 aufgetreten sind.

Darum prüfe wer sich «ewig» bindet
Es bleibt sehr spannend! Vor allem bleibt abzuwarten, wie die Aufsichtsbehörden reagieren und wie sie mit den neuen Sanktionsmöglichkeiten umgehen werden. Die Missachtung des Datenschutzrechts kann zukünftig Unternehmen ernsthaft bedrohen, da Bussgelder von 20 Millionen EUR oder 4 Prozent des weltweiten Konzernumsatzes möglich sind. Die gemäss Art. 82 in bestimmten Fällen greifende gesamtschuldnerische Haftung von Auftraggeber (Verantwortlichem) und Auftragnehmer (Auftragsdatenverarbeiter) kann hierbei ein zusätzliches Risiko für ein Unternehmen darstellen. Diese Änderung stellt somit auch ganz neue Anforderungen an die jeweiligen Evaluations- und Auswahlkriterien von bestehenden bzw. neuen Dienstleistern (Auftragsdatenverarbeitern)!

GDPR-Ready? Setzen Sie auf eine unabhängige Überprüfung!
Selbst wenn Sie der Meinung sind alle Massnahmen ergriffen zu haben, empfehlen wir Ihnen unbedingt diese durch ein unabhängiges Audit überprüfen zu lassen. Auch wenn Sie Unterstützung bei der Einführung bzw. Umsetzung der DSGVO benötigen, stehen Ihnen die Fachspezialisten der ISPIN gerne mit Rat und Tat zur Verfügung.