Mit den Rechten der betroffenen Personen kommen auch Pflichten auf uns Schweizer Unternehmen zu. Welche das sind, erfährst du in diesem Beitrag.
Dieser Beitrag ist Teil der Blogserie zur DSGVO (GDPR) für die Schweiz.
Pflichten für Schweizer Unternehmen
Durch den Umgang mit personenbezogenen Daten – vor allem auch durch US-amerikanische Internet-Giganten – sollen betroffene Personen innerhalb der Europäischen Union erkennen und selbst bestimmen können, wie und wofür ihre Daten verarbeitet werden. Aus den Grundsätzen und Rechten, ergeben sich eine Vielzahl von Verantwortlichkeiten für die Daten-Verarbeiter:
Einhaltung der Rechenschaftspflichten
Der Verantwortliche ist für die Einhaltung der Grundsätze nach Art. 5 DSGVO verantwortlich und muss diese nachweisen können („Rechenschaftspflicht/Accountability").
Objektive Beurteilung zu Beginn
Der Verantwortliche muss laut Art. 24 DSGVO den Grad der Gefährdung – hinsichtlich der Rechte und Freiheiten von betroffenen Personen – bereits zu Beginn der Verarbeitung objektiv einschätzen.
Datenschutz durch Technikgestaltung
Grundsätze des Datenschutzes müssen schon während der Planungsphase so berücksichtigt werden, dass sie bereits in der technischen Ausgestaltung enthalten sind ("Privacy by Design"). Art. 25 Abs. 1 DSGVO
Datenschutz durch datenschutzfreundliche Voreinstellungen
Systemseitige Voreinstellungen müssen gewährleisten, dass personenbezogene Daten, nur für den jeweiligen, bestimmten Verarbeitungszweck verarbeitet werden ("Privacy by Default"). Art. 25 Abs. 2 DSGVO
Führen eines Registers in elektronischer Form
Laut Art. 30 DSGVO muss das Register dabei
- den Namen und die Kontaktdaten des Verantwortlichen enthalten
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten aufführen
- die ausgeführten Verarbeitungstätigkeiten beinhalten
- auf Verlangen der Aufsichtsbehörde vorgelegt werden
Sicherheit der Verarbeitung
Der Verantwortliche muss nach Art. 32 DSGVO mithilfe der Technik, den angemessenen Schutz für die Rechte und Freiheiten natürlicher Personen in Bezug auf personenbezogene Daten berücksichtigen. Dies kann unter anderem durch folgende Massnahmen erreicht werden:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Durch Fähigkeit, personenbezogene Daten nach einem technischen Zwischenfall rasch wiederherzustellen
- Durch ein Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Meldepflichten bei Datenschutzverletzungen
Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich. Dieser wiederrum meldet die Verletzung der zuständigen Aufsichtsbehörde, sofern die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Art. 33 DSGVO
Datenschutz-Folgeabschätzung
Wenn die Verwendung neuer Technologien ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, führt der Verantwortliche vorab eine Abschätzung der Folgen der personenbezogenen Daten durch. Art. 35 DSGVO
Bestellung eines Datenschutzbeauftragten
Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen darin besteht, dass eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht. Art. 37 DSGVO
Persönlicher Eindruck
Mit der überschaubaren Gliederung der Pflichten für Unternehmen, haben uns die Gesetzgeber einen grossen Gefallen erwiesen. Denn so weiss ich, welche Massnahmen wir im Unternehmen ergreifen müssen, um für die DSGVO gerüstet zu sein. Und du nun auch.
Ich wünsche dir viel Erfolg bei den Vorbereitungen und hoffe, dir mit diesem Beitrag ein Stück weiterhelfen zu können.
Herzliche Grüsse
Sven
Weitere Themen zur Datenschutz-Grundverordnung findest du hier.
Haftungsausschluss: Bitte beachte, dass die Beiträge innerhalb der Blogserie keine Rechtsberatung darstellen oder ersetzen. Für eine individuelle Abklärung der Massnahmen in deinem Unternehmen, empfehle ich ggf. einen Rechtsberater aufzusuchen.
Quellen: www.dsgvo-gesetz.de, https://www.edoeb.admin.ch