Datenschutz-Grundverordnung der EU: Was der Channel wissen muss

Betroffen ist jedes Schweizer Unternehmen, das Waren und Dienstleistungen mit EU-Staaten austauscht oder Bürger in der EU in die eigene Datenverarbeitung einbezieht (etwa bei der Beobachtung von Internetaktivitäten mittels Google Analytics oder bei der Erstellung von Internetprofilen).

Grundsätzlich sollten sich aber schon heute alle Schweizer Unternehmen auf die neuen Regeln einstellen. Denn die Revision des Schweizer Datenschutzgesetzes ist im Gange. Anforderungen vor allem an die Datentransparenz, Kontrollmöglichkeiten und Rechte in Bezug auf personenbezogene Daten werden voraussichtlich deutlich gestärkt. Man kann gespannt sein – doch schon jetzt ist absehbar, dass es Ähnlichkeiten geben wird. Unklar ist allerdings, wann das neue Schweizer Datenschutzgesetz in Kraft treten wird. Es empfiehlt sich trotzdem für alle, sofort mit der Prüfung und Optimierung der IT-Infrastruktur, der Datensicherheit, von Prozessen, Datenschutz-Richtlinien und Verträgen auf Vereinbarkeit mit dem Datenschutz zu beginnen. Im Folgenden wichtige Massnahmen, die Unternehmen jetzt in Angriff nehmen sollten.

Sicherheits-Audit, Ernennung eines Datenschutz-Beauftragten und Meldepflicht: Das Sicherheits-Audit behandelt unter anderem die Fragen: Wie und in welchem Umfang kann auf Daten zugegriffen werden? Ist die Art der Verarbeitung vorgabengerecht? Sind die Daten ausreichend gesichert? Ist die Einhaltung der Vorgaben im Betrieb dauerhaft garantiert? Jede Massnahme wird dokumentiert, Verstösse gegen den Datenschutz müssen unverzüglich gemeldet werden. Insbesondere bei der Einführung neuer Technologien für die Datenverarbeitung erfolgen eine Risikobewertung und eine sogenannte Datenschutzfolgeabschätzung. Ist das Risiko sehr hoch, wird die Aufsichtsbehörde ebenfalls informiert.

Rechte natürlicher Personen durch die EU-DSGVO: Bei der Sammlung und Bearbeitung – also Zugriff, Lesen, Speichern etc. – personenbezogener Daten sind die folgenden Grundsätze zwingend zu beachten:

• Das "Recht auf Information" verpflichtet das Unternehmen, Zweck und Absicht der Datenbearbeitung mitzuteilen.

• Personen haben das "Recht auf Berichtigung und Löschung" ihrer Daten.

• Das "Recht auf Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen" bedeutet, dass Verantwortliche bereits ab dem Zeitpunkt der Planung einer IT-Infrastruktur das Risiko von Datenschutzverletzungen minimieren. Voreinstellungen sind so zu gestalten, dass die Datenerfassung dem Verwendungszweck entspricht und auf das Notwendigste begrenzt wird.

• Betroffene haben das "Recht auf Sicherheit und ein angemessenes Schutzniveau" bei der Datenverarbeitung. Dazu zählen insbesondere Verschlüsselung, Vertraulichkeit, Integrität und Verfügbarkeit durch rasche Wiederherstellbarkeit.

Das "Verbot mit Erlaubnisvorbehalt": Mit der EU-­DSGVO gilt die Regel: Die Bearbeitung personenbezogener Daten ist verboten, es sei denn, sie ist durch ein Gesetz oder die Einwilligung des Betroffenen ausdrücklich erlaubt. Die Einwilligung muss freiwillig erfolgen und darf nicht von Bedingungen abhängig gemacht werden. Gleichzeitig muss sichergestellt sein, dass sie jederzeit einfach widerrufen werden kann. Sämtliche Opt-in-, Opt-out-Verfahren und elektronischen Werbemittel müssen somit neu auf ihre Zulässigkeit geprüft werden.

Zuletzt noch ein sehr wichtiger Hinweis: Bei Datendiebstahl, -manipulation oder -verlust greift das "Recht auf Meldung von Verletzungen des Schutzes personenbezogener Daten" an die Aufsichtsbehörde und die betroffenen Personen. Der Versuch, entsprechende Vorfälle in Zukunft zu verschleiern, könnte also teuer werden.