Ab dem 25. Mai 2018 gilt die neue Europäische Datenschutzgrundverordnung (EU-DSGVO). Durch die umfassende Datenschutzreform wurden einige bisher geltende Datenschutzvorschriften angepasst oder ersetzt.
Die neue DSGVO gilt aber nicht nur für Unternehmen, die ihren Sitz in der EU haben. Unternehmen ausserhalb der EU, die eines der nachstehenden Kriterien erfüllen, müssen sich ebenso an die neuen gesetzlichen Vorgaben halten – ansonsten riskieren sie hohe Strafen und Bussgelder.
Welche Unternehmen in der Schweiz sind betroffen?
Ein in der Schweiz ansässiges Unternehmen muss sich ebenso an die neue EU-DSGVO halten, wenn:
- es Dienstleistungen oder Waren in der europäischen Union anbietet
- es das Verhalten von Personen in der EU beobachtet (Beispiel: Ein Schweizer SaaS-Anbieter hat Kunden in der EU)
- es eine Niederlassung in einem EU-Land hat.
Lesen Sie dazu auch den netzwoche-Artikel EU-DSGVO – Was Schweizer Unternehmen jetzt beachten müssen.
Was sollten Unternehmen künftig beachten, um die DSGVO einzuhalten?
Künftig gelten für Unternehmen verschärfte Nachweispflichten. Das bedeutet: sie sind verpflichtet, zu jedem Verarbeitungsvorgang die Einhaltung der DSGVO nachweisen zu können. Für viele Unternehmen bedeutet das eine Anpassung und Umstrukturierung der internen Prozesse – besonders auch rund um die technischen Voraussetzungen. (Zum Thema CRM und Datenschutz haben wir die wichtigsten Informationen hier für Sie zusammengestellt.)
Zu den Grundsätzen der EU-DSGVO gehören unter anderem:
- Der Grundsatz der Transparenz: Der Umfang, der Zweck und die Speicherdauer der erhobenen Daten müssen hinterlegt sein, so dass die betroffenen Personen darüber informiert werden können.
- Der Grundsatz der Zweckbindung: Die betroffene Person muss nicht nur darüber informiert werden, zu welchem Zweck die Verarbeitung der Daten erfolgt – die erhobenen Daten dürfen auch nur zu dem angegebenen Zweck genutzt werden.
- Der Grundsatz der Datenminimierung: Zum Beispiel ist es im Rahmen einer Einschreibung in einen Newsletter-Verteiler für die Zweckerfüllung nicht notwendig zu wissen, welchen Beruf der Abonnent ausübt. Um folglich dem Grundsatz der Datenminimierung nachzukommen, darf in diesem Fall nicht nach dem Beruf gefragt werden.
Welche technischen und organisatorischen Massnahmen müssen künftig im Sinne der EU-DSGVO eingehalten werden?
Die Anforderungen zur Einhaltung der EU-DSGVO sind für Unternehmen recht aufwendig. Zum einen müssen sie ihre organisatorischen Prozesse überprüfen und anpassen, zum anderen müssen diese durch technische Massnahmen begleitet werden. Entsprechend sollten Unternehmen beispielsweise auch ihre CRM-Software nachrüsten, um künftig nachweisen zu können, wo und in welcher Form personenbezogene Daten gespeichert sind.
Achten Sie dabei auf:
- eine Trennung der Daten nach Verarbeitungszweck
- dass lediglich erforderliche Daten verarbeitet werden
- einen Zugriffsschutz per Voreinstellung
- die Anonymisierung und Pseudonymisierung der Daten
- Transparenz durch Dokumentation
Nachfolgend haben wir für Sie eine Checkliste zusammengestellt, in welcher eine Übersicht der Massnahmen aufgelistet ist, die Sie − als von der EU-DSGVO betroffenes Unternehmen − bis zum 25. Mai 2018 vorbereitet haben sollten.
