EU-DSGVO: Sind Schweizer Unternehmen bereit?
Massnahmen bei Organisation und Prozessen
Um die erwähnten Anforderungen einzuhalten, sind organisatorische Massnahmen erforderlich, welche die im Unternehmen für den Datenschutz zuständigen Stellen sowie deren Aufgaben und Verantwortlichkeiten festlegen. Es sind Prozesse zu definieren, die sicherstellen, dass die von der DSGVO verlangten Massnahmen umgesetzt werden, etwa dass Gesuche betroffener Personen um Auskunft betreffend die über sie bearbeiteten Daten oder die Geltendmachung von Ansprüchen Betroffener auf Berichtigung, Sperrung oder Löschung von Daten ordnungsgemäss behandelt werden. Speziell anspruchsvoll ist die Anforderung, dass bei festgestellten Datenschutzverstössen binnen 72 Stunden eine Meldung an die Aufsichtsbehörden zu erfolgen hat und eine allfällige Überschreitung dieser Frist zu begründen ist. Nur wenn die Zuständigkeiten und Abläufe für solche Fälle im Voraus geregelt sind, kann die geforderte Frist eingehalten beziehungsweise eine nachvollziehbare Begründung bei einer allfälligen Fristüberschreitung geliefert werden. Auch rechtliche Massnahmen haben zu erfolgen: inhaltlich korrekte Formulierungen von Standardtexten für die Information der betroffenen Personen bei der Erhebung von Daten oder für Einwilligungserklärungen betroffener Personen zur Bearbeitung ihrer Daten (bei Vertragsabschlüssen, auf Webseiten, bei Wettbewerben etc.).
Datenverarbeitungen inventarisieren
Von zentraler Bedeutung bei der Vorbereitung auf die Compliance mit der Datenschutz-Grundverordnung ist ausserdem auch die Erstellung eines Verfahrensverzeichnisses. Im Verfahrensverzeichnis sind alle Verarbeitungstätigkeiten im Unternehmen, zusammen mit den relevanten Angaben betreffend des Zwecks der Verarbeitung sowie der Kategorien betroffener Personen, verarbeiteter Daten und Datenempfänger etc., zu erfassen. Erst auf der Basis dieses Inventars der Datenverarbeitungen eines Unternehmens kann überhaupt festgestellt werden, welche weiteren Massnahmen (Datensicherheit etc.) im Hinblick auf die Datenschutz-Compliance erforderlich sind.
Für Unternehmen, deren Geschäftstätigkeit auch die Verarbeitung von Personendaten umfasst, für die sie dem EU-Datenschutzrecht unterstellt sind, wird die Zeit zur termingerechten Sicherstellung der Konformität ihrer Datenverarbeitung mit der DSGVO per Ende Mai 2018 bald eng. Ein weiteres Zuwarten ist nicht mehr zu rechtfertigen und wer nicht selbst über das erforderliche fachliche und rechtliche Know-how verfügt, sollte sich nicht scheuen, die Unterstützung externer Experten anzufordern.