27. Jun. 2016

12 Dinge, die Sie über die neue EU-Datenschutz-Grundverordnung wissen müssen

Am 27. April 2016 hat die Europäische Union ein neues Datenschutzrecht beschlossen, die General Data Protection Regulation (GDPR), zu Deutsch EU-Datenschutz-Grundverordnung (EU-DSGVO).


Die neue Datenschutz-Grundverordnung (GDPR) ist eine Verordnung der EU, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen vereinheitlicht werden.

Es gilt für alle Unternehmen in der EU und Unternehmen im Ausland, die für Unternehmen in der EU Personendaten bearbeiten oder für sich selbst Daten von Personen in der EU bearbeiten, soweit sie diese Produkte oder Dienstleistungen anbieten.

Die EU-DSGVO gilt teils auch für in- und ausländische Behörden. Dieses betrifft somit auch viele Unternehmen in der Schweiz, denn die EU wendet sie unter bestimmen Voraussetzungen neu weltweit an.

Unternehmen haben bis am 25. Mai 2018 Zeit, um die nötigen Anpassungen vorzunehmen und die nötigen Dokumentationen zu erstellen. Bei Nichtbefolgung können Aufsichtsbehörden gegen Unternehmen Massnahmen ergreifen und diese sanktionieren.

 

12 Fakten zum GDPR / EU-DSGVO

  1. Es gelten für die Art und Weise, wie Personendaten bearbeitet werden dürfen, weiterhin die bisherigen Bearbeitungsgrundsätze, so insbesondere Grundsatz der Transparenz, der Zweckbindung und der Verhältnismässigkeit.

  2. Jede Datenbearbeitung erfordert die Einwilligung der Betroffenen oder einen anderen Rechtfertigungsgrund.

  3. Hohe Anforderungen an Gültigkeit einer Einwilligung; sie kann jederzeit zurückgezogen werden.

  4. Betroffene müssen umfassen informiert werden (die EU-DSGVO definiert Mindestinhalt), direkt oder wenn nicht möglich in gewissen Fällen über eine Publikation (z.B. Webseite)

  5. Betroffene haben umfangreiche Rechte, so namentlich auf Auskunft, auf Rückgabe übergebener Daten in elektronischer Form, auf Korrektur und Vervollständigung, auf Löschung und Weitermeldung des Löschbegehrens bei veröffentlichten Daten sowie Widerspruch gegen bestimme Bearbeitungen (z.B. Direktmarketing).

  6. Der für eine Datenbearbeitung Verantwortliche muss belegen können, dass er den Datenschutz einhält; er und teils auch die von ihm beauftragten Stellen (Provider) unterliegen umfangreichen Dokumentationspflichten.

  7. Einen betrieblichen Datenschutzbeauftragten müssen nur "Risiko-Unternehmen" ernennen, aber viele Unternehmen werden faktisch nicht ohne einen solchen auskommen.

  8. Personendaten müssen durch angemessene technische und organisatorische Massnahmen gesichert sein; eigene Datenbearbeitungen müssen so ausgestaltet sein, dass sie die Einhaltung des Datenschutzes sicherstellen (Privacy by Design) und Standard-Einstellungen, wo es solche gibt, datenschutzfreundlich sind (Privacy by Default).

  9. Datenschutzverstösse mit möglichen Folgen für Betroffene müssen der Behörde (72 Stunden) und bei schweren Folgen auch den Betroffenen gemeldet werden und sind Protokollierungspflichtig.

  10. Heikle Projekte erfordern vorgängig eine Datenschutz-Folgeabschätzung und Meldung an die Aufsichtsbehörde, soweit hohe Risiken trotz getroffener Massnahmen verbleiben

  11. Verträge mit Auftragsdatenbearbeitern (z.B. IT-Outsourcing an Provider) müssen bestimmten Anforderungen genügen; für Unterbeauftragungen ist einen Genehmigung oder ein Vetorecht mit Vorabinformation vorgeschrieben.

  12. Datentransfers in Länder ohne anerkannt angemessenen gesetzlichen Datenschutz sind nur unter bestimmten Bedingungen zulässig.

 

Was Schweizer Unternehmen jetzt wissen müssen

Der aktuelle Zeitraum, in welchem die Regelung ausgearbeitet, aber noch nicht in Kraft getreten ist, stellt die ideale Zeit dar für IT, Sicherheit und Compliance-Teams, um die neuen Anforderungen zu überprüfen, rechtlichen Rat einzuholen und Prozesse zu setzen, welche die Einhaltung ermöglichen.

„Die GDPR (EU-DSGVO) wird weniger heiss gegessen, als sie gekocht wurde. Trotzdem bietet heutige Aufmerksamkeit des Top-Managements die enorme Chance, die Datenschutz-Governance im Betrieb um Welten zu verbessern.“

David Rosenthal, Co-Leiter der Homburger AG IT-Rechtsberatung, verfügt über breite Erfahrung in der Beratung und Vertretung von Klienten in IT-Transaktionen, Outsourcings und vor Schiedsgerichten sowie im Bereich Datenschutz, E-Discovery, Internet und Telekommunikation.

Quelle: David Rosenthal, Homburger AG

Vortrag zu «General Data Protection Regulation» mit David Rosenthal

 

Melden Sie sich an für den zweiten Fachvortrag

 

Anmeldung zum Technology-Breakfast-Briefing Datenschutz in der Schweiz ab 2018

Die ICT-, Sicherheit- und Compliance-Teams sind schon jetzt gefordert, sich raschmöglichst mit den neuen Regelungen auseinanderzusetzen. Überprüfen Sie bereits heute, welche Anforderungen auf Ihre ICT-Abteilung zukommen und holen Sie sich an unserem Frühstücks-Briefing vom Experten lic. iur. David Rosenthal die notwendigen Infos.

Erfahren Sie, inwieweit Ihr Unternehmen betroffen ist, wie Sie sich den Herausforderungen der zukünftigen EU Datenschutz-Grundverordnung stellen können und wie diese Regelungen in die schweizerische Datenschutzgesetzgebung einfliessen.

Der Experte zeigt Ihnen zudem auf, wo es auch die Nutzung von Cloud-Services und in der Cloud gespeicherten Daten beeinflusst. Die Referenten von Infoniqa und Veritas zeigen Ihnen, wie sie sich schon heute als Schweizer Unternehmen und insbesondere in der IT vorbereiten können.

Kontaktieren Sie uns für weitere Informationen!

Stefanos
Gjotas

Marketing Executive