FLEETMANAGEMENT sffv-Seminar «Datenschutz im Fuhrpark»
So funktioniert der Umgang mit Personendaten im Unternehmen Nach den Grundlagen im ersten Teil befasste sich der zweite Teil des sffv-Seminars «Datenschutz im Fuhrpark» mit der Implementierung dieser komplexen Thematik. Zur Seite standen dem Schweizer Mobilitätsverband sffv wiederum die Experten der Kanzlei BÜHLMANN KOENIG & PARTNER, in Person von Regina Arquint, Rechtsanwältin und Datenschutzexpertin. Text: Rafael Künzle
A
m 4. November folgte die Fortsetzung des zweiteiligen sffv-Seminars «Datenschutz im Fuhrpark», welches vom Schweizer Mobilitätsverband in Kooperation mit der Kanzlei BÜHLMANN KOENIG & PARTNER durchgeführt wurde. Regina Arquint, Rechtsanwältin CIPP/E, widmete sich diesmal der Implementierung des Datenschutzes. Die Rechenschaftspflicht Für die Implementierung des Datenschutzes nach neuem Schweizer Datenschutzrecht (nDSG) und EU-Recht (DSGVO) – soweit Letzteres anwendbar ist – ist es wichtig, dass sich die Verantwortlichen und Mitarbeitenden erst mal ihrer Rechenschaftspflicht bewusst sind und wissen, nach welchen Grundsätzen die Personendaten zu bearbeiten sind und wie mit Personendaten korrekt umzugehen ist. Richtlinien, Wegleitungen, FAQ oder Trainings können probate Mittel zur Sicherstellung der «Awareness» und des notwendigen Know-hows im Unternehmen sein. Detaillierte Vorgaben über die notwendigen Umsetzungsmassnahmen gibt es seitens nDSG und DSGVO zwar nicht, lassen sich aber im Wesentlichen aus Art. 8 nDSG und
44
aboutFLEET 01/2022
Art. 24 der DSGVO ableiten. Diese knüpfen an einem risikobasierten Ansatz an. Das bedeutet, dass das verantwortliche Unternehmen, wie auch ein allfälliger Auftragsbearbeiter, durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten haben. Das Risiko ist dabei im Wesentlichen anhand der Art, des Umfangs, der Umstände und der Zwecke der Bearbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere der Risiken für die betroffenen Personen zu beurteilen. Das Compliance-Framework Die Implementierung des Datenschutzes erfordert also Richtlinien, Prozesse und Massnahmen sowie erhöhte Dokumentationspflichten. Zudem lohnt sich die Prüfung für ein Schweizer Unternehmen, ob allenfalls ein Datenschutzbeauftragter nach DSGVO notwendig ist und ob gegebenenfalls ein EUVertreter bestellt werden muss. Ein wichtiger Prozess bei der Implementierung des Datenschutzes ist das Definieren eines sogenannten «Compliance-Frame-
Regina Arquint Rechtsanwältin und Datenschutz expertin.
works». Dieser Leitfaden sollte folgende Aspekte enthalten: • Inventar der Datenverarbeitungen – mit Compliance Assessment und – Datenschutz-Folgeabschätzung, soweit notwendig • Informationspflichten – Mitarbeiter – Kunden • Datenschutzrichtlinien – weitere Anleitungen, FAQ
