sffv-Seminar «Datenschutz im

Next Article

Verbandsnachrichten

So funktioniert der Umgang mit Personendaten im Unternehmen

Nach den Grundlagen im ersten Teil befasste sich der zweite Teil des sffvSeminars «Datenschutz im Fuhrpark» mit der Implementierung dieser komplexen Thematik. Zur Seite standen dem Schweizer Mobilitätsverband sffv wiederum die Experten der Kanzlei BÜHLMANN KOENIG & PARTNER, in Person von Regina Arquint, Rechtsanwältin und Datenschutzexpertin. Text: Rafael Künzle

Am 4. November folgte die Fortsetzung des zweiteiligen sffv-Seminars «Datenschutz im Fuhrpark», welches vom Schweizer Mobilitätsverband in Kooperation mit der Kanzlei BÜHLMANN KOENIG & PARTNER durchgeführt wurde. Regina Arquint, Rechtsanwältin CIPP/E, widmete sich diesmal der Implementierung des Datenschutzes.

Die Rechenschaftspflicht

Für die Implementierung des Datenschutzes nach neuem Schweizer Datenschutzrecht (nDSG) und EU-Recht (DSGVO) – soweit Letzteres anwendbar ist – ist es wichtig, dass sich die Verantwortlichen und Mitarbeitenden erst mal ihrer Rechenschaftspflicht bewusst sind und wissen, nach welchen Grundsätzen die Personendaten zu bearbeiten sind und wie mit Personendaten korrekt umzugehen ist. Richtlinien, Wegleitungen, FAQ oder Trainings können probate Mittel zur Sicherstellung der «Awareness» und des notwendigen Know-hows im Unternehmen sein. Detaillierte Vorgaben über die notwendigen Umsetzungsmassnahmen gibt es seitens nDSG und DSGVO zwar nicht, lassen sich aber im Wesentlichen aus Art. 8 nDSG und Art. 24 der DSGVO ableiten. Diese knüpfen an einem risikobasierten Ansatz an. Das bedeutet, dass das verantwortliche Unternehmen, wie auch ein allfälliger Auftragsbearbeiter, durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten haben. Das Risiko ist dabei im Wesentlichen anhand der Art, des Umfangs, der Umstände und der Zwecke der Bearbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere der Risiken für die betroffenen Personen zu beurteilen.

Das Compliance-Framework

Die Implementierung des Datenschutzes erfordert also Richtlinien, Prozesse und Massnahmen sowie erhöhte Dokumentationspflichten. Zudem lohnt sich die Prüfung für ein Schweizer Unternehmen, ob allenfalls ein Datenschutzbeauftragter nach DSGVO notwendig ist und ob gegebenenfalls ein EUVertreter bestellt werden muss.

Ein wichtiger Prozess bei der Implementierung des Datenschutzes ist das Definieren eines sogenannten «Compliance-Frame-

Regina Arquint Rechtsanwältin und Datenschutzexpertin.

works». Dieser Leitfaden sollte folgende Aspekte enthalten:

• Inventar der Datenverarbeitungen

– mit Compliance Assessment und – Datenschutz-Folgeabschätzung, soweit notwendig

• Informationspflichten

– Mitarbeiter – Kunden

• Datenschutzrichtlinien

– weitere Anleitungen, FAQ

• Verträge mit Dritten

– Auftragsdatenbearbeitungen und – allfällige EU-Standard-Vertrags-

Klauseln mit Daten-Transfer-Risiko-

Analysen nach Schrems II

• Prozesse

– Datenlöschung – Auskunftsbegehren von Kunden/

Mitarbeitern – Datenschutzverletzungen

Dass man das Thema Datenschutz sehr ernst nehmen sollte, verdeutlichte die Datenschutzexpertin anhand von jüngsten EUFällen aus der Praxis: So wurde eine italienische Unternehmung für ihre Fahrer-App, die diverse Datenschutzgrundsätze missachtete, zu einer Busse von 2,5 Millionen Euro verdonnert.

Die Informationspflicht

Damit kein juristisches Ungemach droht, ist unter anderem die Informationspflicht bei der Datenerhebung einzuhalten. Es bestehen zwar Unterschiede zwischen nDSG und DSGVO, über welche Inhalte informiert werden muss. Als grundsätzliche Regeln, wie die Information zu erfolgen hat, können folgende Punkte genannt werden: • präzis, transparent, verständlich und in leicht zugänglicher Form; • in einer klaren, einfachen und auf den

Empfängerkreis abgestimmten Sprache; • Information nach dem «layered approach» unter Berücksichtigung der technischen Entwicklungen; • Information mittels «just in time notices».

Vom Inhalt her müssen nach nDSG (abgesehen von Ausnahmefällen) so viele Informationen wie möglich mitgeteilt werden, damit die Betroffenen ihre Datenschutzrechte ausüben können und eine transparente Datenbearbeitung gewährleistet ist. Im Minimum müssen folgende Informationen mitgeteilt werden: • Identität und Kontaktdaten des Verantwortlichen; • der Bearbeitungszweck; • ggf. die Empfänger oder Kategorie der

Empfänger inkl. Auftragsverarbeiter; • die Kategorien der bearbeiteten Personendaten, wenn die Daten nicht bei der betroffenen Person erhoben werden; • der Staat und ggf. die Sicherheitsgarantien, wenn die Daten ins Ausland bekannt gegeben werden.

Das Auskunftsbegehren

Datenschutz beinhaltet nicht nur Pflichten, sondern auch Rechte. Eines davon ist das Auskunftsrecht für Betroffene. Flattert ein Auskunftsbegehren ins Unternehmen, müssen nach nDSG (abgesehen von Ausnahmefällen) so viele Informationen wie möglich mitgeteilt werden, damit die Betroffenen ihre Datenschutzrechte ausüben können und eine transparente Datenbearbeitung gewährleistet ist. Im Minimum müssen folgende Informationen mitgeteilt werden: • Identität und Kontaktdaten des Verantwortlichen; • die bearbeiteten Personaldaten als solche; • der Bearbeitungszweck; • die Aufbewahrungsdauer oder die

Kriterien zur Feststellung der Dauer; • die verfügbaren Angaben über die

Herkunft, sofern die Daten nicht direkt beim Betroffenen erhoben wurden; • ggf. das Vorliegen einer automatisierten

Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht; • ggf. die Empfänger oder Kategorie der

Empfänger inkl. Auftragsverarbeiter.

Die internen Datenschutzrichtlinien

Das Erstellen und Implementieren von internen Datenschutzrichtlinien ist eine wichtige organisatorische Massnahme zur Sicherstellung der rechtskonformen Datenbearbeitung und Gewährleistung der Datensicherheit im Unternehmen. Denn interne Datenschutzrichtlinien helfen bei der Einhaltung wesentlicher Datenschutzprozesse mit. Die internen Datenschutzrichtlinien sollten zumindest folgende Punkte enthalten: • Definitionen (personenbezogene Daten, sensitive Daten); • Datenbearbeitungsgrundsätze; • Auftragsdatenbearbeitungen; • internationale Datentransfers; • Datenschutz-Folgeabschätzungen; • Informationspflichten; • Auskunftsbegehren; • Umgang mit Kunden-, Bewerber- und

Mitarbeiterdaten; • Durchführung von Kontrollmassnahmen; • Erstellen eines Inventars für jede Datenschutzbearbeitung; • Meldepflichten bei Datenschutzverletzungen.

Abschliessend beleuchtete Regina Arquint das Thema Werbung, Newsletters und Social Media. Auch hierbei gilt das Datenschutzgesetz vollumfänglich. Des Weiteren ist eine spezielle ePrivacy-Verordnung in der EU in der Pipeline, welche auch den Umgang mit «Cookies» regelt und welche wesentlichen Auswirkungen auf die Einwilligung der Nutzer die Art der genutzten Cookies (z.B. Leistungscookies oder Werbecookies) auf Schweizer Unternehmen hat. Die genauen Inhalte sind noch nicht konkret definiert, viele Regelungen zeichnen sich jedoch bereits jetzt ab.

Die «Take-away»-Tipps

Auch der zweite Teil des sffv-Seminars «Datenschutz im Fuhrpark» war wiederum gespickt von angeregten Diskussionen und Fragen aus der Praxis. Aus den veranschlagten drei Stunden wurden schnell dreieinhalb. Es hätte gerne noch länger dauern dürfen ... Als Schlussbouquet servierte die Bündnerin wiederum einige Tipps zum Mitnehmen. Zu den «Take-aways» gehören: • die Umsetzung eines Compliance-

Management-Programms nach dem risikobasierten Ansatz der Datenbearbeitungen; • genügende Dokumentation erstellen (Accountability); • bei jeder neuer Datenbearbeitung ein

Inventar erstellen; • Umfassende Transparenz über die

Datenbearbeitungen; • mit jeder Datenauslagerung (eigene oder fremde) einen Auftragsbearbeitungsvertrag abschliessen; • Auskunftsbegehren prüfen und korrekt beantworten; • interne Regelung für die korrekte Datenbearbeitung aufsetzen; • wichtige Prozesse regeln und standardisieren.