Datenschutz in Unternehmen
Seit 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in der EU in Kraft und findet ab 20. Juli mit Übergangsbestimmungen auch im Fürstentum Liechtenstein Anwendung. Ziel dieser Verordnung sind vor allem die Stärkung der Rechte von natürlichen Personen als auch die Vereinfachung des freien Datenverkehrs.
Potentielle Auswirkungen auf Unternehmen
Im Privatkundenbereich tätige Unternehmen sind täglich mit sensiblen Personendaten konfrontiert und laufen ohne datenschutzbezogene Massnahmen Gefahr, Bussen von bis zu EUR 20 Mio. oder 4% des konzernweiten Umsatzes bezahlen zu müssen, sollten sie gegen die DSGVO bzw. die lokal umgesetzten Gesetze verstossen. Betroffen sind aber nicht nur Unternehmungen mit Sitz im EU-/EWR-Raum, sondern auch alle jene Unternehmen, welche in diesem Markt tätig sind, wie z. B. viele Liechtensteiner und Schweizer Unternehmen.
Um welche Daten geht es überhaupt?
Der Hauptanwendungsbereich der DSGVO ist vor allem die automatisierte Verarbeitung personenbezogener Daten, wie z. B. Online-Bestellungen, Cookies oder Standortdaten. Darüber hinaus sind aber auch nicht-automatisierte Verarbeitungen betroffen, wie z. B. Kundenkarteien (auch nicht-elektronische!).
Zum besseren Verständnis der DSGVO müssen zwei wichtige Begriffe unterschieden werden:
- personenbezogene Daten / Personendaten
- Verarbeitung
Personendaten umfassen nur Daten zu natürlichen Personen (also keine Firmen) bzw. solche Daten, welche sich auf eine identifizierbare natürliche Person beziehen, wie z. B. Name, Adresse, Sozialversicherungsnummer, Standortdaten oder Hobbies. Verboten sind in der Regel die Verarbeitungen von personenbezogenen Daten aus sogenannten «besonderen Kategorien», wie z. B. ethnische Herkunft, politische Meinung, Religion, Gewerkschaftszugehörigkeit, Gesundheitsdaten oder sexuelle Orientierung.
Die Verarbeitung ist ein weitreichender Begriff, welcher alle möglichen Umgangsformen mit Personendaten umfasst. So sind beispielsweise Erfassen, Ordnen, Speichern, Ändern, Weitergeben oder Löschen von Daten allesamt Tätigkeiten, welche als «Verarbeitung» im Sinne der DSGVO verstanden werden.
Überblick wichtigste Änderungen
Pflichten bei der Datenverarbeitung
Betreffend die Verarbeitung gibt es acht Grundsätze, welche es zu beachten gilt:
Aus rechtlicher Sicht gilt es für Unternehmen insbesondere die Information von betroffenen Personen sowie die Sicherstellung der Rechtmässigkeit der Datenverarbeitung zu beachten. Bei der Informationspflicht gibt es folgende Minimalanforderungen an die Informationen gegenüber betroffenen Personen bzw. Kunden, welche jedes Unternehmen zu erfüllen hat:
- Name und Kontaktdaten des Verantwortlichen (für die Personendaten) und ggf. des Vertreters in der EU
- Kontaktdaten des (allfälligen) Datenschutzbeauftragten
- Zweck und Rechtsgrundlage der Verarbeitung
- Kategorien der verarbeiteten personenbezogenen Daten
- Empfänger oder Kategorien von Empfängern der Daten
- Dauer der Speicherung der Daten
- Alle Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, und Datenübertragbarkeit, Beschwerderecht bei Aufsichtsbehörde)
- Hinweis, ob der Betroffene gesetzlich oder vertraglich zur Bereitstellung personenbezogener Daten verpflichtet ist
- Hinweis und Information zum Bestehen von Profiling oder einer anderen automatisierten Entscheidungsfindung
- Herkunft der Daten, wenn die Daten nicht beim Betroffenen selbst erhoben werden
Bei der Sicherstellung der Rechtmässigkeit der Datenverarbeitung gibt es grundsätzlich zwei Varianten. Entweder wird eine Einwilligung des Kunden bzw. der betroffenen Personen eingeholt, oder es liegt ein anderer Rechtfertigungsgrund vor, wie z. B. Voraussetzung für eine Vertragserfüllung oder vorvertragliche Massnahme, Erfüllung einer rechtlichen Verpflichtung, Schutz von lebenswichtigen Interessen, öffentliches Interesse / Ausübung öffentlicher Gewalt oder aber ein überwiegendes, berechtigtes Interesse.
Da in der zweiten Variante die Gründe immer gerechtfertigt sein müssen, bedeutet dies in der Praxis, dass die schriftliche Zustimmung wohl immer wichtiger wird. Ob sich dabei die Umgestaltung von AGB, ein Absatz im Hauptvertrag (Hervorhebung in beiden Fällen zwingend) oder ein separates Dokument durchsetzen wird, ist noch offen.
Was muss ich als Unternehmen tun?
Wir empfehlen, das eigene Unternehmen schnellstmöglich mittels folgenden Schritten für die DSGVO fit zu machen:
Darüber hinaus gilt es, das Unternehmen mittels folgender Massnahmen abzusichern und auf potenzielle Anfragen vorzubereiten:
Fazit
Wir empfehlen vor allem die Überprüfung und Überarbeitung von Rechtstexten aller Art, wie z. B. Verträge, AGB, Impressum und das Einholen separater Einwilligungen der Kunden, um die Basis für eine DSGVO-Konformität zu schaffen.
Ist die Verarbeitung der Personendaten eine Kerntätigkeit des Unternehmens oder hat Ihr Unternehmen mehr als 250 Mitarbeitende, wird das Anlegen eines Verzeichnisses von Verarbeitungstätigkeiten und ein laufendes Risiko-Assessment für Folgenabschätzung zwingend. Selbes gilt für die Benennung eines Datenschutzbeauftragten und einer EU-Vertretung, im Falle einer Kerntätigkeit im Bereich Personendaten.
Darüber hinaus ist es sinnvoll, Mitarbeitende auf das Thema zu sensibilisieren und Standardprozesse für Anliegen im Zusammenhang mit Personendaten zu implementieren (z. B. Auskunft, Berichtigung, Löschung und Übertragung von Personendaten). Die Sicherstellung technischer und organisatorischer Massnamen, die damit zusammenhängende Sicherstellung der Nachweisbarkeit sowie die laufende Überprüfung der Datenschutzkonformität runden Ihre Datenschutzbestrebungen ideal ab.s Here