GDPR gilt: Antworten auf die wichtigsten Fragen GDPR gilt: Antworten auf die wichtigsten Fragen
Die EU GDPR (General Data Protection Regulation bzw. die EU-Datenschutzgrundverordnung DSGVO) hat letzthin für viel Furore gesorgt: Die meisten betroffenen Schweizer Unternehmen haben sich indes gut auf die neue Regulierung vorbereitet. Die GDPR ist nun in Kraft getreten. Was ist zu erwarten, und was bedeutet das für Schweizer Unternehmen?
Stand der Umsetzung: Betroffene in der Schweiz und in Revision befindliches, schweizerisches DSG
Viele Schweizer Unternehmen mussten prüfen und entscheiden, ob sie mit ihren Geschäftstätigkeiten unter die GDPR fallen oder nicht. Dazu waren etliche Abklärungen nötig. Internationale Unternehmen waren praktisch alle betroffen, während viele lokale Firmen zum Schluss kamen, sie seien nicht betroffen. Einige der marginal betroffenen Schweizer Unternehmen haben sich jedoch angesichts des kommenden Schweizer Datenschutzgesetzes dafür entschieden, vorsorglich ein GDPR-konformes Datenschutz Compliance Framework zu etablieren. Denn das kommende schweizerische DSG ist im Kern inhaltlich deckungsgleich mit der GDPR. Für die Erstellung eines Datenschutz Compliance Framework haben sich aber diese Unternehmen mehr Zeit nehmen können.
Compliance Frameworks
Maturität: Wie kann GDPR in das Compliance Framework integriert werden? Welche Non Compliance-Risiken kann man identifizieren? Seit dem Erlass der Regulierung im Mai 2016 haben sich die Unternehmen diese und viele weitere Fragen stellen müssen – eine Mammutaufgabe!
Aufbau: Die anspruchsvolle praktische Umsetzung machte deutlich, dass die GDPR aus Sicht der Datensubjekte geschrieben wurde und nicht aus Sicht der betroffenen Unternehmen. Schliesslich haben letztere die Rolle eines „Datenschutz-Verantwortlichen / Data Controller“ oder eines Auftragsverarbeiters / Data Processor“ inne und müssen interpretieren, wie die Vorgaben in der Praxis zu realisieren sind. Entsprechend unterschiedlich sind die Lösungsansätze ausgefallen und ist damit der gegenwärtige Stand der Compliance in den einzelnen Unternehmen.
Die Elemente des GDPR Compliance Framework, die zum heutigen Tag mindestens bereitstehen sollten, sind folgende:
- Dokumentierte Abklärung und Entscheidung, ob und in welchen Bereichen das Unternehmen unter die GDPR fällt
- Privacy Data Governance mit klaren Rollen und Verantwortlichkeiten, mitunter mit einem Data Protection Officer (DPO), wo ein solcher von der GDPR gefordert ist
- Den GDPR-Anforderungen angepasste Datenschutz-Policy sowie eine Cookies-Policy
- Anpassung der vertraglichen Regelungen mit Dritten bezüglich personenbezogenen Daten
- Vorbereiteter Prozess für die Erfassung, Prüfung und wo nötig Rapportierung von Datenschutzverletzungen
- Verarbeitungsverzeichnis für Personendaten
- Entsprechenden Datenschutz-Folgeabschätzungen, wo notwendig
- Sicherstellung der jeweiligen Rechtsgrundlagen für die gesetzeskonforme Verarbeitung von personenbezogenen Daten. Hierbei ist zu beachten, dass die Einwilligung nur eine von sechs möglichen Optionen ist.
- Prozesse zur Erfüllung der Pflichten gegenüber den Datensubjekten für deren Datenberichtigungs- und Auskunftsbegehren und deren „Recht auf Vergessen“, bzw. deren Forderung auf Datenlöschung sowie die Forderung der Datenminimierung
- Aufbau und Dokumentation eines adäquaten technischen Schutzniveaus zur Sicherung der personenbezogenen Daten (z.B. mittels einer ISO 27001 Zertifizierung)
- Integration der Datenschutzrisiken in das Risk Management und Aufbau von entsprechenden Controls und Dokumentationen für die Revisionsfähigkeit
Aufgrund des durch die jeweilige Unternehmenstätigkeit individuellen Risikos haben heute die wenigsten Unternehmen alle Elemente vollständig operativ umgesetzt. Die Kernelemente wie Policies und Prozesse sind bei den meisten jedoch etabliert.
Konflikt mit anderen globalen Regulierungen
GDPR betrifft die EU, hat aber auch extraterritoriale Effekte. Schweizer Unternehmen sind per se ausserhalb der EU und zudem oft auch noch ausserhalb der EU tätig. Sie treffen hierbei in Ländern wie China und Russland auf lokale Regulierungen, die dem GDPR zum Teil diametral entgegenstehen. Die Unternehmen waren daher gezwungen, ein globales Mapping der Regulatierungen zu erstellen und sich Konzepte zu erarbeiten, wie die Datenhaltung und der Datenaustausch über die z.T. gegenläufigen regulatorischen Vorgaben erfolgen können.
Angesichts der letzten Geschehnisse rund um Facebook und Cambridge Analytica muss auch damit gerechnet werden, dass die Welt bezüglich der Notwendigkeit eines effektiven Datenschutzes erwacht ist und die USA oder weitere Länder zeitnah GDPR-ähnliche Regulierungen erlassen werden.
Herausforderung „Datenschutzbehörden“: Wird eine EU-Behörde kontrollieren kommen?
Die zentrale Frage der Unternehmen lautet: Wie werden sich die Behörden verhalten? Werde ich kontrolliert werden? Kann ich von einer EU-Behörde zur Rechenschaft gezogen werden?
Der Gesetzgeber hat mit dem GDPR auch die Behörden in eine schwierige Lage gebracht, da er ihnen erheblich stärkere Kontroll- und Sanktionsbefugnisse erteilt. Über die Auswirkungen und was dies für die Ressourcen der Behörden bedeutet, hat man sich wenig Gedanken gemacht.
Sollten alle schweren und v.a. auch nur vermeintlich schweren Datenschutzverletzungen (von denen es noch mehr geben dürfte) den Weg zu den Behörde finden, so werden diese vehement überrollt werden. Wohl haben Behörden in der EU hunderte zusätzliche Mitarbeitende eingestellt, doch dürfte dies kaum genügen, um die zu erwartenden Fallzahlen abzuarbeiten. Die hohen Bussen haben ihre Signalwirkung, und so werden die Unternehmen eher vorsorglich rapportieren als unberechenbare Risiken einzugehen.
Diese Situation erkennend, haben einzelne EU-Behörden kundgetan, dass sie zumindest zu Beginn wenig proaktiv tätig werden würden. Dennoch müssen sie im Falle von effektiven Datenschutz-Verletzungen ihren gesetzlichen Pflichten nachkommen. Ihre limitierten Ressourcen werden sie folglich zur Priorisierung nötigen, und es ist zu erwarten, dass zu Beginn der Fokus auf die ganz schweren Fälle gesetzt wird.
Um alle anderen Fälle abarbeiten zu können, werden die Behörden drei Optionen haben:
- Bearbeitungsdauer strecken
- Alternative und hinlänglich effiziente Verfahren einrichten
- Aufgaben an Dritte (z.B. akkreditierte Prüfgesellschaften) delegieren.
Für die Unternehmen besteht also bezüglich GDPR Umsetzungsmassnahmen zu Beginn noch einiger Spielraum. Kommen jedoch Klagen auf, müssen die Behörde und das Unternehmen aktiv werden. Damit ist die oben aufgeführte Mindestbereitschaft nötig.
Mit der Zeit werden aber bestimmt auch die gesetzlich möglichen, proaktiven Aktivitäten erfolgen. Man darf durchaus auch davon ausgehen, dass künftig Bussen ein Mittel zur Finanzierung der vielen neuen Beamten sein werden. Daher ist langfristig die Etablierung eines soliden Datenschutz Compliance Framework unerlässlich.