GDPR gilt: Antworten auf die wichtigsten Fragen GDPR gilt: Antworten auf die wichtigsten Fragen

Die EU GDPR (General Data Protection Regulation bzw. die EU-Datenschutzgrundverordnung DSGVO) hat letzthin für viel Furore gesorgt: Die meisten betroffenen Schweizer Unternehmen haben sich indes gut auf die neue Regulierung vorbereitet. Die GDPR ist nun in Kraft getreten. Was ist zu erwarten, und was bedeutet das für Schweizer Unternehmen?

Viele Schweizer Unternehmen mussten prüfen und entscheiden, ob sie mit ihren Geschäftstätigkeiten unter die GDPR fallen oder nicht. Dazu waren etliche Abklärungen nötig. Internationale Unternehmen waren praktisch alle betroffen, während viele lokale Firmen zum Schluss kamen, sie seien nicht betroffen. Einige der marginal betroffenen Schweizer Unternehmen haben sich jedoch angesichts des kommenden Schweizer Datenschutzgesetzes dafür entschieden, vorsorglich ein GDPR-konformes Datenschutz Compliance Framework zu etablieren. Denn das kommende schweizerische DSG ist im Kern inhaltlich deckungsgleich mit der GDPR. Für die Erstellung eines Datenschutz Compliance Framework haben sich aber diese Unternehmen mehr Zeit nehmen können.

Maturität: Wie kann GDPR in das Compliance Framework integriert werden? Welche Non Compliance-Risiken kann man identifizieren? Seit dem Erlass der Regulierung im Mai 2016 haben sich die Unternehmen diese und viele weitere Fragen stellen müssen – eine Mammutaufgabe!

Aufbau: Die anspruchsvolle praktische Umsetzung machte deutlich, dass die GDPR aus Sicht der Datensubjekte geschrieben wurde und nicht aus Sicht der betroffenen Unternehmen. Schliesslich haben letztere die Rolle eines „Datenschutz-Verantwortlichen / Data Controller“ oder eines Auftragsverarbeiters / Data Processor“ inne und müssen interpretieren, wie die Vorgaben in der Praxis zu realisieren sind. Entsprechend unterschiedlich sind die Lösungsansätze ausgefallen und ist damit der gegenwärtige Stand der Compliance in den einzelnen Unternehmen.

Die Elemente des GDPR Compliance Framework, die zum heutigen Tag mindestens bereitstehen sollten, sind folgende:

• Dokumentierte Abklärung und Entscheidung, ob und in welchen Bereichen das Unternehmen unter die GDPR fällt
• Privacy Data Governance mit klaren Rollen und Verantwortlichkeiten, mitunter mit einem Data Protection Officer (DPO), wo ein solcher von der GDPR gefordert ist
• Den GDPR-Anforderungen angepasste Datenschutz-Policy sowie eine Cookies-Policy
• Anpassung der vertraglichen Regelungen mit Dritten bezüglich personenbezogenen Daten
• Vorbereiteter Prozess für die Erfassung, Prüfung und wo nötig Rapportierung von Datenschutzverletzungen
• Verarbeitungsverzeichnis für Personendaten
• Entsprechenden Datenschutz-Folgeabschätzungen, wo notwendig
• Sicherstellung der jeweiligen Rechtsgrundlagen für die gesetzeskonforme Verarbeitung von personenbezogenen Daten. Hierbei ist zu beachten, dass die Einwilligung nur eine von sechs möglichen Optionen ist.
• Prozesse zur Erfüllung der Pflichten gegenüber den Datensubjekten für deren Datenberichtigungs- und Auskunftsbegehren und deren „Recht auf Vergessen“, bzw. deren Forderung auf Datenlöschung sowie die Forderung der Datenminimierung
• Aufbau und Dokumentation eines adäquaten technischen Schutzniveaus zur Sicherung der personenbezogenen Daten (z.B. mittels einer ISO 27001 Zertifizierung)
• Integration der Datenschutzrisiken in das Risk Management und Aufbau von entsprechenden Controls und Dokumentationen für die Revisionsfähigkeit

Aufgrund des durch die jeweilige Unternehmenstätigkeit individuellen Risikos haben heute die wenigsten Unternehmen alle Elemente vollständig operativ umgesetzt. Die Kernelemente wie Policies und Prozesse sind bei den meisten jedoch etabliert.

GDPR betrifft die EU, hat aber auch extraterritoriale Effekte. Schweizer Unternehmen sind per se ausserhalb der EU und zudem oft auch noch ausserhalb der EU tätig. Sie treffen hierbei in Ländern wie China und Russland auf lokale Regulierungen, die dem GDPR zum Teil diametral entgegenstehen. Die Unternehmen waren daher gezwungen, ein globales Mapping der Regulatierungen zu erstellen und sich Konzepte zu erarbeiten, wie die Datenhaltung und der Datenaustausch über die z.T. gegenläufigen regulatorischen Vorgaben erfolgen können.

Angesichts der letzten Geschehnisse rund um Facebook und Cambridge Analytica muss auch damit gerechnet werden, dass die Welt bezüglich der Notwendigkeit eines effektiven Datenschutzes erwacht ist und die USA oder weitere Länder zeitnah GDPR-ähnliche Regulierungen erlassen werden.

Die zentrale Frage der Unternehmen lautet: Wie werden sich die Behörden verhalten? Werde ich kontrolliert werden? Kann ich von einer EU-Behörde zur Rechenschaft gezogen werden?

Der Gesetzgeber hat mit dem GDPR auch die Behörden in eine schwierige Lage gebracht, da er ihnen erheblich stärkere Kontroll- und Sanktionsbefugnisse erteilt. Über die Auswirkungen und was dies für die Ressourcen der Behörden bedeutet, hat man sich wenig Gedanken gemacht.

Sollten alle schweren und v.a. auch nur vermeintlich schweren Datenschutzverletzungen (von denen es noch mehr geben dürfte) den Weg zu den Behörde finden, so werden diese vehement überrollt werden. Wohl haben Behörden in der EU hunderte zusätzliche Mitarbeitende eingestellt, doch dürfte dies kaum genügen, um die zu erwartenden Fallzahlen abzuarbeiten. Die hohen Bussen haben ihre Signalwirkung, und so werden die Unternehmen eher vorsorglich rapportieren als unberechenbare Risiken einzugehen.

Diese Situation erkennend, haben einzelne EU-Behörden kundgetan, dass sie zumindest zu Beginn wenig proaktiv tätig werden würden. Dennoch müssen sie im Falle von effektiven Datenschutz-Verletzungen ihren gesetzlichen Pflichten nachkommen. Ihre limitierten Ressourcen werden sie folglich zur Priorisierung nötigen, und es ist zu erwarten, dass zu Beginn der Fokus auf die ganz schweren Fälle gesetzt wird.

Um alle anderen Fälle abarbeiten zu können, werden die Behörden drei Optionen haben:

• Bearbeitungsdauer strecken
• Alternative und hinlänglich effiziente Verfahren einrichten
• Aufgaben an Dritte (z.B. akkreditierte Prüfgesellschaften) delegieren.

Für die Unternehmen besteht also bezüglich GDPR Umsetzungsmassnahmen zu Beginn noch einiger Spielraum. Kommen jedoch Klagen auf, müssen die Behörde und das Unternehmen aktiv werden. Damit ist die oben aufgeführte Mindestbereitschaft nötig.

Mit der Zeit werden aber bestimmt auch die gesetzlich möglichen, proaktiven Aktivitäten erfolgen. Man darf durchaus auch davon ausgehen, dass künftig Bussen ein Mittel zur Finanzierung der vielen neuen Beamten sein werden. Daher ist langfristig die Etablierung eines soliden Datenschutz Compliance Framework unerlässlich.

Die EU-Behörden können unmittelbar innerhalb der EU wirken. Wollen sie die extraterritorialen Effekte des GDPR mittels von ihnen getroffener Massnahmen durchsetzen, müsste dies über entsprechende Kooperationsabkommen erfolgen. Noch ist unklar, wie sich das für einen EU-Regulator, der in der Schweiz wirksam werden möchte, genau abspielen könnte. Sicher werden in der EU ansässige Einheiten schweizerischer Unternehmen adressiert werden können.

Zurzeit sind von vielen Prüfgesellschaften (auch KPMG) Initiativen im Gange, um sich von entsprechenden staatlichen Behörden als GDPR-Zertifizierer akkreditieren zu lassen. Die ersten Anbieter sind im Spätsommer zu erwarten. Danach sollte es möglich sein, eine GDPR-Zertifizierung erlangen zu können.

Angesichts der hohen finanziellen Wirkung einer Busse werden sich die meisten Prüfer auf den Standpunkt stellen, dass GDPR Non-Compliance ein hohes Risiko darstellt und den Auditverantwortlichen in den jeweiligen Boards entsprechende Audits vorschlagen.

Es kann nicht ausgeschlossen werden, dass Firmen versuchen, Mitbewerber zu beeinträchtigen, indem sie mittels einzelner Datensubjekte Verstösse ihrer Konkurrenten gegen die GDPR geltend machen.

Es ist auch nicht auszuschliessen, dass Kunden oder Mitarbeitende die Rechte aus dem GDPR dazu verwenden werden, sich an einer Firma zu rächen. Unternehmen sollten sich deshalb mittels Use Cases darauf vorbereiten, wie sie mit einer solchen Situation umgehen wollen. Bereits kursiert der sog. „GDPR Nightmare Letter“ im Netz. Auch wenn dessen Inhalt so kaum einforderbar ist, gibt es einen Hinweis auf das Gedankengut entsprechender Gruppierungen.

Zugleich werden immer mehr Menschen über Medien von ihren Rechten erfahren und sich entsprechende Gedanken machen sowie Fragen stellen.

• Bezüglich der betroffenen Legacy: Analyse der weiteren Publikationen der EU bez. GDPR (Working Party 29) und beobachten der Entwicklungen der verschiedenen lokalen Datenschutzgesetze, insbesondere natürlich des schweizerischen Datenschutzgesetzes.
• Stresstest des gegenwärtigen GDPR Compliance Framework mittels Use Cases: Ist das heutige Framework imstande, die wahrscheinlichsten Fälle abzudecken?
• Weiterer Ausbau des Datenschutz Compliance Framework nach dem Risiko- und „Zwiebelprinzip“: Das datenschutzrechtlich Brisante sowie das gegen aussen hin Sichtbare sollen zuerst angegangen werden. Unternehmen, die nicht alles umgesetzt haben, sollten begründen können, wie sie die Lage beurteilt haben, und wie sie zu ihrer Prioritätensetzung gekommen sind. Zudem müssen sie einen Plan vorlegen können, welcher aufzeigt, wann und wie der Aufbau der einzelnen Elemente erfolgen soll.
• Automatisierung des Datenschutz Compliance Framework so, dass es mit möglichst wenig Personalressourcen unterhalten werden kann. Im Sinne der „Lean Compliance“ können hier erhebliche Ersparnisse erzielt werden.
• Erstellen globaler Regulierungskarten und Festlegen eines entsprechenden Datenmodells, das mit diesen Regulierungen umgehen kann.