Aufrufe
vor 5 Monaten

Netzwoche 08/2018

Illustration: vectortatu

Illustration: vectortatu / fotolia.com FOCUS EU-DSGVO EU-DSGVO: Am 25. Mai wird es ernst mur. Die neue Europäische Datenschutz-Grundverordnung (EU-DSGVO) tritt noch diesen Monat in Kraft. Viele Firmen sind mittlerweile auf den 25. Mai vorbereitet – aber nicht alle. Das Regelwerk mag in seiner Grösse und Komplexität überwältigend sein, Grund zur Panik besteht aber nicht. Betroffene Unternehmen müssen vor allem identifizieren, welche Handlungsfelder und Daten für sie relevant sind und dann entsprechend agieren. Dieser Focus hilft, die Herausforderung anzupacken. Einige Firmen wissen allerdings immer noch nicht, dass sie bald verpflichtet sein werden, die Einhaltung der allgemeinen Grundsätze der EU-DSGVO aktiv nachweisen zu können. Worauf Unternehmen dabei achten müssen, schreibt Bettina Schuhmacher, Legal Contract Manager bei Ricoh Schweiz. Auch Klaus-Peter Kaul, Regionaldirektor Schweiz bei Riverbed Technology, kommt in diesem Themenschwerpunkt zu Wort. Ihmzufolge birgt die zunehmende Abhängigkeit von Cloud-Technologien für Firmen einige Herausforderungen – auch hinsichtlich der Datensicherheit. Für Unternehmen sei es zentral zu verstehen, welchen Weg ihre Daten durchlaufen. Wie sie das erreichen, erklärt er im Fachbeitrag auf Seite 16. «Wer speichert, muss auch löschen können», sagt Thomas Failer, Gründer von Data Migration Services. Er meint damit, dass Firmen den ganzen Lebenszyklus von Informationen managen und nicht mehr in Betrieb befindliche Systeme dauerhaft abschalten müssen. Das biete eine einmalige Gelegenheit, die vorhandenen Datensätze und insbesondere die Stammdaten zu bereinigen, sagt Failer. 08 / 2018 www.netzwoche.ch © netzmedien ag

Focus EU-DSGVO 15 Die neue EU-DSGVO: Auswirkungen auf Schweizer Unternehmen Am 25. Mai 2018 tritt die neue Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, die auch Auswirkungen auf Schweizer Unternehmen haben wird. Einzelpersonen erhalten mehr Kontrolle über ihre personenbezogenen Daten und Unternehmen werden bei Verstössen zur Verantwortung gezogen. DIE AUTORIN Bettina Schuhmacher Contract Manager Legal, Ricoh Schweiz Die EU-DSGVO findet Anwendung, wenn folgende Bedingungen erfüllt sind: ·· Sachlicher Anwendungsbereich: wenn eine «ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten stattfindet, sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen» (Art. 2 Abs. 1 DSGVO). Gemeint sind also alle personenbezogenen Daten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Darunter fallen auch Daten, die auf den ersten Blick nicht als persönlich einzustufen sind, wie zum Beispiel Nutzer IDs oder GPS-Daten. ·· Räumlicher Anwendungsbereich: wenn der Datenverantwortliche oder -bearbeiter seine Niederlassung in der EU hat, unabhängig davon, ob die Bearbeitung in der EU stattfindet. Die DSGVO betrifft zudem alle Unternehmen, Behörden und gemeinnützigen Organisationen, die Waren und Dienstleistungen an Personen in der EU verkaufen, beziehungsweise Daten von EU- Bürgern erfassen und sammeln. Weshalb sie auch auf Schweizer Unternehmen anwendbar sein kann, wenn diese etwa Kundendaten von EU-Bürgern erfassen (Art. 3 DSGVO). Wesentliche Neuerungen Doch welche Rechte und Pflichten sieht die neue DSGVO vor? Gleich bleibt, wie Personendaten bearbeitet werden Bild: smolaw / shutterstock.com dürfen: Nötig ist eine Einwilligung oder ein Rechtfertigungsgrund für die Erfassung und dass Personendaten durch angemessene organisatorische und technische Massnahmen geschützt werden. Neu sind die Kontrollmöglichkeiten der betroffenen Personen: Verankert wurden unter anderem das Recht auf Information oder ein Berichtigungsrecht. Ausserdem sind Datenverantwortliche nun verpflichtet, die Einhaltung der allgemeinen Grundsätze der EU-DSGVO aktiv nachweisen zu können. Die Verordnung sieht besonders folgende Pflichten vor: ·· Personendaten müssen durch angemessene technische oder organisatorische Massnahmen gesichert sein («privacy by design»; «privacy by default»). ·· Bei mehr als 250 Beschäftigten muss der Datenverantwortliche ein elektronisches Register führen, in der die Bearbeitungstätigkeiten erfasst werden. Mögliche organisatorische und technische Massnahmen sind beispielsweise: ·· Pseudonymisierung und Verschlüsselung personenbezogener Daten ·· Zugangskontroll- und Identifikationsmanagementsysteme für den Zugang zu den Daten ·· die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls schnellstmöglich wiederherzustellen Bei Verletzungen des Schutzes personenbezogener Daten muss dies der Aufsichtsbehörde, in einigen Fällen auch der betroffenen Person, gemeldet werden. Wenn verschiedene Voraussetzungen erfüllt sind, können die Aufsichtsbehörden Sanktionen verhängen. Diese Sanktionen können ausser abschreckenden Massnahmen (etwa Mahnungen, Verwarnungen) auch Geldbussen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes umfassen. Es gibt also verschiedene, technische Massnahmen, die man ergreifen kann, um den Schutz der erfassten Daten zu gewährleisten. Ob die Einhaltung der EU-DSGVO auch für Ihr Unternehmen Pflicht ist und welche Lösung für Sie sinnvoll ist, muss jeweils einzeln abgeklärt werden. www.netzwoche.ch © netzmedien ag 08 / 2018