Die EU-Datenschutz
Grundverordnung
The Contract Centre informiert:
Die neue Datenschutz-Grundverordnung der EU gilt ab dem 25. Mai 2018. Fast alle Unternehmen ("Verantwortliche") nutzen für ihre geschäftlichen Zwecke personenbezogene Daten, aber viele Unternehmen, vor allem kleine und mittelständische ohne eigene interne IT-Ressourcen, nutzen andere Unternehmen, damit diese die Daten für sie verarbeiten ("Auftragsverarbeiter"). Beispielsweise kann der Cloud Service Provider ein Auftragsverarbeiter sein.
Beide, der Verantwortliche als auch der Auftragsverarbeiter, haben die Verantwortung, die Daten zu schützen. Eine Verletzung der Datenschutz-Grundverordnung kann zu Geldbussen von bis zu 4% des jährlichen weltweiten Umsatzes eines Unternehmens führen.
Allerdings stützt sich der Verantwortliche oft weitestgehend auf den Auftragsverarbeiter, um seine gesetzlichen Verpflichtungen bezüglich der Daten einzuhalten.
Die Datenschutz-Grundverordnung umfasst 88 Seiten und ist für den juristisch nicht versierten Leser schwer zu verstehen. Aus diesem Grund haben wir vom Contract Centre die folgende praktische Auflistung bezüglich einiger relevanter Punkte vorbereitet, die ein kleines bis mittelgrosses Unternehmen im kommenden Jahr berücksichtigen sollte.
1. Überprüfung des Cloud Service Providers
Führen Sie eine Due Diligence-Prüfung hinsichtlich Ihres Providers durch.
Wo befindet sich Ihr aktueller Provider (und wo ist sein Server basiert)? Haben Sie noch immer die Kontrolle über die Daten? Werden die Daten in ein Drittland (außerhalb der EU) übertragen? Welche Verhaltenskodizes, Normen oder Zertifizierungen (z. B. ISO) erfüllt Ihr Provider? Sind die Datensicherheit und die Sicherungsmassnahmen ausreichend? Sind die Daten verschlüsselt? Ist die Datenübertragbarkeit garantiert? Benutzt Ihr Provider andere Auftragsverarbeiter? Ist Ihr Provider bereit, einen verbindlichen Vertrag mit Verpflichtungen zum Datenschutz abzuschliessen? Wenn Ihr Provider US-basiert ist, hat er sich für das EU - U.S. Privacy Shield gelistet (Verpflichtungen, welche von der EU-Kommission als ausreichend für Datenübertragungen ins Ausland angesehen werden)?
2. Erstellen Sie eine Datenschutz-Richtlinie und führen Sie diese im Unternehmen ein
Erstellen Sie eine Datenschutz-Richtlinie unter Berücksichtigung Ihrer Verantwortlichkeiten, um den Personen, deren Daten Sie verarbeiten, geforderte Schlüsselinformationen zur Verfügung stellen zu können. Dies wird Ihnen ebenfalls helfen, intern aufzuzeigen, was getan werden muss als auch um zu beweisen, dass Sie ausreichende Verfahren eingeführt haben. Diese Richtlinie sollte leicht zu verstehen sein und u.a. folgenden Punkte enthalten:
Wer ist der Verantwortliche? Warum werden die Daten verarbeitet? Was ist die gesetzliche Grundlage dafür? Werden die Daten in ein Nicht-EU-Land übermittelt? Wie lange werden die Daten gespeichert? Liegt eine automatisierte Entscheidungsfindung vor (z. B. Profiling)? Werden Cookies verwendet und warum? Ebenfalls sollte das Recht des Betroffenen, Daten korrigieren oder löschen zu lassen, sowie das Recht, die Einwilligung zu widerrufen oder eine Beschwerde an die Aufsichtsbehörde zu richten, erwähnt sein.
3. Entwickeln Sie einen Notfallplan
Denken Sie darüber nach, was Sie im Falle einer Datenschutzverletzung tun würden. Der Plan sollte klare Anweisungen und Verfahren für das jeweilige Personal enthalten, einschließlich der erforderlichen Benachrichtigung der Aufsichtsbehörde und der betroffenen Personen. Sie müssen unverzüglich handeln (möglichst binnen 72 Stunden).
4. Einwilligung oder sonstige Rechtsgrundlage für die Verarbeitung erforderlich
Braucht es eine Einwilligung des Betroffenen, um seine Daten verarbeiten zu dürfen? Werden Daten verarbeitet, um einen Vertrag zu erfüllen? Oder gibt es ein anderes legitimes Interesse, das die Verarbeitung notwendig macht? Wenn Sie für die Datenverarbeitung eine Einwilligung benötigen, stellen Sie sicher, dass eine vorformulierte Einwilligungserklärung in einer klaren und einfachen Sprache zur Verfügung steht und dass die Einwilligung freiwillig gegeben wird. Für die Einwilligung von Kindern gelten besondere Bestimmungen.
5. Der Datenschutzbeauftragte
Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist zwar nur unter engen Voraussetzungen erforderlich, aber die Mitgliedstaaten können die Bestellung eines solchen zwingend vorschreiben. Dies bleibt im Einzelnen abzuwarten.
6. „Datenschutz by Design“
Wenn Sie jetzt Ihre Website entwerfen, schauen Sie in die Zukunft und berücksichtigen Sie schon heute die neuen Datenschutzanforderungen. Das ist meistens billiger, als später Änderungen in Eile vornehmen zu müssen.
Fazit:
Die Umsetzung der kommenden datenschutzrechtlichen Vorgaben sollte oberste Priorität auf der Agenda auch von kleineren und mittleren Unternehmen haben. Die neuen Vorgaben sind weitreichend und die finanziellen Konsequenzen bei Datenschutzverstössen können sehr schwerwiegend sein.
Noch ist aber Zeit zu handeln…
Wenn Sie Fragen haben oder Unterstützung benötigen, stehen wir Ihnen sehr gerne zur Verfügung!
The Contract Centre GmbH
Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit und ist ein unverbindlicher und kostenloser Service, der keine Rechtsberatung darstellt.
Die neue Datenschutz-Grundverordnung der EU gilt ab dem 25. Mai 2018. Fast alle Unternehmen ("Verantwortliche") nutzen für ihre geschäftlichen Zwecke personenbezogene Daten, aber viele Unternehmen, vor allem kleine und mittelständische ohne eigene interne IT-Ressourcen, nutzen andere Unternehmen, damit diese die Daten für sie verarbeiten ("Auftragsverarbeiter"). Beispielsweise kann der Cloud Service Provider ein Auftragsverarbeiter sein.
Beide, der Verantwortliche als auch der Auftragsverarbeiter, haben die Verantwortung, die Daten zu schützen. Eine Verletzung der Datenschutz-Grundverordnung kann zu Geldbussen von bis zu 4% des jährlichen weltweiten Umsatzes eines Unternehmens führen.
Allerdings stützt sich der Verantwortliche oft weitestgehend auf den Auftragsverarbeiter, um seine gesetzlichen Verpflichtungen bezüglich der Daten einzuhalten.
Die Datenschutz-Grundverordnung umfasst 88 Seiten und ist für den juristisch nicht versierten Leser schwer zu verstehen. Aus diesem Grund haben wir vom Contract Centre die folgende praktische Auflistung bezüglich einiger relevanter Punkte vorbereitet, die ein kleines bis mittelgrosses Unternehmen im kommenden Jahr berücksichtigen sollte.
1. Überprüfung des Cloud Service Providers
Führen Sie eine Due Diligence-Prüfung hinsichtlich Ihres Providers durch.
Wo befindet sich Ihr aktueller Provider (und wo ist sein Server basiert)? Haben Sie noch immer die Kontrolle über die Daten? Werden die Daten in ein Drittland (außerhalb der EU) übertragen? Welche Verhaltenskodizes, Normen oder Zertifizierungen (z. B. ISO) erfüllt Ihr Provider? Sind die Datensicherheit und die Sicherungsmassnahmen ausreichend? Sind die Daten verschlüsselt? Ist die Datenübertragbarkeit garantiert? Benutzt Ihr Provider andere Auftragsverarbeiter? Ist Ihr Provider bereit, einen verbindlichen Vertrag mit Verpflichtungen zum Datenschutz abzuschliessen? Wenn Ihr Provider US-basiert ist, hat er sich für das EU - U.S. Privacy Shield gelistet (Verpflichtungen, welche von der EU-Kommission als ausreichend für Datenübertragungen ins Ausland angesehen werden)?
2. Erstellen Sie eine Datenschutz-Richtlinie und führen Sie diese im Unternehmen ein
Erstellen Sie eine Datenschutz-Richtlinie unter Berücksichtigung Ihrer Verantwortlichkeiten, um den Personen, deren Daten Sie verarbeiten, geforderte Schlüsselinformationen zur Verfügung stellen zu können. Dies wird Ihnen ebenfalls helfen, intern aufzuzeigen, was getan werden muss als auch um zu beweisen, dass Sie ausreichende Verfahren eingeführt haben. Diese Richtlinie sollte leicht zu verstehen sein und u.a. folgenden Punkte enthalten:
Wer ist der Verantwortliche? Warum werden die Daten verarbeitet? Was ist die gesetzliche Grundlage dafür? Werden die Daten in ein Nicht-EU-Land übermittelt? Wie lange werden die Daten gespeichert? Liegt eine automatisierte Entscheidungsfindung vor (z. B. Profiling)? Werden Cookies verwendet und warum? Ebenfalls sollte das Recht des Betroffenen, Daten korrigieren oder löschen zu lassen, sowie das Recht, die Einwilligung zu widerrufen oder eine Beschwerde an die Aufsichtsbehörde zu richten, erwähnt sein.
3. Entwickeln Sie einen Notfallplan
Denken Sie darüber nach, was Sie im Falle einer Datenschutzverletzung tun würden. Der Plan sollte klare Anweisungen und Verfahren für das jeweilige Personal enthalten, einschließlich der erforderlichen Benachrichtigung der Aufsichtsbehörde und der betroffenen Personen. Sie müssen unverzüglich handeln (möglichst binnen 72 Stunden).
4. Einwilligung oder sonstige Rechtsgrundlage für die Verarbeitung erforderlich
Braucht es eine Einwilligung des Betroffenen, um seine Daten verarbeiten zu dürfen? Werden Daten verarbeitet, um einen Vertrag zu erfüllen? Oder gibt es ein anderes legitimes Interesse, das die Verarbeitung notwendig macht? Wenn Sie für die Datenverarbeitung eine Einwilligung benötigen, stellen Sie sicher, dass eine vorformulierte Einwilligungserklärung in einer klaren und einfachen Sprache zur Verfügung steht und dass die Einwilligung freiwillig gegeben wird. Für die Einwilligung von Kindern gelten besondere Bestimmungen.
5. Der Datenschutzbeauftragte
Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist zwar nur unter engen Voraussetzungen erforderlich, aber die Mitgliedstaaten können die Bestellung eines solchen zwingend vorschreiben. Dies bleibt im Einzelnen abzuwarten.
6. „Datenschutz by Design“
Wenn Sie jetzt Ihre Website entwerfen, schauen Sie in die Zukunft und berücksichtigen Sie schon heute die neuen Datenschutzanforderungen. Das ist meistens billiger, als später Änderungen in Eile vornehmen zu müssen.
Fazit:
Die Umsetzung der kommenden datenschutzrechtlichen Vorgaben sollte oberste Priorität auf der Agenda auch von kleineren und mittleren Unternehmen haben. Die neuen Vorgaben sind weitreichend und die finanziellen Konsequenzen bei Datenschutzverstössen können sehr schwerwiegend sein.
Noch ist aber Zeit zu handeln…
Wenn Sie Fragen haben oder Unterstützung benötigen, stehen wir Ihnen sehr gerne zur Verfügung!
The Contract Centre GmbH
Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit und ist ein unverbindlicher und kostenloser Service, der keine Rechtsberatung darstellt.