Datenschutz-Revision in der EU und in der Schweiz – Praktische Tipps
Mit den aktuellen Revisionen der Datenschutzgesetze in der EU und in der Schweiz werden Schweizer Unternehmen in Zukunft einige Anpassungen an ihrer Organisation, den Prozessen und ihrer Dokumentation vornehmen müssen. Dieser Blogbeitrag gibt Tipps zu Publikationen und Tools, die dabei unterstützen können.
Jedes Unternehmen ist dafür verantwortlich, dass die eigenen Verzeichnisse und Datenschutz-Folgenabschätzungen korrekt ausgefüllt werden.
Stand der Revision des DSG
Der Entwurf und die Botschaft zum revidierten Datenschutzgesetz des Bundes wurden am 15. September 2017 publiziert. Im Januar 2018 beschloss das Parlament, den Entwurf in 2 Phasen zu beraten, wobei zuerst die Bestimmungen für den öffentlichen Bereich und erst anschliessend diejenigen für den privaten Bereich behandelt werden sollen. Das genaue Datum des Inkrafttretens des revidierten Datenschutzgesetzes ist daher zurzeit noch ungewiss. Unternehmen, die auch unter die EU-Datenschutz-Grundverordnung (DSGVO) fallen, müssen die erforderlichen Umsetzungsarbeiten aber bereits bis am 25. Mai 2018 abgeschlossen haben.
Neue Prozesse und Dokumentationen
Der Entwurf des revidierten DSG (E-DSG) zeigt, dass Unternehmen in Zukunft nach dem schweizerischen DSG ähnliche Dokumentationspflichten haben werden, wie sie auch in der DSGVO vorgesehen sind. So müssen Unternehmen beispielsweise in Zukunft nicht mehr ihre Datensammlungen dokumentieren, sondern Verzeichnisse über die Geschäftsprozesse führen, in denen Personendaten bearbeitet werden. Diese sogenannten Verzeichnisse von Bearbeitungstätigkeiten enthalten Angaben zum Unternehmen, zur Bearbeitungstätigkeit und zu den technischen und organisatorischen Massnahmen.
Ist eine geplante Datenbearbeitung voraussichtlich mit erhöhten Risiken für die betroffenen Personen verbunden, so muss in Zukunft eine sogenannte Datenschutz-Folgenabschätzung durchgeführt werden, bevor mit der Datenbearbeitung begonnen wird. Diese umfasst unter anderem eine Beschreibung der geplanten Datenbearbeitung, die Risiken, die für die betroffenen Personen entstehen und die Massnahmen, mit denen diese Risiken eingeschränkt oder verringert werden.
Da die DSGVO praktisch dieselben Pflichten vorsieht, kann betreffend den Inhalt und die Gestaltung der Verzeichnisse sowie betreffend die Durchführung von Datenschutz-Folgenabschätzungen auf diverse Publikationen von Aufsichtsbehörden und anderen offiziellen Stellen aus der EU zurückgegriffen werden.
Die folgende Übersicht enthält Hinweise und Links zu diversen Publikationen und Mustern, die im Internet publiziert wurden und die bei der Erstellung der Verzeichnisse und bei der Durchführung der Datenschutz-Folgenabschätzung praktische Hilfestellungen geben können.
Herausgeber/ Quelle
Name / Thema
Link
GDD, Gesell-schaft für Da-tenschutz und Datensicherheit
Praxishilfe V, Verzeichnis von Verarbeitungstätigkeiten
Selbstverständlich muss jedes Unternehmen, das die genannten Muster verwendet beachten, dass die Publikationen aus dem EU-Bereich auf den gesetzlichen Grundlagen der DSGVO basieren und daher allenfalls auf die konkreten schweizerischen Vorgaben angepasst werden müssen. Schlussendlich bleibt jedes Unternehmen dafür verantwortlich, dass die eigenen Verzeichnisse und Datenschutz-Folgenabschätzungen korrekt ausgefüllt werden. Die Muster ersetzen daher nicht eine allfällig notwendige Rechtsberatung, aber sie enthalten wertvolle Tipps und praktische Hinweise darauf, wie die Umsetzung erfolgen kann.
