Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Pflichten der unter die Verordnung fallenden Unternehmen


Welche Aufgaben müssen von der DSGVO betroffene Unternehmen in der Schweiz wahrnehmen?

Eine der wichtigsten Neuerungen gegenüber der Richtlinie 95/46/EG ist die Verankerung des Grundsatzes der Rechenschaftspflicht („accountability“) des Verantwortlichen (vgl. Art. 5 § 2 DSGVO), wonach dieser die Einhaltung der allgemeinen Grundsätze (vgl. Art. 5 § 1 DSGVO) aktiv nachweisen können muss. Auf dieser Grundlage wurde das Prinzip der Beweislastumkehr eingeführt4. Die Verordnung sieht insbesondere die folgenden Pflichten vor:

  • Artikel 24 DSGVO hält fest, dass der Grundsatz der Verantwortlichkeit mit dem risikobasierten Ansatz einhergeht, wonach der Verantwortliche die Wahrscheinlichkeit und den Grad der Gefährdung der Rechte und Freiheiten von Personen zu Beginn einer Bearbeitung objektiv beurteilen muss. Der Verantwortliche muss daher Kontrollmechanismen und -systeme innerhalb seiner Einrichtung etablieren, um sicherzustellen, dass die Konformität der Bearbeitung während des gesamten Vorgangs gewährleistet ist, und um dies nachweisen zu können.
  • Artikel 25 DSGVO verlangt, dass der Datenschutz bei Produkten und Dienstleistungen bereits in der Planungsphase berücksichtigt werden: Die Grundsätze des Datenschutzes müssen schon bei der technischen Ausgestaltung berücksichtigt werden („privacy by design“); Produkte und Dienstleistungen müssen mit datenschutzfreundlichen Voreinstellungen angeboten werden („privacy by default“).
  • Artikel 30 DSGVO sieht vor, dass jeder Verantwortliche oder sein Vertreter ein Register der unter seiner Verantwortung ausgeführten Bearbeitungstätigkeiten (in elektronischer Form) führen muss. Der Inhalt des Registers ist in Artikel 30 § 1 DSGVO detailliert beschrieben. Dieses Register muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. Unternehmen mit weniger als 250 Beschäftigten sind – mit einigen Ausnahmen – von dieser Pflicht ausgenommen (vgl. Art. 30 § 5 DSGVO).
  • Artikel 35 DSGVO sieht die Durchführung einer Datenschutz-Folgenabschätzung vor, wenn die Bearbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge haben kann.5 In den Fällen, in denen diese Voranalyse zur Identifizierung spezifischer Risiken führt, ist der Verantwortliche verpflichtet, vor der Bearbeitung die Datenschutzbehörde zu konsultieren; ist ein Datenschutzverantwortlicher ernannt worden, so ist dieser zu konsultieren. In bestimmten Fällen ist eine Datenschutz-Folgenabschätzung obligatorisch (vgl. Artikel 35 § 3). Die inhaltlichen Mindestanforderungen sind in Artikel 35 § 7 aufgeführt.

Die Sicherheit der Bearbeitungsvorgänge ist in der Verordnung als Grundprinzip verankert:

  • Artikel 32 DSGVO verpflichtet den Verantwortlichen, angemessene organisatorische und technische Massnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei muss er den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und den Zweck der Bearbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigen. Die Verordnung nennt beispielsweise die Verschlüsselung oder Pseudonymisierung und Mittel zur dauerhaften Gewährleistung der Vertraulichkeit, der Integrität, der Verfügbarkeit und der Belastbarkeit der Systeme. Darüber hinaus muss der Verantwortliche Massnahmen treffen, „um sicherzustellen, dass [dem Verantwortlichen und dem Auftragsbearbeiter] unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet“ (vgl. Art. 32 § 4).

Daraus leitet sich neu die Pflicht ab, der Aufsichtsbehörde Verletzungen des Schutzes personenbezogener Daten zu melden. In einigen Fällen muss die Verletzung auch der betroffenen Person gemeldet werden:

  • Artikel 33 DSGVO sieht ein Meldesystem bei Verletzungen des Schutzes personenbezogener Daten vor („data breaches“). Die Verletzung wird definiert als „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ (Art. 4 § 12 DSGVO). Könnte die Verletzung Risiken für die Rechte und Freiheiten natürlicher Personen zur Folge haben, muss der Verantwortliche dies der Aufsichtsbehörde unverzüglich bzw. möglichst innerhalb von 72 Stunden melden (Art. 33 § 1). Der Auftragsbearbeiter muss den Verantwortlichen über jede Verletzung unverzüglich informieren, sobald er davon Kenntnis hat. Der Inhalt der Meldung ist in Artikel 33 § 3 DSGVO geregelt. Schliesslich muss der Verantwortliche jede Verletzung des Schutzes personenbezogener Daten dokumentieren, einschliesslich aller mit der Verletzung zusammenhängenden Fakten, der Auswirkungen und der ergriffenen Abhilfemassnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen nach diesem Artikel ermöglichen.
  • Artikel 34 DSGVO regelt die Modalitäten der Mitteilung einer Verletzung des Datenschutzes an die betroffenen Personen. Hier gibt es jedoch keine Fristen. Die Idee dahinter besteht darin, es den betroffenen Personen zu ermöglichen, gegebenenfalls geeignete Massnahmen zu ergreifen, um die negativen Auswirkungen, die sich aus der Verletzung ergeben können, zu stoppen oder abzuschwächen.

In drei bestimmten Fällen (vgl. Art. 37 DSGVO) ist die Benennung eines Datenschutzbeauftragten zwingend, und zwar 1) für Behörden oder öffentliche Stellen, 2) für Unternehmen, die Bearbeitungen durchführen, die eine umfangreiche regelmässige und systematische Überwachung der betroffenen Personen erfordern, 3) für Unternehmen, die sensible Datenbearbeitungsvorgänge durchführen. Darüber hinaus erlaubt es die Verordnung, im Unionsrecht oder im Recht eines Mitgliedstaats die Benennung eines Datenschutzbeauftragten in Fällen vorzuschreiben, die in der DSGVO nicht vorgesehen sind. Eine Unternehmensgruppe kann auch einen einzigen Beauftragten benennen; diese Möglichkeit besteht auch für Behörden und öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Grösse (Art. 37 § 2 und 3). Die Eigenschaften, über die der behördliche Datenschutzbeauftragte verfügen muss, sind in Artikel 37 § 5 festgelegt.

Schliesslich fördert die Verordnung die Ausarbeitung von Verhaltensregeln (Art. 40 und 41 DSGVO), um die ordnungsgemässe Umsetzung der Verordnung zu unterstützen. Die Verhaltensregeln müssen entsprechend den Besonderheiten der verschiedenen Datenbearbeitungssektoren und den spezifischen Bedürfnissen der Unternehmen entwickelt werden. Die Verhaltensregeln werden der nach Artikel 55 DSGVO zuständigen Datenschutzbehörde vorgelegt; diese gibt eine Stellungnahme zur Konformität mit der Verordnung ab. Mit den Artikeln 42 ff. wird ein Zertifizierungsmechanismus eingeführt.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf

4 Das Bayrische Landesdatenschutzamt hat ein Selbsteinschätzungstool für Unternehmen veröffentlicht: https://www.lda.bayern.de/tool/start.html

5 Um die für die Bearbeitung Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen zu unterstützen, stellt die Commission Nationale de l’Informatique et des Libertés (CNIL) auf ihrer Website kostenlos die Software PIA zur Verfügung: https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil. Eine deutsche Fassung ist ebenfalls verfügbar: https://github.com/LINCnil/pia/tree/master/src/assets/i18n


© Swiss Infosec AG 2024