Was sind personenbezogene Daten?

Als «personenbezogene Daten» gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Wann muss die Verordnung umgesetzt sein?

Die Verordnung ist seit Mai 2016 in Kraft und muss bis zum 28. Mai 2018 umgesetzt sein.

Was passiert in der Schweiz?

Der Bundesrat hat sich nach der Sommerpause mit der Thematik befasst. Er hat darauf verzichtet, mit einem befürchteten «Swiss finish» die Gesetzgebung für die Schweiz noch zu verschärfen. In einzelnen Punkten wurden die Vorgaben für die Schweiz abgeschwächt, so z.B.:

  • Schaffen der Möglichkeit, dass einzelne Branchen einen Verhaltenskodex erarbeiten können, den sie nicht zwingend dem Datenschutzbeauftragten vorlegen müssen.
  • Erhöhen der Schwelle bei deren Erreichung eine Datenschutz-Folgenabschätzung vorgenommen werden muss.
  • Senkung der Obergrenze für Bussen.

Die Vorschläge befinden sich nun bei den betroffenen Verbänden und Organisationen in Vernehmlassung. Aber wie bereits erwähnt, die Verordnung wurde durch die EU in Kraft gesetzt und gilt auch, wenn die Schweiz nichts unternehmen würde.

Wichtige Merkmale

Folgende Hauptpunkte sind in der Grundverordnung (neben vielem anderem) geregelt:

  • Wo keine anderen Gesetze gelten, wird der Konsens, also die Einwilligung der betroffenen Person für die Verarbeitung der persönlichen Daten benötigt.
  • Die Einwilligung soll durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
  • Wenn die Verarbeitung mehreren Zwecken dient, soll für alle diese Verarbeitungszwecke eine Einwilligung vorliegen.
  • Die Einwilligung zur Verarbeitung der Daten kann jederzeit rückgängig gemacht werden. Es besteht ein «Recht auf Vergessenwerden».
  • Darüber hinaus sind weitgehende Kontrollrechte für die Betroffenen vorgesehen (z.B. Recht auf Information bzgl. der Verwendung der gesammelten Daten).
  • Sofortige Feststellung einer Verletzung personenbezogener Daten (innerhalb 72 Stunden) und Meldung an die Aufsichtsbehörde. In den meisten Fällen wird es sich hier um Datendiebstähle handeln.
  • Firmen ohne Niederlassung in der EU, deren Verarbeitungstätigkeiten sich auf betroffene Personen beziehen müssen einen Vertreter benennen.

Strafen?

Die vorgesehenen Strafen sind erheblich und können mit bis zu 4% des Jahresumsatzes oder bis zu 20 Mio. € gebüsst werden.

Was ist zu tun?

Um die Verordnung einhalten zu können ist es notwendig: eine Analyse der bestehenden Situation vorzunehmen:

  • Ob, bzw. in welchen Bereichen die Datenschutz-Grundverordnung für den Betrieb Gültigkeit hat.
  • Welche Personendaten gesammelt und verarbeitet werden.
  • Wozu diese Daten dienen.
  • Wo, bzw. wie diese Daten abgelegt sind.
  • Wer auf diese Daten zugreifen kann.

Falls notwendig Lösungen umsetzen um sicherzustellen, dass:

  • Der Zugriff auf die Daten kontrolliert werden kann (inkl. Erbringen von entsprechenden Nachweisen – gilt generell also auch für Excel und PDF nicht nur für ERP Daten).
  • Personendaten auf Verlangen von allen Datenträgern komplett gelöscht werden können (und das auch bewiesen werden kann).
  • Ein System zu unterhalten, mit dem Verletzungen des Schutzes personenbezogener Daten festgestellt werden kann (Meldung innert 72 h nach Verletzung).
  • Zuordnen der Verantwortung und Aufbauen der Prozesse.

Beurteilung?

Als Informatiker wissen wir, dass einige der gestellten Forderungen sich sehr utopisch anhören. Trotzdem wurde die Verordnung in Kraft gesetzt. Erste Gerichtsfälle werden bei der Interpretation der Umsetzung helfen. Sicher ist jedoch, dass an einer Ist-Analyse und der Identifikation von Schwachstellen kein Weg vorbeiführt.

Wie kann ITConcepts helfen?

  • Bei der Ist-Analyse und der Identifikation der Schwachstellen.
    Bei der Implementation und dem Unterhalt von Lösungen (z.B. im Bereich Identity Management für strukturierte und unstrukturierte Daten, Security Impact Management, Data Analyse, usw.).