. .

Ist Ihr Unternehmen zur EU-DSGVO verpflichtet?

Informationen zu dieser Frage erhalten Sie hier.

Neues Datenschutzgesetz EU-DSGVO:
Das sollten Sie wissen!

Seit Mai 2018 ist die neue europäische Datenschutz-Grundverordnung in Kraft. Davon sind auch Schweizer KMU betroffen. Nachfolgend Antworten auf häufig gestellte Fragen zum Gesetz und dessen Anwendung in der Praxis.

Worum geht es bei dem neuen Gesetz?

Ziel des neuen Datenschutzgesetzes ist die informelle Selbstbestimmung über persönliche Daten und der Schutz von Rechten und Privatsphäre der EU-Bürger. Es geht also um die personenbezogenen Daten von natürlichen Personen und tangiert alle Unternehmen und Organisationen, die solche verarbeiten. Gemäss dem neuen Gesetz muss der Nutzer der Daten darlegen können, weshalb er die Personendaten sammelt und was er damit macht. Der Betroffene erhält das Recht zu bestimmen, was mit den Daten geschieht. Mit dem neuen Gesetz reagiert die Europäische Union auf die Digitalisierung, bei der Personendaten eine immer wichtigere Bedeutung erhalten. Dabei sollen alle EU-Bürger geschützt werden, wodurch auch Schweizer Unternehmen tangiert sind.

Wer ist wie verantwortlich für den Schutz der Personendaten?

Personendaten sind grundsätzlich sämtliche Informationen, die einer natürlichen Person zugeordnet werden können wie Name, Wohnort, Geburtstag, Telefonnummer usw. Das konkrete Beispiel mit PROFFIX erklärt, wer für deren Schutz zuständig ist: Wenn ein Unternehmen PROFFIX einsetzt, erfasst es in der Regel Daten von verschiedenen Personengruppen wie Mitarbeitenden, Kunden und Geschäftspartnern. Bei der Konfiguration von PROFFIX durch einen autorisierten Vertriebspartner erhält dieser Einsicht in die erfassten Personendaten, wobei er sich dabei grundsätzlich an die Datenschutzgesetze hält. Neu ist nun, dass die Verfahren zur Einhaltung des Datenschutzes dokumentiert werden müssen, sofern das Unternehmen unter die EU-DSGVO fällt. Bei Nichteinhaltung drohen hohe Bussgelder. Dabei kommt dem Unternehmen, das PROFFIX einsetzt, die Rolle des Verantwortlichen und dem Vetriebspartner die Rolle des Auftragsverarbeiters (PROFFIX Vertriebspartner) im Sinn der EU-DSGVO zu. Dies bedeutet, dass der Verantwortliche dafür zuständig ist, dass zwischen ihm und dem Auftragsverarbeiter ein Vertrag abgeschlossen wird. Die Verantwortung fällt deshalb dem PROFFIX Anwender zu, weil er die Daten bearbeitet und somit wissen muss, ob er von der EU-DSGVO betroffen ist. Ist dies der Fall, muss zwischen den beiden Parteien ein Vertrag abgeschlossen werden, dessen Inhalt durch Artikel 28 EU-DSGVO vorgegeben ist und den Auftragsverarbeiter instruiert, wie er mit den Daten umgehen muss.

Was muss mit den Personendaten gemacht werden?

Werden in einem Unternehmen Personendaten bearbeitet, die unter die EU-DSGVO fallen, geht es vorwiegend darum, Prozesse zu definieren und diese zu dokumentieren. Das heisst, diese Unternehmen sind als Verantwortliche dafür zuständig, dass die Mitarbeitenden wissen, welche Personendaten sie erfassen dürfen und was sie bei der Verarbeitung dieser Daten beachten müssen. Dazu müssen sämtliche Prozesse, bei denen Personendaten verarbeitet werden, so gestaltet und dokumentiert sein, dass die EU-DSGVO eingehalten wird. Bei der Dokumentation ist wichtig zu beachten, dass Personen nicht nur in PROFFIX, sondern auch in Drittsystemen bearbeitet werden können, wie beispielsweise in Webshops, Archiven, Cloud-Lösungen, Papierdokumenten usw. Gleichzeitig muss der Grund angegeben werden, der als rechtliche Basis für die Verarbeitung der Daten dient. Solche Bearbeitungsgründe können gesetzliche Vorgaben (z.B. in der Lohndatenverarbeitung oder Debitorenbuchhaltung), die Erfüllung eines Vertrags (Auftrag) oder auch die Einwilligung der betreffenden Person (z.B. Newsletter) sein.

Braucht es einen Rechtsbeistand zur Umsetzung der EU-DSGVO?

Als Erstes empfiehlt sich, die öffentlich zugänglichen Muster und Vorlagen zu nutzen (siehe unten). Diese geben bereits einen umfassenden Einblick in die Thematik. Die Vorlagen helfen Unternehmen, sich Gedanken zum Umgang mit den Personendaten zu machen und diesen neu zu strukturieren und dokumentieren. Sind die wichtigsten Punkte erarbeitet, ist es je nach Unternehmen bei spezifischen Fragen sinnvoll, diese mit einem Anwalt zu besprechen. Anschliessend kann die Dokumentation fertiggestellt und die Prozesse im Unternehmen können entsprechend angepasst werden.

Muster und Vorlagen

Die «Gesellschaft für Datenschutz und Datensicherheit e.V.» (Deutschland) hat zu diesem Zweck offizielle Vertragsvorlagen veröffentlicht, mit denen die Zusammenarbeit geregelt werden kann.

Download Vertragsvorlagen: www.gdd.de

 

Für die Dokumentation der Prozesse finden sich bei den offiziellen Datenschutzbeauftragten der EU-Länder Checklisten und Vorlagen. Als Einstieg empfiehlt sich das Kurzpapier Nr. 8 der DSK «Massnahmenplan DS-GVO für Unternehmen».

www.stiftungdatenschutz.org

 

Das Bayerische Landesamt für Datenschutzaufsicht hat für kleinere Unternehmen und Vereine verschiedene Unterlagen erstellt, die aufzeigen, welche Anforderungen unternehmensspezifisch eingehalten werden müssen. Die Vorlagen sind unter anderem für Handwerksbetriebe, Arztpraxen, Produktionsbetriebe, Steuerberater, Online-Shops, Bäckereien usw. verfügbar.

www.lda.bayern.de

 
  • Proffix bei Facebook
  • Proffix bei Twitter
  • Proffix Suche
  • Proffix Quicklinks

Bitte geben Sie oben Ihren Suchbegriff ein.