Auch die Schweiz hat ihr Datenschutzgesetz überarbeitet. Es liegt ein Entwurf vor, der eventuell in zwei Etappen im Jahre 2019 in Kraft treten wird, so der Bundesrat. Was am Entwurf noch geändert wird, ist offen. Sicher wird aber das Schweizer Gesetz sowohl vom Wording als auch vom Inhalt her nahe an der DSGVO sein.
Eine Herausforderung für Schweizer Unternehmer ist, dass die EU betreffend der Anwendbarkeit ihrer DSGVO vom Marktortprinzip und Personenprinzip ausgeht. Wer Daten einer Person, die dauernden Wohnsitz in der EU hat, bearbeitet, unterliegt den Regelungen der DSGVO. Natürlich liegt hier der Teufel im Detail und muss entsprechend im Einzelfall abgeklärt werden.
Wenn aber auch nur für einzelne Personengruppen die DSGVO anwendbar ist, muss aus Gründen der Praktikabilität das ganze Managementsystem entsprechend aufgebaut werden. Dass die meisten Unternehmen sich bis in den letzten Jahren kaum um den Datenschutz gekümmert haben, hat insbesondere folgende Gründe:
- Datenschutz beschäftigt sich mit der Bearbeitung von Informationen über Personen. Diese werden heute mehrheitlich digital gehalten, verarbeitet und transportiert. Dadurch wird das Thema aus Sicht des Managements den IT-klassischen Unterstützungsprozessen zugeordnet.
- Digitales entzieht sich immer noch unserem menschlichen Wertesystem. Die Digitalisierung und somit die Möglichkeiten, aber auch Pflicht, mit und aus (auch personenbezogenen) Informationen Werte zu schaffen, ist eher neu.
- Die Unternehmensgrenzen werden immer offener und kaum eine Unternehmung kann noch ohne Outsourcingverhältnisse leben. Und nicht zuletzt: Datenschutzverletzungen ziehen bis anhin kaum Strafen mit sich.
Überblick behalten
Wer den Datenschutz verletzt, wird sanktioniert. Dies können sehr hohe persönliche Geldstrafen (in der Schweiz auf VR- und C-Level) oder Verwaltungsstrafen für Unternehmen (EU) sein. Der betroffenen Person muss klar sein, was mit ihren Daten warum gemacht wird. Dies bedeutet, dass die Einverständniserklärungen genügend klar sind. Der ganze Lifecycle der Datenbearbeitung muss für die betroffene Person transparent sein. Dazu gehört auch die Information über Outsourcingverhältnisse, weil damit für die Betroffenen erhöhte Risiken verbunden sind. Beim Outsourcing ist zu kontrollieren, dass die Bearbeitungen nur im Rahmen des gesetzlich Zulässigen erfolgen.
Zur Umsetzung des Datenschutzes gehört, dass man dokumentiert, welche Datenbearbeitungen warum erfolgen. Die IT und die Organisation muss im täglichen Betrieb und im Rahmen von Projekten den Datenschutz zwingend abbilden: Privacy by Design und Privacy by Default. Auch dies muss nachgewiesen werden. Im Betrieb – aber vor allem im Rahmen von Projekten – muss immer abgeklärt werden, welchen Einfluss dies auf Personendaten haben könnte. Datenschutzverletzungen müssen (mindestens ab einer gewissen Schwere) der Datenschutzaufsicht gemeldet werden.
Unternehmensverantwortliche tragen das Risiko grober Sanktionen, wenn sie den Datenschutz nicht nachweisbar umsetzen. Das Abfassen von allgemeinen Datenschutzerklärungen genügt nicht. Diese müssen konkretisiert und dann im Unternehmen umgesetzt werden.