Publiziert am: 06.07.2018

Lieber (zu) spät als nie

Umsetzung DSGVO – Alle Unternehmen, die Daten von Personen (Stichwort «personenbezogene Daten») verarbeiten, die sich in der EU aufhalten, sind von der DSGVO betroffen. Auch KMU müssen sich schnell mit der Umsetzung befassen.

Gut zwei Jahre schwebt die Umsetzung der EU-Datenschutz-Grund­verordnung, kurz DSGVO, wie ein Damoklesschwert über Unternehmen und Organisationen. Am 25. Mai 2018 ist nun die Frist abgelaufen, die für diese Umsetzung gewährt wurde. Ab jetzt gilt es also ernst. Die Fülle von aktualisierten Datenschutzerklärungen, die im E-Mail-Postfach eintreffen, macht denn auch klar: Viele Unternehmen haben ihre Hausaufgaben gemacht.

Schnell den Überblick verschaffen

Gehört Ihr KMU auch dazu? Wenn nicht, sind Sie offenbar nicht alleine. In einer vom Marktforscher PAC in Deutschland durchgeführten Umfrage haben nämlich noch im April 2018 nur gerade 19 Prozent der befragten Unternehmen angegeben, sie seien für die DSGVO bereit.

«Beginnen sie jetzt mit der Umsetzung der dsgvo. Irgendwann ist es zu spät.»

Besonders KMU-Betriebe tun sich auch hierzulande mit der Umsetzung der DSGVO schwer oder meinen, nicht davon betroffen zu sein. In ganz vielen Fällen sind sie es eben doch – und wer zu spät kommt, den bestraft nicht das Leben, der bekommt aber die Sanktionen der DSGVO zu spüren. Deshalb heisst es jetzt, sich ganz schnell einen Überblick zu verschaffen und dann loszulegen.

Wer ist von der DSGVO betroffen?

Sämtliche Unternehmen, die Daten von Personen (Stichwort personenbezogene Daten) verarbeiten, die sich in der EU aufhalten, sind von der DSGVO betroffen. Die Frage, ob an den Bäcker, der wöchentlich ein Spezialbrot an einen Kunden in Deutschland liefert, die gleich hohen Anforderungen gestellt werden wie an die Grossbäckerei, die täglich Hunderte Kunden in Deutschland beliefert, ist aber noch nicht abschliessend beantwortet worden. Im Zweifelsfall lohnt es sich ohnehin, bei Datenschutzprofis Rat zu holen.

Worauf müssen KMU achten?

Nachdem klar ist, dass das eigene KMU von der DSGVO betroffen ist und die datenschutzrelevanten Prozesse im Unternehmen identifiziert sind, lohnt sich ein Blick auf Art. 5 DSGVO. In diesem Artikel werden die sogenannten Grundsätze für die Verarbeitung personenbezogener Daten aufgelistet: Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Integrität und Vertraulichkeit, Rechenschaftspflicht und Zweckbindung zum Beispiel. Sie erhalten dort einen ersten Überblick und wissen, welche Aufgaben auf Sie warten, z. B. sich zu fragen, wie Sie mit personenbezogenen Daten jetzt und in Zukunft umgehen.

Dass die Erweiterung der Informationspflichten sehr ernst genommen wird, beweisen die vielen aktualisierten Datenschutzerklärungen. Hier besteht für KMU bestimmt Handlungsbedarf. Ebenso müssen Einwilligungserklärungen angepasst und Prozesse für den Widerruf ­angepasst werden. Und auch die Zweckbindung und Datenminimierung verlangen Aufmerksamkeit: Es dürfen nur Daten erhoben werden, die für die Zweckerfüllung (Lieferung, Vertrag etc.) tatsächlich notwendig sind. Um zum Bäcker-Beispiel zurückzukommen: Liefer- und E-Mail-Adresse für die Bestätigung reichen, alles andere wäre Zugabe und ohne Einwilligung der bestellenden Person nicht rechtmässig.

Noch ist es nicht zu spät

Entscheiden Sie sich für ein strukturiertes, schrittweises Vorgehen! Damit behalten Sie den Überblick und ersparen sich Frust und Ärger. Und: Beginnen Sie jetzt! Denn irgendwann ist es wirklich zu spät.

Michèle Balthasar & Reto C. Zbinden, Experten für Datenschutz, Swiss Infosec AG

Kurze Checkliste für KMU

Abklären, ob Unternehmen von der DSGVO betroffen sind. Allenfalls Hilfe von Datenschutzprofis in Anspruch nehmen.
Datenschutzrelevante Prozesse identifizieren. Das Identifizieren dieser Prozesse dürfte sich als Knochenarbeit herausstellen. Sie lohnt sich aber auch im Hinblick auf die Revision des Schweizerischen Datenschutzgesetzes.
Überblick über Anforderungen verschaffen. Art. 5 DSGVO listet die sogenannten Grundsätze der Verarbeitung personenbezogener Daten auf und bietet sich als Starthilfe an.
Anpassungsbedarf abklären.  
Anpassungen/Massnahmen einleiten, z.B.
• Erweiterung der Informationspflichten
• strengere Vorgaben für Einwilligungen
• Zweckbindung und Datenminimierung überprüfen
• Meldepflicht bei Datenpannen 
U. a. Datenschutzerklärung anpassen
• Einwilligungserklärungen einrichten oder anpassen 
(Stichworte: Webseite, Newsletter)
• Prozesse für Widerrufe einrichten oder anpassen

Überprüfen, welche Daten für eine Dienstleistung tatsächlich notwendig sind und erhoben werden müssen.

Verfahren zur schnellen Meldung der Panne einrichten.
   

 

Vor allem: DATENSCHUTZ ERNST NEHMEN!