Die seit dem 25. Mai 2018 geltende neue Datenschutz-Grundverordnung der EU (DSGVO) betrifft viele Schweizer Unternehmen, die personenbezogene Daten von natürlichen, in der EU-ansässigen Personen verarbeiten. Zudem soll das Schweizer Recht der DSGVO so rasch wie möglich angepasst werden. Deshalb muss man sich mit DSGVO-Begriffen auseinandersetzen wie zum Beispiel «Verbot mit Erlaubnisvorbehalt», «Vorfallreaktions-Management» («Incident Response Management»), «Rechenschaftspflicht», «Datenschutzmanagement». Die DSGVO betrifft auch viele KMU.

Verbot mit Erlaubnisvorbehalt DSGVO

Das Verbot mit Erlaubnisvorbehalt oder Verbotsprinzip mit Erlaubnisvorbehalt ist eine Rechtsregel des neuen europäischen Datenschutzrechts, die besagt: Grundsätzlich sind alle datenrelevanten Massnahmen rechtswidrig, es sei denn, eine datenrelevante Massnahme wird von der neuen Datenschutz-Grundverordnung der EU (DSGVO) ausdrücklich erlaubt oder die betroffene Person willigt in die Massnahme ein. Die Beweislast dafür liegt bei demjenigen, der die datenrelevante Massnahme ergreift.

Vorfallreaktions-Management oder Incident Response Management DSGVO

Das Vorfallreaktions-Management oder Incident Response Management DSGVO umfasst alle Anweisungen, wie die zuständigen Personen im Unternehmen auf potenzielle Szenarios im Rahmen der Bestimmungen der neuen Datenschutz-Grundverordnung der EU (DSGVO) zu reagieren haben. Dazu zählen Datensicherheitsverletzungen aller Art, Ausfälle eines Netzwerkdienstes infolge eines Überlastungsangriffs DoS (Denial of Service), Zusammenbruch des Systems wegen einer Unmenge von Anfragen DDoS (Distributed Denial of Service), Lücken in der Firewall, eingeschleuste Viren oder Malware, Bedrohungen durch Insider. Das Vorfallreaktions-Management legt fest, wie Vorfälle entdeckt werden, wie darauf zu reagieren ist und wie die Wiederherstellung abzulaufen hat. Alle Mitarbeitenden müssen entsprechend dem durchgeplanten Vorfallreaktions-Management geschult werden.

Rechenschaftspflicht DSGVO

Die Datenschutz-Grundverordnung der EU (DSGVO) führt einen neuen Grundsatz in die europäischen Datenschutzbestimmungen ein: den der Rechenschaftspflicht. Der DSGVO zufolge ist jedes Unternehmen verpflichtet, die Einhaltung aller Grundsätze des Datenschutzes sicherzustellen. Ausserdem verlangt die DSGVO von jedem Unternehmen, die Einhaltung all dieser Grundsätze nachweisen zu können.

Datenschutzmanagement DSGVO

Die Datenschutz-Grundverordnung der EU (DSGVO) legt in Artikel 32 die Schutzziele fest, an denen ein Unternehmen, das persönliche Daten verarbeitet, seine technischen und organisatorischen Massnahmen zum Schutz dieser Daten auszurichten hat. Verlangt wird dabei die Einführung eines Verfahrens, mit dem die getroffenen technischen und organisatorischen Massnahmen regelmässig hinsichtlich ihrer Eignung, die gewünschten Schutzziele zu erreichen, überprüft werden. Bei Bedarf sind dann jeweils die technischen und organisatorischen Massnahmen anzupassen. Die Durchführung dieser regelmässigen Überprüfungen und Anpassung ist auf Anfrage nachzuweisen. Grund für Anfragen sind konkrete Vorfälle oder einfach Routinekontrollen durch die Behörden.

DSGVO und KMU

Die Vorschriften der Datenschutz-Grundverordnung der EU (DSGVO) gelten für alle Unternehmen unabhängig von ihrer Grösse. Alle Unternehmen müssen alle verlangten technischen und organisatorischen Vorkehrungen erfüllen. Schweizer KMU Schweizer müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung dazu dient:

• Diesen Personen Waren oder Dienstleistungen anzubieten, und zwar gegen Bezahlung oder unentgeltlich, oder
• das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt.

Die Geldbusse, die Unternehmen im Fall einer Datenschutzverletzung gemäss der DSGVO zahlen müssen, kann bis zu vier Prozent des weltweiten Jahresumsatzes im vergangenen Geschäftsjahr betragen.