sffv Seminar «Datenschutz im Fuhrpark»: So funktioniert der Umgang mit Personendaten im Unternehmen
Posted by: Unknown author
Nach den Grundlagen im ersten Teil befasste sich der zweite Teil des sffv Seminars «Datenschutz im Fuhrpark» mit der Implementierung dieser komplexen Thematik. Zur Seite standen dem Schweizer Mobilitätsverband sffv wiederum die Experten der Kanzlei BÜHLMANN KOENIG & PARTNER, in Person von Regina Arquint, Rechtsanwältin und Datenschutzexpertin.
Text: Rafael Künzle
Anfang November folgte die Fortsetzung des zweiteiligen sffv-Seminars Datenschutz im Fuhrpark, welches vom Schweizer Mobilitätsverband in Kooperation mit der Kanzlei BÜHLMANN KOENIG & PARTNER durchgeführt wurde. Regina Arquint, Rechtsanwältin CIPP/E, widmete sich diesmal der Implementierung des Datenschutzes.
Die Rechenschaftspflicht
Für die Implementierung des Datenschutzes nach neuem Schweizer Datenschutzrecht (nDSG) und EU-Recht (DSGVO) – soweit letzteres anwendbar ist - ist es wichtig, dass sich die Verantwortlichen und Mitarbeitenden erstmal ihrer Rechenschaftspflicht bewusst sind und wissen, nach welchen Grundsätzen die Personendaten zu bearbeiten sind und wie mit Personendaten korrekt umzugehen ist. Richtlinien, Wegleitungen FAQ oder Trainings können probate Mittel zur Sicherstellung der «Awareness» und des notwendigen «Know-hows» im Unternehmen sein. Detaillierte Vorgaben über die notwendigen Umsetzungsmassnahmen gibt es seitens nDSG und DSGVO zwar nicht, lässt sich aber im Wesentlichen aus Art. 8 nDSG und Art. 24 der DSGVO ableiten. Diese knüpfen sich an einem risikobasierten Ansatz. Das bedeutet, dass das verantwortliche Unternehmen, wie auch ein allfälliger Auftragsbearbeiter, durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten haben. Das Risiko ist dabei im Wesentlichen anhand der Art, des Umfangs, der Umstände und der Zwecke der Bearbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die betroffenen Personen zu beurteilen.
Das Compliance-Framework
Die Implementierung des Datenschutzes erfordert also Richtlinien, Prozesse und Massnahmen sowie erhöhte Dokumentationspflichten. Zudem lohnt sich die Prüfung für ein Schweizer Unternehmen, ob allenfalls ein Datenschutzbeauftragter nach DSGVO notwendig ist, und ob gegebenenfalls ein EU-Vertreter bestellt werden muss.
Ein wichtiger Prozess bei der Implementierung des Datenschutzes ist das Definieren eines sogenannten «Compliance-Frameworks». Dieser Leitfaden sollte folgende Aspekte enthalten:
·Inventar der Datenverarbeitungen
-mit Compliance Assessment und
-Datenschutz-Folgeabschätzung, soweit notwendig
·Informationspflichten
-Mitarbeiter
-Kunden
·Datenschutz-Richtlinien
-Weitere Anleitungen FAQ’s
·Verträge mit Dritten
-Auftragsdatenbearbeitungen und
-allfällige EU-Standard-Vertrags-Klauseln mit Daten-Transfer-Risiko-Analysen nach Schrems II
·Prozesse
-Datenlöschung
-Auskunftsbegehren von Kunden/Mitarbeitern
-Datenschutzverletzungen
Dass man das Thema Datenschutz sehr ernst nehmen sollte, verdeutlichte die Datenschutzexpertin anhand von jüngsten EU-Fällen aus der Praxis: So wurde eine Italienische Unternehmungfür ihre Fahrerapp, die diverse Datenschutzgrundsätze missachtete, zu einer Busse von 2.5 Millionen Euro verdonnert.
Die Informationspflicht
Damit kein juristisches Ungemach droht, ist u.a. die Informationspflicht bei der Datenerhebung einzuhalten. Es bestehen zwar Unterschiede zwischen nDSG und DSGVO über welche Inhalte informiert werden muss. Als grundsätzliche Regeln wie die Information zu erfolgen hat, können folgende Punkte genannt werden:
-präzis, transparent, verständlich und in leicht zugänglicher Form
-In einer klaren, einfachen und auf den Empfängerkreis abgestimmten Sprache
-Information nach dem «layered approach» unter Berücksichtigung der technischen Entwicklungen
-Information mittels «just in time notices».
Vom Inhalt her müssen nach nDSG (abgesehen von Ausnahmefällen) so viele Informationen wie möglich mitgeteilt werden, damit die Betroffenen Ihre Datenschutzrechte ausüben können und eine transparente Datenbearbeitung gewährleistet ist. Im Minimum müssen folgende Informationen mitgeteilt werden:
-Identität und Kontaktdaten des Verantwortlichen
- Den Bearbeitungszweck
-GgF die Empfänger oder Kategorie der Empfänger inkl. Auftragsverarbeiter
- die Kategorien der bearbeiteten Personendaten, wenn die Daten nicht bei der betroffenen Person erhoben werden
-Den Staat und ggf. die Sicherheitsgarantien, wenn die Daten ins Ausland bekanntgegeben werden
Das Auskunftsbegehren
Datenschutz beinhaltet nicht nur Pflichten, sondern auch Rechte. Eines davon ist das Auskunftsrecht für Betroffene. Flattert ein Auskunftsbegehren ins Unternehmen, müssen nach nDSG(abgesehen von Ausnahmefällen)so viele Informationen wie möglich mitgeteilt werden, damit die Betroffenen Ihre Datenschutzrechte ausüben können und eine transparente Datenbearbeitung gewährleistet ist. Im Minimum müssen folgende Informationen mitgeteilt werden:
-Identität und Kontaktdaten des Verantwortlichen
-Die bearbeiteten Personaldaten als solche
-Der Bearbeitungszweck
-Die Aufbewahrungsdauer oder die Kriterien zur Feststellung der Dauer
-Die verfügbaren Angaben über die Herkunft, sofern die Daten nicht direkt beim Betroffenen erhoben wurden
-Ggf das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht
-GgF die Empfänger oder Kategorie der Empfänger inkl. Auftragsverarbeiter
Die internen Datenschutzrichtlinien
Das Erstellen und Implementieren von internen Datenschutzrichtlinien ist eine wichtige organisatorische Massnahme zur Sicherstellung der rechtskonformen Datenbearbeitung und Gewährleistung der Datensicherheit im Unternehmen. Denn interne Datenschutzrichtlinien helfen bei der Einhaltung wesentlicher Datenschutzprozesse mit. Die internen Datenschutzrichtlinien sollten zumindest folgende Punkte enthalten:
-Definitionen (personenbezogene Daten, sensitive Daten)
-Datenbearbeitungsgrundsätze
-Auftragsdatenbearbeitungen
-Internationale Datentransfers
-Datenschutz-Folgeabschätzungen
-Informationspflichten
-Auskunftsbegehren
-Umgang mit Kunden- /Bewerber und Mitarbeiterdaten
-Durchführung von Kontrollmassnahmen
-Erstellen eines Inventars für jede Datenschutzbearbeitung
-Meldepflichten bei Datenschutzverletzungen
Abschliessend beleuchtete Regina Arquint das Thema Werbung, Newsletters und Social Media. Auch hierbei gilt das Datenschutzgesetz vollumfänglich. Des Weiteren ist eine spezielle ePrivacy-Verordnung in der EU in der Pipeline, welche auch den Umgang mit «Cookies» regelt und welche wesentliche Auswirkungen auf die Einwilligung der Nutzer je nach Art der genutzten Cookies (z.B. Leistungscookies oder Werbecookies) auf Schweizer Unternehmen hat. Die genauen Inhalte sind noch nicht konkret definiert, viele Regelungen zeichnen sich jedoch bereits jetzt ab.
Die «Take Away»-Tipps
Auch der zweite Teil des sffv-Seminars «Datenschutz im Fuhrpark» war wiederum gespickt von angeregten Diskussionen und Fragen aus der Praxis. Aus den veranschlagten drei Stunden wurden schnell dreieinhalb. Es hätte gerne noch länger dauern dürfen... Als Schlussbouquet servierte die Bündnerin wiederum einige Tipps zum Mitnehmen. Zu den «Take Aways» gehören:
-Die Umsetzung eines Compliance-Management Programms nach dem risikobasierten Ansatz der Datenbearbeitungen
-Genügende Dokumentation erstellen (Accountability)
-Bei jeder neuer Datenbearbeitung ein Inventar erstellen
-Umfassende Transparenz über die Datenbearbeitungen
-Mit jeder Datenauslagerung (eigene oder fremde) einen Auftragsbearbeitungsvertrag abschliessen
-Auskunftsbegehren prüfen und korrekt beantworten
-Interne Regelung für die korrekte Datenbearbeitung aufsetzen
-Wichtige Prozesse regeln und standardisieren