Vor gut einem Jahr ist in der EU die neue Datenschutz Grundverordnung (engl. General Data Protection Regulation, kurz GDPR) in Kraft getreten. Was hat sich in der Praxis geändert und welche Herausforderungen stellen sich hinsichtlich der GDPR Compliance? Was genau muss wirklich beachtet werden?
Bei Einführung respektive Änderungen von gesetzlichen Rahmenbedingungen herrscht typischerweise eine sehr unterschiedlich ausgeprägte Nervosität. Viele Firmen haben neben dem täglichen operativen Geschäft kaum Zeit, sich im Detail um die effektiven Auswirkungen auf das eigene Unternehmen zu kümmern. Nicht so bei einer gesetzlichen Grundlage, bei der nicht klar ist, wie sich die eigentliche Umsetzung in der Praxis gestaltet. Eine Grundlage, bei der auch aktuelle Beispiele oder hilfreiche Präzedenzfälle komplett fehlen. Dafür sind drakonische Strafen bei mangelnder GDPR Compliance zumindest schon angekündigt.
Dieser Blog zeigt, was Unternehmen nicht nur in der Theorie, sondern in der Praxis konkret betrifft. Dies nach dem Motto: «down to earth» oder «real life». In diesem Artikel wird nicht auf die grundlegenden juristischen Punkte der GDPR Compliance eingegangen. Dazu hat Stephan Hofer, GHR Rechtsanwälte, bereits einen umfassenden und spannenden Blog namens „Datenschutz - wie war das nochmal?“ verfasst.
Nehmen wir also die Praxis für die Umsetzung der GDPR unter die Lupe und was wir als netrics ein Jahr danach wirklich bemerkt haben. Wenn eine Zusammenfassung unserer Anstrengungen und Initiativen gemacht werden soll, dann schlagen wir der Übersicht halber bei der GDPR Compliance eine Teilung in verschiedene Hauptthemen vor:
- Prozesse
- Mitarbeitende
- Instrumente
- Kunden
Zertifizierte Prozesse
Der Einfluss der GDPR auf unsere bestehenden Prozesse war im Nachhinein gesehen eher gering. Damit ist die konkrete Überarbeitung eines Ablaufs gemeint. Um ein Bespiel dafür zu nennen, haben wir schon vor der GDPR besonders schützenswerte Daten unserer Kunden oder Mitarbeitenden in keinem Prozess erhoben. Auch verlangt die ISO 27001 Zertifizierung eine starke Beachtung der Information Security. Diese bildet im Zusammenhang mit der GDPR bereits eine stabile Grundlage. Somit waren die Prozesse der netrics bereits vor dem Inkrafttreten des Gesetzes voll und ganz GDPR compliant.
Mitarbeiter, die voll und ganz bezüglich GDPR Compliance im Bilde sind
Die Mitarbeitenden betrifft die tägliche Handhabung sicher am meisten. Das für Nicht-Juristen eher nebulöse Thema erzeugt eine gewisse Verunsicherung. Verunsicherung dann, wenn sich die Mitarbeitenden überhaupt mit dem Thema befassen. Damit das tatsächlich alle tun, ist die sogenannte "Awareness" ein zentraler Punkt. Der Mitarbeitende muss an das Thema der GDPR Compliance herangeführt und entsprechend geschult werden. Dies in einer komprimierten Weise, welche die wichtigsten Informationen verständlich zusammenfasst. Dazu braucht die Unternehmung eine verantwortliche Person. Die netrics hat dazu die Rolle des Compliance Officers geschaffen. Der Compliance Officer ist dafür verantwortlich, dass das Thema bei allen Betroffenen in regelmässigen Abständen in Erinnerung gerufen wird und integrierter Bestandteil der täglichen Arbeit wird. Der Erfolg stellt sich schlussendlich nur ein, wenn das Bewusstsein für das Thema Teil der Firmenkultur werden.Instrumente für die rechtskonforme Umsetzung
In Bezug auf die eingesetzten Instrumente stellt sich die Ausgangslage wiederum etwas differenzierter dar. Da braucht es konkrete Aktionen, um den Anforderungen gerecht zu werden. Die eine ist die Einsetzung eines Datenschutzverantwortlichen, der die nötigen Kenntnisse zur Thematik besitzt, respektive sich die nötigen Informationen und Kompetenzen beschaffen kann. Eine Zusammenarbeit mit einem Juristen empfiehlt sich, liegt der Teufel doch wie so oft im (Daten-) Detail. Ein weiteres, relevantes Instrument für die Erfüllung der GDPR Compliance ist die Präsenz im Web. Davon ausgehend, dass Sie als Leser in Ihrem Unternehmen oder sogar als Privatperson eine Website betreiben und diese bei Besuchern ausserhalb der Schweiz, konkret aus dem Europäischen Raum, Interesse erzeugt, ist der Hinweis auf die Verwendung von Cookies unerlässlich.
Mit der Akzeptanz von Cookies gibt der Besucher eines Web-Auftritts das Einverständnis seine Bewegungs-Daten auf der Webseite zu speichern und auszuwerten. Weniger offensichtlich, aber notwendig ist die Ergänzung der allgemeinen Geschäftsbedingungen (AGB). Der Hinweis, dass Sie als Kunde in der Mitverantwortung im Umgang mit den Daten sind, ist zwingend.
Als Unternehmen mit internationalem Fokus betreut netrics auch Kunden im EU-Raum. Europäische Kunden verlangen zu den gewohnten Service-Verträgen im Rahmen der GDPR neu auch ein DPA (Data Processing Agreement). In der EU vorhandene Templates können leider in der Schweiz nicht 1:1 verwendet werden. Eine Konsolidierung von EU- und Schweizer Recht in einem Dokument ist daher notwendig. Hier empfiehlt sich einen Fachjuristen beizuziehen.
Der Kunde steht auch hier im Zentrum
Und damit sind wir bereits beim letzten wichtigen Hauptthema der GDPR Compliance angekommen: Es behandelt die Zusammenarbeit mit den Kunden und ist in den oberen Abschnitten bereits kurz erwähnt. Wichtig ist in diesem Zusammenhang, dass der Kunde sich über den Besitzstand seiner Daten im Klaren ist. Die vom Kunden erzeugten Daten gehören immer dem Kunden und obliegen damit auch seiner Verantwortung. Das bedeutet, dass der Kunde stets auch die Regeln im Umgang mit seinen Daten organisieren muss. Die Verantwortung lässt sich nicht outsourcen! Als Service Provider erachten wir es jedoch als unsere Pflicht, dem Kunden auch bei diesen Themen beratend zur Seite zu stehen. netrics bietet dazu entsprechende Compliance-Assessments an.
Fazit
Ein Jahr nach Einführung der neuen EU Datenschutz Grundverordnung (EU-DSGVO) hat sich im Stillen in vielen Bereichen des täglichen Geschäfts einiges verändert. Unmittelbaren Einfluss hat die Gesetzgebung bisher nicht gehabt. Grund hierfür ist gewiss auch, dass noch keine Präzedenzfälle vorliegen und Verstösse daher noch nicht geahndet wurden. Trotzdem: Dran bleiben! Compliance geht uns alle an!