www.pwc.ch Die Grundzüge der DS-GVO und wie Ihnen PwC helfen kann Das Regelwerk für den EU-Datenschutz ist im Wandel Die neue EU-DatenschutzGrundverordnung in Kürze Die Datenschutz-Grundverordnung (DS-GVO), welche ab dem 25. Mai 2018 gilt und ab diesem Zeitpunkt durch alle betroffenen Organisationen erfüllt werden muss, wird neue und viel härtere Rahmenbedingungen für den Datenschutz in Bezug auf die Verarbeitung von persönlichen Daten innerhalb der EU festlegen. Jeder in der EU ansässige Verantwortliche für die Verarbeitung von persönlichen Daten und jeder Auftragsverarbeiter von persönlichen Daten wird davon erfasst. Das Gleiche gilt für alle ausserhalb der EU niedergelassenen Verarbeitungsverantwortlichen und Auftragsverarbeiter von Personendaten, sofern sie ihre Dienstleistungen und Güter Personen anbieten, die sich in der EU aufhalten, oder deren Verhalten beobachten. Das heisst, dass auch Firmen mit Sitz in der Schweiz die Bestimmungen der DS-GVO erfüllen müssen, wenn personenbezogene Daten von EU-Bürgern im Zusammenhang mit dem (auch kostenlosen) Angebot von Waren und Dienstleistungen und der «Verhaltensüberwachung» – sofern das zu überwachende Verhalten in der EU stattfindet – bearbeitet werden. Die Bedeutung von Datenverarbeitung Der Begriff der Datenverarbeitung wurde sehr weit ausgeleg. Er beinhaltet jeden möglichen Vorgang der Verarbeitung von persönlichen Daten, unabhängig davon, ob er mit automatisierten oder nicht automatisierten Mitteln durchgeführt wird oder ob er aktiv oder passiv geschieht – von der initialen Sammlung persönlicher Daten bis hin zu ihrer finalen Zerstörung. Somit umfasst die Verarbeitung das Erstellen, das Speichern, das Benützen, das Kopieren, das Aggregieren, das Anpassen, das Verbessern, das Teilen, das Übermitteln, das Archivieren, das Verkaufen, das Verlieren und das Löschen von Daten. Die Nutzung von E-Mails zur Kommunikation beispielsweise stellt ebenfalls eine Art der Verarbeitung von persönlichen Daten dar, denn jede geschäftsbezogene E-Mail, die wir senden, betrifft mindestens eine Person. Auch die Erzeugung von Computer-Logs, wie dies durch die Verwendung unserer Arbeitssysteme oder unserer persönlichen Geräte passiert, ist eine Art der Datenverarbeitung, genauso wie Zahlungstransaktionen in Läden oder online, das Aufzeichnen von Unterhaltungen und die Videoüberwachung. Sogar durch das Erteilen von Feedback bei Mitarbeitergesprächen kommt es zu einer Datenverarbeitung. Praktisch jede Gerätetechnologie und Datenbank, die in Geschäftsprozessen eingesetzt wird, verarbeitet in irgendeiner Art persönliche Daten. Die DS-GVO schreibt vor, dass Verarbeitungsverantwortliche und Auftragsverarbeiter von Personendaten gesetzmässig, fair und transparent handeln. Die Verarbeitungsverantwortlichen müssen offen und klar sein, wenn es um ihr Handeln und dessen Gründe geht. Zum Beispiel dürfen sie Personen bezüglich der Gründe, weswegen sie deren Daten nutzen, nicht in die Irre führen. Sie dürfen zudem vom ursprünglichen Zweck der Datensammlung nicht abweichen, müssen die Datenmenge soweit möglich minimieren und die Daten jederzeit korrekt, aktuell, sicher und vertraulich aufbewahren. Daten müssen gelöscht oder zerstört werden, wenn der Zweck, für den sie gesammelt oder aufbereitet worden sind, erfüllt ist oder wegfällt. Das gilt auch, falls die Einwilligung zur Verwendung der Daten zurückgezogen worden ist. Personen, die Fragen darüber stellen, was mit ihren Daten geschieht, haben das Recht auf Antworten und Kopien ihrer Daten. Wenn sie gute Gründe haben, warum die Verarbeitung abgebrochen werden soll, dann muss dies geschehen. Die grössten Neuerungen in der Datenschutz-Grundverordnung Die Einführung der Datenschutz-Grundverordnung bringt für viele Gesellschaften in der ganzen Welt zahlreiche neue Herausforderungen mit sich. Die wichtigsten Aspekte beinhalten zum Beispiel: • Compliance Strenge, neue Compliance-Anforderungen wurden eingeführt. Zum Beispiel müssen betroffene Organisationen eine «DatenschutzFolgenabschätzung» und Datenschutz-Audits durchführen sowie in den Geschäftsprozessen «Privacy-by-Design» sicherstellen. • Verwendungskontrollen Persönliche Daten werden Gegenstand von neuen, strengen Verwendungskontrollen, inklusive Prinzipien zur Datenminimierung, zur Datenportabilität und zum «Recht auf Vergessenwerden» (engl. «The right to be forgotten»). • Zustimmung Die Zustimmung von Nutzern zur Verwendung ihrer persönlichen Daten wird wesentlich schwerer zu erreichen und muss beweisbar sein (Dokumentation). • Bündelung Die Bereitstellung einer Leistung, die davon abhängig gemacht wird, dass die Nutzer die Zustimmung zur Verwendung ihrer Daten für nicht essenzielle Zwecke (wie zum Beispiel Marketing) geben, wird verboten. • Datensammlung Die Möglichkeit, persönliche Daten zu sammeln, wurde stark eingeschränkt. • Aufsicht Regulatoren werden dazu ermächtigt, Audits und Inspektionen von betroffenen Gesellschaften durchzuführen. • Offenlegung von Verstössen Es wird für Gesellschaften erforderlich, den Regulatoren und den betroffenen Personen schwerwiegende Verstösse gegen das Gesetz zu melden. • Geldstrafen Ernsthafte Verletzungen werden Strafen von bis zu 20 Mio. EUR oder 4 % des weltweiten Gruppenjahresumsatzes zur Folge haben. • Gerichtsverfahren Bürger und Interessenverbände erhalten das Recht, in Gruppengerichtsverfahren Entschädigungen für Schäden, die durch Datenschutzverletzungen entstanden sind, einzufordern. Neue Streitigkeiten und Gerichtsverfahren Teil der Herausforderung der DS-GVO ist, dass nicht konformes Verhalten von Organisationen zu ernsthaften regulatorischen Strafen, Gerichtsverfahren und Reputationsschäden führen kann. Durch neue Anforderungen bezüglich der Offenlegung von Datenschutzverletzungen sind Organisationen dazu verpflichtet, die entsprechende Datenschutzbehörde sowie allenfalls betroffene Datensubjekte im Falle einer Datenschutzverletzung zu informieren. Besondere Schwerpunkte Die folgenden Geschäftsaktivitäten können stark von der DS-GVO beeinflusst werden: • konsumentenorientierte Aktivitäten • Aktivitäten mit Bezug zu Kindern • Marketing und Werbung • digitale Transformation • Profiling • Tracking • öffentliche Dienste • Massenkommunikation • Joint Ventures • globale Geschäftsaktivitäten Vorgehen ist ein ganzheitliches Verständnis der gesetzlichen Grundlagen nötig, und die Bedürfnisse der Gesellschaft sowie deren Organisation sind in die Entscheidungen einzubeziehen. Das optimale risikobasierte Vorgehen beginnt mit der Formulierung einer Vision für den angestrebten Endzustand der Gesellschaft. Diese stellt während der Arbeit einen permanenten Referenzpunkt dar, um sicherzustellen, dass die Prioritäten des Geschäfts stets im Mittelpunkt stehen. Die Strategie für das Compliance-Programm muss vollständig auf die Vision ausgerichtet werden. Wenn die Strategie einmal entwickelt wurde, dann kann die Gesellschaft damit beginnen, die nötigen Strukturen aufzubauen. Viele beginnen unüberlegt mit der Arbeit an den Strukturen und investieren zu wenig Zeit in die Erarbeitung der Vision und der Strategie. Die Notwendigkeit zur Priorisierung Wie PwC Ihnen helfen kann Die DS-GVO wirft zahlreiche Compliance-Fragen auf. Es ist schnell passiert, dass man sich in den neuen Regulationen «verliert». Die Arbeit muss priorisiert werden, um sicherzustellen, dass kritische Risiken und wichtige Unternehmensziele adressiert werden, bevor man sich weniger bedeutenden Fragen zuwendet. Als multidisziplinäres Unternehmen sind wir die ideale Partnerin, um Ihnen zu helfen, sich an das neue Regulationsumfeld anzupassen. Unser Datenschutzteam beinhaltet Rechtsanwälte, Berater, Wirtschafsprüfer, technische Risikospezialisten, forensische Experten und Strategieberater. Es ist global ausgerichtet und weist lokale Fachkenntnisse in allen bedeutenden EU-Volkswirtschaften auf. Der risikobasierte Ansatz Ein klassisches Vorgehen bei der Umsetzung der DS-GVO-Vorgaben fokussiert auf die gesetzlichen Vorgaben, ohne dabei die tatsächlichen Risiken oder wesentliche Unternehmensziele besonders zu gewichten. Generell ist davon auszugehen, dass dieses Vorgehen zur gleichen Ausgestaltung des Compliance-Programms von allen Gruppengesellschaften führen wird. Das risikobasierte Vorgehen auf der anderen Seite berücksichtigt die operationelle Wirklichkeit des Geschäfts und der Praktiken. Es anerkennt, dass Organisationen, Berater und Regulatoren tatsächlich schwierige Entscheidungen bei der Priorisierung treffen müssen. Darum werden bei diesem Vorgehen bedeutsame Risiken zuerst angegangen, unter Einbezug der Schlüsselziele der Organisation. Und es wird versucht, die Investitionsrentabilität zu maximieren, indem man frühere Arbeit wiederverwendet. Für dieses ComplianceAnforderung Professionelle Dienstleistungskompetenzen, die benötigt werden Verantwortlichkeit und «Privacy by Design» Strategie, Geschäftstransformation, ComplianceProgrammdesign, Beratungsarbeit (inklusive Rechtsberatung), Kontrollen und Assurance DatenschutzFolgeabschätzung Risikoberatungs- und Beurteilungsservice Datenschutzprüfung Audit Services Offenlegung von Daten- Incident Response und schutzverstössen Rechtsdienstleistung Regulatorische Aufsicht Rechtsdienstleistung und unterstützende professionelle Dienstleistungen PwC’s global privacy practice Westeuropa Zentral- und Osteuropa Belgien, Deutschland, Finnland, Frankreich, Italien, Niederlande, Norwegen, Spanien, Schweden, Schweiz, Vereinigtes Königreich Bulgarien, Kasachstan, Lettland, Litauen, Polen, Slowakei, Russland, Türkei Nordamerika Vollständige Abdeckung Asien-Pazifik Australien, Indien, Japan, Neuseeland, Singapur Kontakte Susanne Hofmann-Hafner Swiss Head of Data Protection, PwC Tax and Legal Services +41 58 792 17 12 [email protected] Robert Metcalf Cyber Security & Data Protection Lead, PwC IT Risk Assurance +41 58 792 92 42 [email protected] Marco Schurtenberger Spezialist Cyber Security & IT Compliance, PwC IT Risk Assurance +41 58 792 22 33 [email protected] © 2016 PwC. All rights reserved. “PwC” refers to PricewaterhouseCoopers AG, which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.
© Copyright 2024 ExpyDoc
