Das neue europäische Datenschutzgesetz ‒ DSGVO (Datenschutz-Grundverordnung) oder auch GDPR (General Data Protection Regulation) ‒ wird im Mai 2018 gültig. Die Vernehmlassung zum Gesetzesentwurf des revidierten Schweizerischen Datenschutzgesetz (CH-DSG) endete vor wenigen Wochen; die Rückmeldungen sind eher kritisch. Damit werden Änderungen am Gesetzesentwurf möglich und auch die Diskussionen in den eidgenössischen Räten werden bald folgen. Höchste Zeit, dass auch Sie sich Gedanken um dieses Thema machen. Weshalb Ihr Unternehmen einen Datenschutzbeauftragten braucht, erfahren Sie in diesem Beitrag.
Welche Auswirkungen die Umsetzung der neuen GDPR-Vorgaben auf Ihr Unternehmen hat, wurde bereits in einem anderen Blogpost erklärt. In der GDPR ist ein (betrieblicher) Datenschutzbeauftragter resp. eine Datenschutzbeauftragte vorgesehen. Im Gesetzesentwurf des revidierten CH-DSG ist dieser leider – unbegründet ‒ verschwunden, was von verschiedenen Stellen stark kritisiert wird, wie unter anderem die Vernehmlassungsantwort des Verein ISSS oder das Editorial des Juristen David Rosenthal in der NZZ zeigen.
Der Datenschutzbeauftragte als Single Point of Contact ‒ aber nicht als One-Man Show
Ein Datenschutzbeauftragter ‒ oder DPO (Data Protection Officer) ‒ agiert als «Single Point of Contact» für alle Themen und Anliegen, welche den Schutz personenbezogener Daten betreffen. Diese umfassen unter anderem:
- Anfragen von Behörden, Kunden oder Lieferanten
- Auskünfte gegenüber Medien und anderen Stakeholdern
- Aufbau und Verwaltung des Datenschutzprogramms (Privacy Program)
- Definition von Prozessen für den Schutz von personenbezogenen Daten
- Behandlung von Vorfällen (Data Breaches, Data Leaks, Security Incidents)
- Interne Beratung für Projekte, Mitarbeitende, Management und Verwaltungsrat
Dies ist aber nur ein kleiner Auszug aus dem vielfältigen und spannenden Tätigkeitsfeld eines DPO. Auf unserer Infografik finden Sie eine Übersicht über die Aufgaben.
Die detaillierte Infografik können Sie hier downloaden!
Ernennen Sie jetzt einen DPO – intern oder von extern
Angesichts des neuen europäischen und des kommenden schweizerischen Datenschutzgesetzes sowie dem weiterhin zunehmenden Trend der Nutzung von Cloud Computing und den global-politischen Entwicklungen, wird der Datenschutz ‒ und damit verbunden natürlich auch das Thema Cyber Security ‒ in Zukunft noch wichtiger werden.
Jede Organisation, die personenbezogene Daten bearbeitet, ist von diesen gesetzlichen Anforderungen betroffen und muss diese adäquat in der eigenen IT- und Geschäftsprozess-Systemlandschaft umsetzen. Grössere Unternehmen und Konzerne verfügen oft über entsprechende, interne Kompetenzen; sprich einen Datenschutzbeauftragten. KMU können sich einen dedizierten DPO jedoch oft gar nicht leisten. Aufgrund unserer Erfahrung wissen wir, dass die Aufgaben eines DPO im Nebenamt meist nur qualitativ ungenügend ausgeführt werden können. Das Ignorieren der strengen Anforderungen (und das damit verbundene Risiko von Sanktionen bei Nicht-Einhaltung) ist für kein Unternehmen eine valable Option.
Dieses Problem kann durch einen externen, teil- oder vollzeitlichen DPO gelöst werden. Je nach Bedarf wird das Thema Datenschutz dabei durch einen professionellen, erfahrenen und fachlich kompetenten Spezialisten wahrgenommen. In den ersten Monaten ‒ also beim Aufbau, der Definition und Umsetzung eines Privacy Programms ‒ in der Regel vollzeitlich; danach reicht oft eine teilzeitliche Mandatierung. Dabei sind neben den juristischen und regulatorischen Kompetenzen insbesondere auch technische Fähigkeiten und Kenntnisse der aktuellen ICT-Technologien und Sicherheitsmassnahmen sowie ein aktueller Überblick über Cyber-Risiken zwingend notwendig. Abgerundet wird das Profil des DPO durch ausgeprägte Kommunikationskompetenzen, da sowohl Mitarbeitende, Kunden, Behörden wie auch die Unternehmensleitung adressatengerecht und regelmässig über den Datenschutz informiert werden müssen. Die Bündelung dieser interdisziplinären Kompetenzen auf einzelne Personen ist rar und entsprechende Fachpersonen sind nicht ganz günstig ‒ ein weiterer Grund, die Kosten für die Einhaltung des Datenschutzes auf das Notwendige zu beschränken; sinnvollerweise mit der Mandatierung eines DPO auf Zeit oder auf Projektbasis.
Ihr Datenschutzbeauftragter vom Schweizer Cyber Security Experten
Deshalb bietet Ihnen InfoGuard einerseits den Komplettservice «DPO-as-a-Service» an, inkl. juristischer Beratung in Zusammenarbeit mit unseren Partnern, aber auch einzelne Dienstleistungen wie Datenschutz-Folgeabschätzungen (Privacy Impact Assessment) oder die Prüfung von organisatorischen und technischen Sicherheitsmassnahmen. Zudem unterstützen wir Sie zusammen mit unserem Partner MME, ein u.a. auf IT Law und Datenschutz-Compliance spezialisiertes Schweizer Beratungsunternehmen, bei der Zertifizierung mit dem international anerkannten Datenschutzgütesiegel «ePrivacyseal». Dabei werden Sie von einem erfahrenen Team aus Cyber Security- und Datenschutz-Experten der InfoGuard sowie Juristen der Kanzlei MME betreut. Erst kürzlich haben wir so dem ersten Schweizer Unternehmen dieses Datenschutzgütesiegel ausstellen können. Mehr darüber erfahren Sie in unserer Pressemitteilung.