Leitfaden und Checkliste DSGVO - tnt-graphics
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Leitfaden und Checkliste DSGVO Die neue Datenschutzgrundverordnung, kurz DSGVO, der Europäischen Union hat für Verunsicherung gesorgt – auch bei Unternehmen in der Schweiz. Dabei fördert sie Klarheit und Vertrauen in Sachen Verbraucherschutz, wovon alle profitieren. Dieser Leitfaden erläutert, worauf Unternehmen bezüglich der DSGVO achten müssen tnt-graphics AG Neue Winterthurerstr. 15 8305 Dietlikon info@tnt-graphics.ch Tel. +41 44 803 24 94 www.tnt-graphics.ch
2
Was ist die DSGVO ?
Hintergründe zur DSGVO Auswirkungen für Schweizer Firmen
Die Datenschutzgrundverordnung, kurz DSGVO, Die Schweiz ist zwar nicht Mitglied der Europäi-
ist ein Gesetz der Europäischen Union. Sie ist am schen Union, gleichwohl fallen Schweizer Unter-
25. Mai 2018 in Kraft getreten und ersetzt und nehmen in den Geltungsbereich der DSGVO. Denn
vereinheitlicht alle bisherigen nationalen Daten- die Verordnung schützt in der EU niedergelassene
schutzgesetze der 28 Mitgliedsstaaten. Sie schiebt Personen und ihre Daten, egal wo diese gespei-
vor allem der Praxis von grossen Internetkonzernen chert werden. Das heisst, auch Internetkonzerne
einen Riegel vor, die Daten ihrer Kunden vorzugs- wie Google oder Facebook mit Sitz in den USA
weise in EU-Ländern speicherten, wo besonders müssen diese Regeln beachten. Und natürlich alle
lockere Datenschutzgesetze herrschten. Schät Schweizer Firmen, die personenbezogene Daten
zungen zufolge spart die Wirtschaft in Europa von Personen aus der EU erheben und speichern.
dank der Vereinheitlichung rund 2,3 Milliarden Das betrifft übrigens nicht nur Daten von Kunden,
Euro pro Jahr. die zum Beispiel in einem Online-Shop etwas
kaufen. Bewirbt sich eine in der EU-niedergelas-
Die DSGVO umfasst sechs Aspekte: sene Person auf eine Stelle in der Schweiz, fallen
1 Rechtmässigkeit, Transparenz und Fairness auch ihre Bewerbungsunterlagen unter den Schutz
2 Begrenzte Verwendung von Daten für der Verordnung.
bestimmten Zweck
3 Minimierung von Daten
4 Beschränkung der Speicherung Schweizern wird manches in der DSGVO
5 Geheimhaltung und Integrität bekannt vorkommen, etwa das Recht auf
6 Haftung Auskunft.
Mehr Rechte für Bürger und Kunden Mehr zu den nationalen Regelungen:
Die DSGVO verbessert den Datenschutz und stärkt https://www.edoeb.admin.ch/edoeb/de/
die Rechte der Bürger und Kunden. Diese erhalten home/datenschutz/ueberblick/aufgaben-
ein Recht zu erfahren, welche Daten ein Unterneh- des-edoeb.html
men oder eine Webseite erhebt und wofür diese
verwendet werden. Hat der Konsument Zweifel
an der Rechtmässigkeit im Umgang mit diesen
Informationen, kann er Einsicht in diese Daten
verlangen. Ausserdem hat er ein Recht auf Verges-
sen werden: Auf Wunsch muss das Unternehmen
alle Informationen über eine Person löschen und
auch dafür sorgen, dass diese bei Geschäftspart-
nern gelöscht werden, falls Informationen weiter-
gegeben wurden.
Obwohl die Schweiz nicht
Mitglied der EU ist, fallen
Schweizer Unternehmen oft
in den Geltungsbereich der
neuen DSGVO.3
Checkliste DSGVO
Folgende Schritte sind die Basis für eine Umsetzung der
DSGVO im Unternehmen und auf deren Webseiten.
Bewahren Sie Ruhe – aber werden Erstellen Sie eine leicht verständliche
1 Sie aktiv
3 Datenschutzerklärung
Im Vorfeld der Einführung der DSGVO berichteten Eine Datenschutzerklärung auf der Webseite ist
Medien vor allem über die horrenden Strafen von Pflicht. Sie soll dem Besucher unter anderem leicht
bis zu vier Prozent des weltweiten Jahresumsatzes, verständlich erklären, wer seine Daten zu welchem
die Unternehmen bei Verstössen zahlen müssen. Zweck verarbeitet und ob eine Datenweitergabe an
Panik ist kein guter Ratgeber, Nichtstun aber auch Dritte erfolgt (zum Beispiel an Facebook).
nicht. Wer noch nicht mit der Umsetzung der
DSGVO begonnen hat, sollte nun aktiv werden. Eine Checkliste mit den wichtigsten
Punkten einer DSGVO-konformen Daten-
Verschaffen Sie sich einen Überblick schutzerklärung finden Sie hier:
2 Wer sammelt in Ihrem Unternehmen Daten https://blog.froriep.com/de/
wofür und wo liegen diese Daten? Viele Unterneh- datenschutzerklaerung-checkliste-dsgvo
men wissen das selbst nicht, weil im Lauf der
Jahre Softwareanwendungen, Datenbanken und
Geschäftsprozesse hinzugekommen sind, die Melden Sie Lecks
nebeneinander betrieben werden. Eine Bestandes-
4 Besonders rigoros sind die Strafen der DSGVO,
aufnahme hilft, die Datenverwaltung zu konsoli- wenn personenbezogene Daten in falsche Hände
dieren, was langfristig Zeit und Geld spart und die geraten und das verantwortliche Unternehmen dies
DSGVO-Compliance vereinfacht. nicht meldet. Die Aufsichtsbehörde ist innert
72 Stunden über den Vorfall zu informieren. In
gewissen Fällen sind zudem die betroffenen Kunden
zu informieren. Aus Sicht des Kommunikations
managements ist eine klare und umgehende Infor-
mation regelmässig sinnvoll.
Seien Sie seriös und transparent
5 Kommunizieren Sie, welche Daten erfasst
werden und wo. Falls Sie einen externen Dienst-
leister damit beauftragen, muss dieser einen
Vertrag zur Auftragsdatenverarbeitung unterzeich-
Besonders rigoros sind nen, der ihn zur Einhaltung der DSGVO-Regeln
die Strafen der DSGVO, verpflichtet.
wenn personenbezogene
Daten in falsche Hände
geraten und das verant-
wortliche Unternehmen
dies nicht meldet.4
Verwalten Sie Daten zentral
8 Ob auf eigenen NAS-Speichern oder in der
Cloud: Kundendaten können an vielen Orten lie-
Datenschutz im Sinne der gen. Wichtig ist allerdings, dass Sie diese Daten
zentral verwalten. Andernfalls kann es passieren,
DSGVO ist kein Projekt, dass Sie bei der Auskunftsanfrage eines Kunden
das einmal durchgeführt die Informationen umständlich zusammensuchen
müssen und nicht zügig reagieren können. Oder
wird und damit für immer Sie vergessen einen Teil der Informationen, wenn
erledigt ist. ein Kunde um das Löschen seines Accounts bittet.
Setzen Sie auf Privacy by Design
9 Datenschutz im Sinne der DSGVO ist kein
Benennen Sie einen Projekt, das einmal durchgeführt wird und damit
6 Datenschutzbeauftragten für immer erledigt ist. Der Schutz persönlicher
Wenn Ihre Kerntätigkeit aus (i) der umfangreichen Daten ist vielmehr Teil aller Innovationen, Produkte,
regelmässigen und systematischen Überwachung Prozesse, Verträge und vielem mehr. Die DSGVO
von Personen oder (ii) der umfangreichen Verarbei- fordert «Privacy by Design» – überlegen Sie sich bei
tung sensibler Daten oder strafrechtlich relevanter neuen Projekten schon im Vorfeld, wie Sie diese
Daten besteht, brauchen Sie einen Datenschutz DSGVO-konform aufsetzen beziehungsweise wie
beauftragten. In Anlehnung an die bisherige Praxis diese in Ihre bisherige (DSGVO-konforme) Daten-
gilt auch, dass ab mehr als zehn Mitarbeitern, schutz-Strategie passen. Datenschutz beziehungs-
die personenbezogene Daten verarbeiten, ein weise Schutz der Privatsphäre ist nicht länger eine
Datenschutzbeauftragter bestellt werden sollte. lästige Pflicht, mit dem Unternehmen mal mehr
Dieser muss auch im Impressum genannt werden. mal weniger freigiebig sein können. Noch wichtig zu
Er kümmert sich laufend um die Einhaltung und wissen ist: Nach der DSGVO ist vor der E-Privacy-Ver-
Verbesserung der Datenschutzrichtlinien, sollte also ordnung! Diese durchläuft derzeit den Gesetzge-
über die entsprechenden Kompetenzen verfügen. bungsprozess. Sie soll Vorgaben der DSGVO für
Doch Vorsicht: Ein Datenschutz-Manager kann bestimmte Bereiche konkretisieren, etwa strenge
den Datenschutz nicht alleine sicherstellen, er Regeln zum Usertracking. Eine finale Version der
braucht die Unterstützung der gesamten Beleg- E-Privacy-VO wird es frühestens 2019 geben.
schaft und der Geschäftsleitung. Aus Sicht der
DSGVO ist es zum Beispiel nicht ratsam, Mails oder
andere personenbezogene Infos lokal auf dem
Notebook zu speichern. Mitarbeiter müssen hier
Fazit
umdenken. Die DSGVO ist eine Herausforderung, aber kein
Hexenwerk. Die Umsetzung sollte zügig angegan-
Stellen Sie Mittel bereit gen werden. Diese Checkliste soll Ihnen einen
7 Die Umsetzung und das Aufrechterhalten der Anhaltspunkt über die wichtigsten Schritte geben.
DSGVO-Compliance gibt es nicht zum Nulltarif. Wichtig ist, sich einen Überblick zu verschaffen,
Ausreichende Mittel (z.B. Personal, Investitionen in insbesondere wo überall Daten von Kunden liegen.
Infrastruktur und neue Prozesse) für Datenschutz Denken Sie um: Richtig umgesetzt, ist die DSGVO
und Datensicherheit sind aber gut angelegtes Geld. kein notwendiges Übel, sondern macht ihr Unter-
Richtig teuer wird es erst bei einem Datenleck. nehmen effizienter im Umgang mit Daten.
Die Liste erhebt keinen Anspruch auf Vollstän-
digkeit. Bestehen Zweifel, sollten Sie einen Rechts-
beistand hinzuziehen.5
Die DSGVO-konforme Webseite
Einfache Webseiten erstellen Sie schon mit geringem Aufwand
DSGVO-konform. Beachten Sie, dass Sie neben den technischen Anpas-
sungen auch Ihre Datenschutzerklärung entsprechend aktualisieren.
Cookie Banner Double-Opt-In
Werden beim Besuch einer Webseite Cookies Bitte jubeln Sie Neukunden nicht durch ein
gesetzt, muss dies in einem Banner angekündigt bereits gesetztes Häkchen einen Newsletter oder
werden, das auch einen Link zur Datenschutz eine Software unter. Privacy by Default ist Pflicht!
erklärung enthält. Bauen Sie Ihre Prozesse so, dass der Nutzer dem
Erhalt von Marketing-Informationen bewusst
Website Tracking zustimmen muss und dies auch jederzeit widerru-
Überprüfen Sie, ob Ihr Website-Analyse-Tool fen kann (z.B. per Mail, Telefon oder in einem
anonymisiert arbeitet. Eine zusätzliche Code-Zeile eigenen Login-Bereich).
im Google Analytics Code erledigt dies. Akzeptie- Die Zustimmung sollten Sie sich per Double-
ren Sie in Google Analytics die aktualisierten Opt-In einholen. Dabei setzt der Kunde aktiv ein
Datenschutzbestimmungen in den Kontoeinstel- Häkchen und bestätigt dann seine Wahl noch
lungen. Bieten Sie den Besuchern an, dass Sie das einmal, etwa indem er auf einen Link in einer
User-Tracking unterbinden können (z.B. Opt-out zusätzlichen Registrierungsmail klickt. Die Infor-
von Google Analytics). mation, wann und über welchen Kanal ein User
sein Opt-in gegeben hat, sollten Sie auf jeden Fall
Sichere Übertragung dokumentieren.
SLL bei Webformularen und Shops ist Pflicht
sowie TLS bei Mails. Eigentlich sollte heute jede Dienste von Dritten
Webseite unter https laufen. Darüber hinaus Vergessen Sie auch nicht die Einbindung
sollten Sie keine Dateien unverschlüsselt in der von Zusatzdiensten wie Youtube, Facebook oder
Cloud ablegen. auch Google-Maps und Google-Fonts in Ihrer
Datenschutzerklärung aufzuführen.
Kontaktformulare
Weisen Sie bei allen Kontakt- und Anmelde-
formularen per Link auf die Datenschutzerklärung Eine Checkliste mit den wichtigsten Punkten
hin und erläutern Sie dort, zu welchem Zweck Sie zum Thema Auftragsdatenverarbeitung
die Daten erheben und verarbeiten. Ganz wichtig finden Sie hier: https://blog.froriep.com/de/
ist dies bei Formularen für Bewerber. Weisen auftragsdatenverarbeitungsvertrag-
Sie auch darauf hin, ab welchem Zeitpunkt Sie die checkliste-dsgvo
Daten gegebenenfalls automatisch löschen.6
Unser Angebot
Einführungsangebot Datenschutzerklärung –
rechtlich und technisch aus einer Hand!
Neben der technischen Umsetzung begleitet Sie Datenschutzrichtlinie «Professional»:
tnt-graphics ab sofort auch mit rechtlichem Bei- Kosten nach Aufwand
stand. In Zusammenarbeit mit der Anwaltskanzlei
FRORIEP erstellen wir Ihnen eine rechtskonforme Informationswebseite mit Mitgliederverzeichnis
Datenschutzerklärung für Ihre Webseite. Je nach oder Online Shop: Zusätzlich zu den Tracking
Komplexität bieten wir Ihnen drei preislich äusserst Tools, Kontaktformular und/oder ein Newsletter
attraktive Pakete. sowie z.B. ein Mitgliederverzeichnis, Job-Portal,
Online Shop oder andere Dienste bei den personen-
bezogene Daten an Dritte gehen oder für weitere
Datenschutzrichtlinie «Basic»: Zwecke verwendet werden. Nach Sichtung der
CHF 590.– Anforderungen erstellen wir eine dedizierte Offerte.
Informationswebseiten: Einfache Webseiten, die
ausser mittels Tracking Tools (Google Analytics,
Facebook, ein einfaches Kontaktformular) keine Haben wir Ihr Interesse geweckt?
Personendaten an Dritte übermitteln. Dann kontaktieren Sie uns
Wir prüfen Ihre Webseite zur Ermittlung des
Datenschutzrichtlinie «Standard»: entsprechenden Pakets, erfassen Ihre Daten,
CHF 890.– erstellen mit FRORIEP eine entsprechende Daten-
schutzerklärung und kümmern uns um die techni-
Informationswebseiten mit Kontaktformular/
sche Umsetzung (Cookie-Banner-Hinweis, Auffüllen
Newsletter: Zusätzlich zu den Tracking Tools und
von Hinweistexten, Einbau der Datenschutzerklä-
dem Kontaktformular gibt es einen Newsletter
rung). Ausgenommen sind grössere technische
(z.B. Mailchimp) oder eine einfache Online-
Anpassungen wenn z.B. bei einer Anmeldung oder
Reservierung.
einem Newsletter ein Double-Opt-In-Prozess einge-
baut werden muss. Je nach Aufwand fallen hierbei
zusätzliche Kosten an. Alle Preise exkl. MwSt.
tnt-graphics AG
Neue Winterthurerstr. 15 In Kooperation mit:
CH-8305 Dietlikon FRORIEP Legal AG
Tel. +41 44 803 24 94 Bellerivestrasse 201
info@tnt-graphics.ch 8034 Zürich
froriep.comSie können auch lesen
