Leitfaden und Checkliste DSGVO - tnt-graphics
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
FOTO: UNSPLASH.COM/PHOTOS_BY_LANTY Leitfaden und Checkliste DSGVO Die neue Datenschutzgrundverordnung, kurz DSGVO, der Europäischen Union hat für Verunsicherung gesorgt – auch bei Unternehmen in der Schweiz. Dabei fördert sie Klarheit und Vertrauen in Sachen Verbraucherschutz, wovon alle profitieren. Dieser Leitfaden erläutert, worauf Unternehmen bezüglich der DSGVO achten müssen. tnt-graphics AG Neue Winterthurerstr. 15 8305 Dietlikon info@tnt-graphics.ch Tel. +41 44 803 24 94 www.tnt-graphics.ch
2
Was ist die DSVGO ?
Hintergründe zur DSGVO Auswirkungen für Schweizer Firmen
Die Datenschutzgrundverordnung, kurz DSGVO, Die Schweiz ist zwar nicht Mitglied der Europäi-
ist ein Gesetz der Europäischen Union. Sie ist am schen Union, gleichwohl fallen Schweizer Unter-
25. Mai 2018 endgültig in Kraft getreten und nehmen in den Geltungsbereich der DSGVO. Denn
ersetzt und vereinheitlicht alle bisherigen nationa- die Verordnung schützt EU-Bürger und ihre Daten,
len Datenschutzgesetze der 28 Mitgliedsstaaten, egal wo diese gespeichert werden. Das heisst,
die überwiegend aus den 1990er Jahren stammen. auch Internetkonzerne wie Google oder Facebook
Sie schiebt der Praxis vor allem von grossen Inter- mit Sitz in den USA müssen die Regeln beachten.
netkonzernen einen Riegel vor, die Daten ihrer Und natürlich alle Schweizer Firmen, die perso-
Kunden vorzugsweise in solchen EU-Ländern nenbezogene Daten von Personen aus der EU erhe-
speicherten, wo besonders lockere Datenschutz ben und speichern. Das betrifft übrigens nicht nur
gesetze herrschten. Schätzungen zufolge spart die Daten von Kunden, die zum Beispiel in einem
Wirtschaft in Europa dank der Vereinheitlichung Online-Shop etwas kaufen. Bewirbt sich ein
rund 2,3 Milliarden Euro pro Jahr. EU-Bürger auf eine Stelle in der Schweiz, fallen
auch seine Bewerbungsunterlagen unter den
Die DSGVO umfasst sechs Aspekte: Schutz der Verordnung.
1 Rechtstreue, Transparenz und Fairness
2 Begrenzte Verwendung von Daten
3 Minimierung von Daten Schweizern wird manches in der DSGVO
4 Beschränkung der Speicherung bekannt vorkommen, etwa das Recht auf
5 Geheimhaltung und Integrität Auskunft.
6 Haftung
Mehr zu den nationalen Regelungen:
Mehr Rechte für Bürger und Kunden https://www.edoeb.admin.ch/edoeb/
Die DSGVO verbessert den Datenschutz und stärkt de/home/datenschutz/ueberblick/
die Rechte der Bürger und Kunden. Diese erhalten aufgaben-des-edoeb.html
ein Recht zu erfahren, welche Daten ein Unterneh-
men oder eine Webseite erhebt und wofür diese
verwendet werden. Hat der Verbraucher Zweifel an
der Rechtmässigkeit im Umgang mit diesen Infor-
mationen, kann er Einsicht in diese Daten verlan-
gen. Ausserdem hat er ein Recht auf Vergessen: Auf
Wunsch muss das Unternehmen alle Informationen
über eine Person löschen und auch dafür sorgen,
dass diese bei Geschäftspartnern gelöscht werden,
falls Informationen weitergegeben wurden.
Obwohl die Schweiz nicht
Mitglied der EU ist, fallen
Schweizer Unternehmen in
den Geltungsbereich der
neuen DSGVO.3
Checkliste DSGVO
Folgende Schritte sind die Basis für eine Umsetzung der
DSGVO im Unternehmen und auf deren Webseiten.
Bewahren Sie Ruhe – aber werden Erstellen Sie eine leicht verständliche
1 Sie aktiv
3 Datenschutzerklärung
Im Vorfeld der Einführung der DSGVO berichteten Eine Datenschutzerklärung auf der Webseite ist
Medien vor allem über die horrenden Strafen von Pflicht. Sie sollte dem Besucher leicht verständ
bis zu vier Prozent des weltweiten Jahresumsatzes, licher erklären, wer seine Daten zu welchem Zweck
die Unternehmen bei Verstössen zahlen müssen. verarbeitet, ob eine Datenweitergabe an Dritte
Panik ist dennoch kein guter Ratgeber. Nichtstun erfolgt, zum Beispiel an Facebook.
aber auch nicht. Wer noch nicht mit der Umset-
zung der DSGVO begonnen hat, sollte nun aktiv Ein vorbildliches Beispiel einer unserer
werden. Kunden: https://www.bbv.ch/de/
datenschutzerklaerung.html
Verschaffen Sie sich einen Überblick
2 Wer sammelt in Ihrem Unternehmen Daten Mit diesem Generator lässt sich die
wofür und wo liegen diese Daten? Viele Unterneh- Datenschutzerklärung leicht erstellen:
men wissen das selbst nicht, weil im Lauf der https://www.activemind.de/datenschutz/
Jahre Softwareanwendungen, Datenbanken und datenschutzhinweis-generator
Geschäftsprozesse hinzugekommen sind, die
nebeneinander betrieben werden. Eine Bestands-
aufnahme hilft, die Datenhaltung zu konsolidieren, Melden Sie Lecks
was langfristig Zeit und Geld spart und die
4 Besonders rigoros sind die Strafen der
DSGVO-Compliance vereinfacht. DSGVO, wenn personenbezogene Daten in falsche
Hände geraten und das verantwortliche Unterneh-
men dies nicht meldet. Die Betroffenen Kunden
müssen umgehend informiert werden, bei grösseren
Vorfällen auch die Aufsichtsbehörden innerhalb
von 72 Stunden.
Seien Sie seriös und transparent
5 Kommunizieren Sie, welche Daten erfasst
werden und wo. Falls Sie einen externen Dienst-
leister damit beauftragen, muss dieser einen
Besonders rigoros sind Vertrag zur Auftragsdatenverarbeitung unterzeich-
die Strafen der DSGVO, nen, der ihn zur Einhaltung der DSGVO-Regeln
wenn personenbezogene verpflichtet.
Daten in falsche Hände Gute Checklisten und Formulare:
geraten und das verant- https://www.datenschutz.org/
wortliche Unternehmen auftragsdatenverarbeitung/#muster-
zum-kostenlosen-download
dies nicht meldet.4
Verwalten Sie Daten zentral
8 Ob auf eigenen NAS-Speichern oder in der
Cloud: Kundendaten können an vielen Orten lie-
Datenschutz im Sinne der gen. Wichtig ist allerdings, dass Sie diese Daten
zentral verwalten. Andernfalls kann es passieren,
DSGVO ist kein Projekt, dass Sie bei der Auskunftsanfrage eines Kunden
das einmal durchgeführt die Informationen umständlich zusammensuchen
müssen und nicht zügig reagieren können. Oder
wird und damit für immer Sie vergessen einen Teil der Informationen, wenn
erledigt ist. ein Kunde um das Löschen seines Accounts bittet.
Setzen Sie auf Privacy by Design
9 Datenschutz im Sinne der DSGVO ist kein
Projekt, das einmal durchgeführt wird und damit
für immer erledigt ist. Der Schutz persönlicher
Benennen Sie einen Daten ist vielmehr Teil aller Innovationen, Pro-
6 Datenschutzbeauftragten dukte, Prozesse, Verträge und vielem mehr. Die
Sind in Ihrem Unternehmen mehr als zehn Perso- DSGVO fordert «Privacy by Design» – überlegen Sie
nen mit personenbezogenen Daten beschäftigt, sich bei neuen Projekten schon im Vorfeld, wie Sie
dann brauchen Sie einen Datenschutzbeauftrag- diese DSGVO-konform aufsetzen beziehungsweise
ten, der auch im Impressum genannt werden wie diese in Ihre bisherige (DSGVO-konforme)
muss. Er kümmert sich laufend um die Einhaltung Datenschutz-Strategie passen. Datenschutz bezie-
und Verbesserung der Datenschutzrichtlinien, hungsweise Schutz der Privatsphäre ist nicht
sollte also gleichberechtigt neben anderen Perso- länger eine lästige Pflicht, mit dem Unternehmen
nen im Management stehen. mal mehr mal weniger freigiebig sein können.
Doch Vorsicht: Ein Datenschutz-Manager kann Noch wichtig zu wissen! Nach der DSGVO ist vor der
den Datenschutz nicht alleine sicherstellen, er E-Privacy-Verordnung. Diese durchläuft derzeit den
braucht die Unterstützung der gesamten Beleg- Gesetzgebungsprozess. Sie soll allgemeine Vorga-
schaft und der Geschäftsleitung. Aus Sicht der ben der DSGVO konkretisieren, etwa strenge Regeln
DSGVO ist es zum Beispiel nicht ratsam, Mails oder zum Usertracking. Eine finale Version der E-Privacy-
andere personenbezogene Infos lokal auf dem VO wird es frühestens 2019 geben.
Notebook zu speichern. Mitarbeiter müssen hier
umdenken.
Stellen Sie Mittel bereit
Fazit
7 Die Umsetzung und das Aufrechterhalten der Die DSGVO ist eine Herausforderung, aber kein
DSGVO-Compliance gibt es nicht zum Nulltarif. Hexenwerk. Die Umsetzung sollte zügig angegan-
Ausreichende Mittel (z.B. Personal, Investitionen in gen werden. Diese Checkliste soll Ihnen einen
Infrastruktur und neue Prozesse) für Datenschutz Anhaltspunkt über die wichtigsten Schritte geben.
und Datensicherheit sind aber gut angelegtes Geld. Wichtig ist, sich einen Überblick zu verschaffen, wo
Richtig teuer wird es erst bei einem Datenleck. überall Daten von Kunden liegen. Denken Sie um:
Richtig umgesetzt, ist die DSGVO kein notwendiges
Übel, sondern macht ihr Unternehmen effizienter.
Die Liste erhebt keinen Anspruch auf Vollstän-
digkeit. Bestehen Zweifel, sollten Sie einen Rechts-
beistand hinzuziehen.5
Die DSGVO-konforme Webseite
Einfache Webseiten bekommen Sie schon mit geringem Aufwand
DSGVO-konform. Beachten Sie, dass Sie neben den technischen Anpas-
sungen auch Ihre Datenschutzerklärung entsprechend aktualisieren.
Cookie Banner Double-Opt-In
Werden beim Besuch einer Webseite Cookies Bitte jubeln Sie Neukunden nicht durch ein
gesetzt, die über das Aufrechterhalten des Services bereits gesetztes Häkchen einen Newsletter oder
etwa für den Warenkorb hinausgehen, muss dies in eine Software unter. Privacy by Default ist Pflicht!
einem Banner angekündigt werden, das auch Bauen Sie Ihre Prozesse so, dass der Nutzer dem
einen Link zur Datenschutzerklärung enthält. Erhalt von Marketing-Informationen bewusst
zustimmen muss und dies auch jederzeit wider
Website Tracking rufen kann (z.B. per Mail, Telefon oder in einem
Überprüfen Sie, ob Ihr Website-Analyse-Tool eigenen Login-Bereich).
anonymisiert arbeitet. Eine zusätzliche Code-Zeile Die Zustimmung sollten Sie sich per Double-
im Google Analytics Code erledigt dies. Akzeptie- Opt-In einholen. Dabei setzt der Kunde aktiv ein
ren Sie in Google Analytics die aktualisierten Häkchen und bestätigt dann seine Wahl noch
Datenschutzbestimmungen in den Kontoeinstel- einmal, etwa indem er auf einen Link in einer
lungen. Bieten Sie den Besuchern an, dass Sie das zusätzlichen Registrierungsmail klickt. Die Infor-
User-Tracking unterbinden können (z.B. Opt-out mation, wann und über welchen Kanal ein User
von Google Analytics). sein Opt-in gegeben hat, sollten Sie auf jeden Fall
dokumentieren.
Sichere Übertragung
SLL bei Webformularen und Shops ist Pflicht Dienste von Dritten
sowie TLS bei Mails. Eigentlich sollte heute jede Vergessen Sie auch nicht die Einbindung
Webseite unter https laufen. Darüber hinaus von Zusatzdiensten wie Youtube, Facebook oder
sollten Sie keine Dateien unverschlüsselt in der auch Google-Maps und Google-Fonts in Ihrer
Cloud ablegen. Datenschutzerklärung aufzuführen.
Kontaktformulare
Weisen Sie bei allen Kontakt- und Anmelde-
formularen per Link auf die Datenschutzerklärung
hin und erläutern Sie dort, zu welchem Zweck Sie
die Daten erheben und verarbeiten. Ganz wichtig
ist dies bei Formularen für Bewerber. Weisen Sie Gerne begleiten wir Sie bei der technischen
auch darauf hin, ab welchem Zeitpunkt Sie die Umsetzung der DSGVO-Compliance:
Daten gegebenenfalls automatisch löschen.
tnt-graphics AG
Neue Winterthurerstr. 15
CH-8305 Dietlikon
Tel. +41 44 803 24 94
info@tnt-graphics.chSie können auch lesen
