NEUE ANFORDERUNGEN IM DATENSCHUTZ - Interne Abläufe müssen angepasst werden NPO-LETTER 1/2018 - BDO Schweiz
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
NPO-LETTER 1/2018
NEUE ANFORDERUNGEN IM
DATENSCHUTZ
Interne Abläufe müssen angepasst werden
Prüfung | Treuhand | Steuern | Beratung
2 NPO-LETTER 1/2018
Die Schweiz und die EU revidieren
Ist Ihre Organisation auf die neuen Anforderungen
im Bereich Datenschutz vorbereitet?
ihre Datenschutzgesetze – mit weit-
1. Hat Ihre Organisation die Einwilligungserklärungen für die Bearbei-
reichenden Folgen für alle Organi- tung von Personendaten an die neuen Anforderungen angepasst und
werden die Einwilligungen rechtsgenüglich dokumentiert?
sationen, insbesondere vermehrte 2. Sind die Verantwortlichkeiten im Bereich Datenschutz in Ihrer
Organisation klar geregelt, damit Sie den Rechten Ihrer Mitglieder/
Dokumentationspflichten, Anpassung Gönner/Spender in Zukunft fristgerecht nachkommen können und bei
Datenschutz-Vorfällen die nötigen Meldungen innert 72 Stunden an
die Aufsichtsbehörde erfolgen?
von Prozessen an neue Meldepflichten
3. Verfügt Ihre Organisation über ein aktuelles und vollständiges
und Massnahmen zur Löschung von Verzeichnis aller Verarbeitungstätigkeiten (Verfahren/Prozesse/
Systeme), bei denen Personendaten bearbeitet oder gespeichert
werden?
Personendaten. Mit neuen Bussdrohun-
4. Enthält das Verzeichnis aller Verarbeitungstätigkeiten alle Informa-
gen soll dem Datenschutz in Zukunft tionen, welche gemäss den neuen Anforderungen zwingend enthalten
sein müssen?
mehr Nachdruck verliehen werden.
5. Sind die Garantien bei Übermittlungen in ein Drittland geeignet um
die Daten zu schützen und sind die Garantien dokumentiert?
6. Bestehen effiziente Prozesse, welche die korrekte Meldung von
BDO unterstützt Ihre Organisation bei Datenschutz-Vorfällen an zuständige öffentliche Stellen innerhalb der
gesetzlichen Frist (i.d.R. 72 Stunden) sicherstellen?
der Umsetzung der neuen Anforderun- 7. Können Löschungsbegehren von betroffenen Personen innert der
verlangten Frist nachgekommen und die Löschung aller nötigen
gen im Datenschutz. Personendaten sichergestellt werden?
8. Ist die fristgerechte und vollständige Beantwortung von Auskunfts-
begehren von betroffenen Personen sichergestellt?
9. Sind die Fristen für die Löschung von Datenkategorien festgelegt und
dokumentiert?
10. Besteht ein Prozess, der sicherstellt, dass bei neuen Verfahren oder
Systemen die allfällige Pflicht zur Durchführung einer Datenschutz-
Folgenabschätzung beurteilt und der Entscheid begründet und doku-
mentiert wird?
11. Wurde jede Verarbeitungstätigkeit mittels einer Risikoabschätzung
bewertet und das Resultat dokumentiert?
12. Ist der Entscheid, welche organisatorischen und technischen
Massnahmen aufgrund der Risikobewertung getroffen wurden,
angemessen und dokumentiert?
13. Wurde die korrekte Implementierung der organisatorischen und
technischen Massnahmen überprüft und das Resultat dokumentiert?
3 NPO-LETTER 1/2018
Umgang mit Personendaten Mit der Zahlung einer Spende, der Teilnahme an einem Anlass oder
der Anmeldung zu einem Newsletter gibt die Person keine generelle
Non-Profit-Organisationen bearbeiten Personendaten, sei es von Einwilligung, ihre Daten nutzen zu können. Die Erlaubnis gilt nur
Spendern, Gönnern, Mitarbeitenden oder Kontaktpersonen von zeitlich beschränkt und für den bestimmten Zweck. Die Nutzung
Partnerorganisationen. darüber hinaus, beispielsweise für Werbung, ist nur erlaubt, falls
zusätzliche Kriterien erfüllt sind.
Bereits das Sammeln, Bearbeiten oder Speichern von allgemeinen
Personendaten wie Name und Adresse ist durch das Datenschutz-
gesetz geschützt. Es reicht, dass eine natürliche Person theoretisch
identifizierbar ist. Daneben gibt es besonders schützenswerte Daten Die EU-Datenschutz Grundverordnung
wie z.B. Informationen zu politischen Meinungen, Gesundheit, Sozial-
hilfe oder sexuellen Orientierung. Damit solche Daten rechtmässig Ab 25. Mai 2018 ist in der EU die neue Datenschutz-Grundverord-
genutzt und bearbeitet werden dürfen, gelten für den Umgang damit nung («DSGVO», oder englisch «General Data Protection Regula-
zusätzliche Anforderungen insbesondere bei der Information der tion», kurz «GDPR») verbindlich. Sie ist das erste grosse Gesetzge-
betroffenen Person und dem Einholen der Einwilligung. bungswerk der EU, das für Niedergelassene und Organisationen in
allen 27 EU-Staaten direkt Anwendung findet.
Zum Beispiel werden bei folgenden Tätigkeiten Personendaten
bearbeitet: Die DSGVO ist unter Umständen auch auf in der Schweiz domi-
▶ Führen von Mitarbeitenden-, Mitglieder-, Gönner- oder Spender- zilierte Organisationen anwendbar, zum Beispiel, wenn diese (a)
listen Dienstleistungen an in der EU Niedergelassene anbieten und
▶ Kontaktaufnahme und Korrespondenz per Post, Telefon oder E-Mail dabei Personendaten (in der Schweiz) bearbeiten, (b) für andere
▶ Speichern von Angaben zu Spenden Organisationen aus der EU Personendaten in der Schweiz bear-
▶ Erstellen eines Profils durch analysieren von Interesse oder Verhal- beiten, oder (c) das Verhalten von Personen in der EU beobachten
ten von Personen (z.B. Surfverhalten der Homepage mittels Cookies über-
▶ Abfrage von Kontaktpersonen oder Entscheidungsträger wachen).
▶ Weitergabe von Informationen über Personen an andere Organisa-
tionen, Behörden oder Dritte4 NPO-LETTER 1/2018
Die wichtigsten Kernelemente der DSGVO sind: Der Bundesrat orientiert sich dabei stark an der Datenschutz-Grund-
▶ Höhere Bussgelder: Verstösse sind neu mit hohen Bussen bedroht: verordnung (DSGVO) der EU, welche in den Grundzügen über-
entweder (a) bis zu vier Prozent des weltweiten Jahresumsatzes der nommen wird. Der Schweizer Entwurf ist aber genereller gehalten.
ganzen Organisation oder (b) bis zu 20 Millionen Euro, je nach dem Auch Schweizer Organisationen ohne Verbindungen zur EU werden
welcher Betrag höher ist. in naher Zukunft mit erhöhten Dokumentations-, Auskunfts- und
▶ Erweiterte Dokumentationsplichten: die Organisationen müssen die Meldepflichten konfrontiert sein.
ordnungsgemässe Bearbeitung von Personendaten belegen können.
▶ Meldeplicht: Datenschutzverletzungen müssen möglichst innerhalb
von 72 Stunden gemeldet werden.
▶ Betroffenenrechte: betroffene Individuen haben erweiterte Rechte Unterschiedliches Sanktionsmodell für die Schweiz
bezüglich Auskunft, Löschung oder Herausgabe ihrer Daten.
▶ Datenspeicherung: Die Speicherdauer von Personendaten muss Ein wesentlicher Unterschied zur EU ist das im Schweizer Entwurf
durch die Organisation festgelegt werden. Nach Ablauf der Frist geplante Sanktionsmodell. Die hohen administrativen Bussen gegen
müssen Daten gelöscht werden. Organisationen sollen nicht übernommen werden. Im Unterschied
▶ Aufsichtsbehörden: Sie erhalten erweiterte Kompetenzen. zur EU geht die Sanktion aber nicht gegen die Organisation, sondern
gegen die verantwortlichen Personen der Organisation persönlich.
In der Regel werden somit die Mitglieder der höchsten Führungsebe-
ne (Geschäftsleitung / Vorstand) persönlich haften. In Strafverfahren
Totalrevision des Schweizer Datenschutzgesetzes kann gegen sie eine Busse für Datenschutzverletzungen bis zu
CHF 250’000 ausgesprochen werden. Lediglich bei geringfügigen
Auch der Schweizer Bundesrat plant, das Datenschutzgesetz (DSG) Bussen (unter CHF 50’000) kann auf die persönliche Verfolgung
den neuen technologischen und gesellschaftlichen Entwicklungen verzichtet und stattdessen die Organisation gebüsst werden.
anzupassen. Die Transparenz von Datenbearbeitungen soll verbes-
sert und die Selbstbestimmung der betroffenen Personen über ihre Ein Inkrafttreten des revidierten Schweizer Datenschutzgesetzes im
Daten gestärkt werden. Im September 2017 hat der Bundesrat einen Jahre 2019 erscheint realistisch. Organisationen sollten sich frühzeitig
Entwurf für die Totalrevision des Schweizer Datenschutzgesetzes mit den neuen Anforderungen auseinandersetzen und interne Abläufe
veröffentlicht. und Weisungen auf die neue Gesetzgebung abstimmen.
Handlungsbedarf
Unabhängig davon, ob die DSGVO oder nur die Schweizer Rege-
lung anwendbar sein wird, besteht bei Non-Profit-Organisationen
Handlungsbedarf. Insbesondere sollte ein Inventar der Verfahren,
bei welchen Personendaten bearbeitet werden, erstellt werden (sog.
«Verfahrensverzeichnis»). Bezüglich jedem Verfahren ist eine kurze
Risikobewertung zu machen und es sind dem Risiko angemessene
technische und organisatorische Massnahmen zum Schutz der Per-
sonendaten zu treffen. Dies ist zu dokumentieren. Zudem sollten die
Verantwortlichkeiten für den Datenschutz innerhalb der Organisation
geregelt werden und durch die Regelung von Prozessen ist sicherzu-
stellen, dass Auskunfts- und Meldepflichten entsprechend der neuen
Gesetzgebung zeitgerecht erfüllt werden können.
Sofern die Organisation Berührungspunkte mit der DSGVO hat,
gelten diese strengeren Anforderungen bereits ab dem 25. Mai dieses
Jahres.5 NPO-LETTER 1/2018
So kann Sie BDO bei der Umsetzung unterstützen Unsere Berater haben weitreichende Praxiserfahrung und
Kompetenz in der Beratung von Themen rund um den
Gerne unterstützt Sie BDO dabei, sicherzustellen, dass: Datenschutz. Sie sind umfassend über die rechtlichen
▶ Mit unserem BDO-Datenschutz-Toolkit, welcher erprobte Formula- Problemstellungen im In- und Ausland informiert.
re und Anleitungen enthält, ermöglichen wir Ihnen die weitgehend
selbständige Erstellung bei der Inventarisierung der Verfahren mit Wir arbeiten eng mit unseren Fachspezialisten (Rechtsanwälte,
Personendaten. Dieses Inventar ist unabdingbare Voraussetzung IT-Spezialisten, Wirtschaftsprüfer, Treuhänder und Steuer-
für Ihre Gesetzeskonformität und Ausgangspunkt zur Festlegung berater) zusammen. Dadurch können wir eine umfassende
nötiger Massnahmen. Beratung anbieten.
▶ Wir beraten Sie bei der Risikoabschätzung Ihrer Verfahren und
Prozesse, Fragen der Angemessenheit von angeordneten techni- Als Teil des weltweit tätigen BDO Netzwerks haben wir
schen und organisatorischen Massnahmen und Festlegung von unmittelbaren Zugriff zu Spezialisten-Know-how in über
Verantwortlichkeiten innerhalb Ihrer Organisation. 160 Ländern.
▶ Wir überprüfen bei Bedarf für Sie die korrekte Implementierung
angeordneter technischer und organisatorischer Massnahmen.
▶ Wir beraten Sie in Fragestellungen des organisationsweiten oder
internationalen Austauschs von Personendaten und erstellen für
Sie geeignete Standardvertragsklauseln oder entwickeln mit Ihnen
entsprechende Richtlinien.
▶ Bei Bedarf übernehmen wir die Kommunikation mit Aufsichtsbe-
hörden und unterstützen Sie bei der Vornahme der pflichtgemässen
Meldungen.
▶ Wenn Sie es wünschen, übernehmen wir für Sie die gesetzlich
vorgesehene Funktion des externen Datenschutzberaters.
▶ Unsere IT-Spezialisten überprüfen Massnahmen der IT-Sicherheit
und rapportieren die Ergebnisse in einem Bericht.
▶ Wir schulen und trainieren Mitarbeitende und Verantwortliche in
Ihrer Organisation.BDO AG
Aarau 062 834 91 91
Basel 061 317 37 77
Bern 031 327 17 17
Luzern 041 368 12 12
Solothurn 032 624 62 46
St. Gallen 071 228 62 00
Zürich 044 444 35 55
www.bdo.ch
05/2018Sie können auch lesen
