von hauser@m-win.ch, Tel. +41 (52) 269 21 11
Wir geben Ihnen hier einen Überblick über die Pflichten gemäss der DSGVO.
Die DSGVO sieht zahlreiche Pflichten vor, die einzuhalten sind. Dabei handelt es sich um Pflichten, die intern oder nach aussen umgesetzt werden müssen. Einen grossen Teil dieser Pflichten machen die Dokumentationspflichten sowie die Informationspflichten aus. Daneben bestehen jedoch eine Vielzahl weiterer Pflichten. Nachfolgend geben wir Ihnen einen Überblick ohne Anspruch auf Vollständigkeit.
Einhaltung allg. Grundsätze
Die allgemeinen Grundsätze des Art. 5 DSGVO sind einzuhalten.
Rechtfertigungsgrund für Datenbearbeitung
Die Datenverarbeitung ist nur rechtmässig, wenn eine Grundlage dafür besteht (vgl. Art. 6 DSGVO). In Betracht kommen z.B. eine Einwilligung des Betroffenen oder berechtigte Interessen.
Datenschutzerklärung
Es muss eine Datenschutzerklärung erstellt werden, die alle Informations- und Mitteilungspflichten umfasst, vgl. Art. 12 ff. DSGVO und welche präzise, transparent, verständlich, leicht zugänglich sowie in klarer und einfacher Sprache abgefasst ist.
Cookies
Je nachdem, welche Art von Cookies (technisch notwendig oder nicht) benutzt wird, ist ein Cookie-Pop-Up und eine Einwilligung für die Cookies notwendig.
Auftragsverarbeitung
Es müssen Auftragsverarbeiterverträge geschlossen werden und die Voraussetzungen der Art. 28 ff. DSGVO eingehalten werden.
Verzeichnis der Verarbeitungstätigkeiten
Es muss ggf. ein Verzeichnis der Verarbeitungstätigkeiten geführt werden nach Massgabe des Art. 30 DSGVO.
Datenschutzbeauftragter
Es muss ggf. ein Datenschutzbeauftragter benannt werden, Art. 37 ff. DSGVO; eventuell auch nach nationalem Recht.
EU-Vertreter
Es muss ggf. ein EU-Vertreter nach Art. 27 DSGVO bestellt werden.
Vorgaben des nationalen Rechts
Vorgaben des nationalen Rechts der Betroffenen sind zu berücksichtigen, weil die DSGVO zahlreiche Öffnungsklauseln enthält, die die Mitgliedstaaten berechtigen, abweichende Regelungen zu treffen.
Meldepflichten bei Datenschutzverstössen
Im Ernstfall muss eine Meldung binnen 72 h erfolgen, vgl. Art. 33 ff. DSGVO.
Datenschutzfolgeabschätzung
Für alle Verarbeitung muss geprüft werden, ob eine Datenschutzfolgenabschätzung notwendig ist und falls ja, diese durchgeführt werden.
Beachtung von Verhaltensregeln
Art. 40 DSGVO gewährt die Möglichkeit der Aufstellung von Verhaltensregeln durch Verbände und andere Vereinigungen im jeweiligen Tätigkeitsbereich. Dies betrifft Kleinstunternehmen und KMU. Sofern solche Verhaltensregeln vorhanden sind, müssen diese umgesetzt werden.
Technische und organisatorische Massnahmen (TOM)
Verlangt wird auch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, vgl. Art. 24 DSGVO. D.h. die Daten müssen so gut geschützt werden, wie es nach dem Stand der Technik möglich ist und es müssen auch entsprechende Massnahmen betr. Übertragung, Homepage etc. getroffen werden. Weiter muss organisatorisch sichergestellt werden, dass z.B. nur diejenigen Zugriff auf Daten haben, die ihn wirklich brauchen. Dies muss nachgewiesen werden können.
Privacy by design/default
Auch muss “Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen” (Privacy by design/default) gewährleistet werden, vgl. Art. 25 DSGVO. Dies geht teilweise mit Art. 24 DSGVO einher. Zusätzlich müssen weitere Massnahmen getroffen werden, wie z.B. leere Formularfelder, nicht schon angehakte Felder, etc.
Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Zudem muss ein Nachweis über angemessenes Schutzniveau, insb.: Pseudonymisierung und Verschlüsselung personenbezogener Daten; die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung vorliegen, vgl. Art. 32 DSGVO.
Übermittlung von Daten in Drittländer
Wenn Übermittlungen von Daten in Drittländer, also nicht EU- oder EWR erfolgen sollen, müssen die Voraussetzungen bzgl. Datenübermittlung in Drittländer erfüllt werden.
Gewährleistung von Betroffenenrechten
Die Gewährleistung von Betroffenenrechten und insb. Informationspflichten, vgl. Art. 12, 13, 14, 15-22, 34, 77 DSGVO, müssen sichergestellt werden.
Weisungswesen , Datenschutzkonzept, etc.
Es muss ein Weisungswesen entwickelt werden (Datenschutzschulungen, interne Weisungen und Leitlinien zum Datenschutz). Es sollten auch ein Datenschutzkonzept und – managementsystem aufgebaut werden.
Kontrolle und Weiterentwicklung
Nur durch eine regelmässige Kontrolle des Datenschutzniveaus sowie eine Kontrolle dessen Einhaltung inkl. Dokumentierung, kann die Datenschutzkonformität langfristig sichergestellt werden. Dazu gehört es auch Entwicklungen im nationalen und internationalen Datenschutzrecht zu verfolgen und etwaige Anpassungen der eigenen Vorgänge vorzunehmen.
Sollten Sie Fragen haben oder rechtliche Unterstützung benötigen, können Sie sich gerne an uns wenden.
Interessiert mich (Email an sekretariat@m-win.ch; wir melden uns)