Ca. 50 HR-Professionals kamen am Donnerstagabend in die Europaallee, um sich über das Thema Datenschutz , insbesondere DSGVO, zu informieren. Die Zeit zur Umsetzung drängt und angesichts der Komplexität ist man vielleicht versucht, das Handtuch gleich zu werfen und den Kopf in den Sand zu stecken – in der Hoffnung, es werde schon nichts geschehen. Gar nichts zu tun, ist jedoch nicht empfehlenswert, denn die potenziellen Sanktionen sind beträchtlich (bspw. Bussen bis zu € 20 Mio. oder 4% des gesamten, weltweiten Jahresumsatzes des Unternehmens). Dr. Michael Widmer, Dozent der ZHAW, verstand es gut, Licht in den juristischen Dschungel zu bringen: Was versteht man überhaupt unter «Personendaten» und «Bearbeiten», wer ist betroffen und wie sollten die Unternehmen am besten vorgehen, um am 25. Mai 2018 parat zu sein, wenn die Umsetzungsfrist der neuen EU-Datenschutzgrundverordnung (DSGVO) abläuft?
Was bedeuten «Personendaten» und «Bearbeiten»?
Sobald Informationen einer Person betroffen sind, welche identifiziert ist oder identifiziert werden kann, spricht man von Personendaten. Darunter können also je nach den Umständen nicht nur Emailadressen, sondern auch Aufnehmen von Telefongesprächen (z.B. aus dem CallCenter) fallen, v.a. wenn die entsprechende Person klar zugeordnet werden kann. Eine Bearbeitung von Personendaten findet überdies nicht nur dann statt, wenn diese bspw. angepasst oder geändert werden, sondern bereits das Speichern von Personendaten oder auch deren Löschung stellen eine Bearbeitung dar. In diesem Zusammenhang sollten sich Unternehmen einen Überblick verschaffen, wo bei ihnen überhaupt welche Personendaten und zu welchem Zweck bearbeitet werden. Was geschieht mit diesen Daten? Das weiss man eben oft nicht so genau, und da liegt auch «der Hund begraben». Wo werden sie gespeichert bzw. gelagert, wer hat Zugriff und zu welchem Zweck, gibt es ein Logfile/Back-up, wann müssen die Daten gelöscht werden etc.? Ein guter Überblick über den IST-Stand ist wichtig als Ausgangspunkt.
Welche Unternehmen sind betroffen?
Von der DSGVO sind auch Schweizer Unternehmen betroffen. Aus dem Vortrag ging hervor, dass im Fall von Outsourcing in vielen Fällen die DSGVO zur Anwendung gelangen kann, bspw. bei Outsourcing der Bearbeitung von Personendaten in den EU-Raum (klassischerweise Payroll, Call-Center, Administration), aber auch bei eingehenden Bewerbungen von EU-BürgerInnen. Künftig sind jedoch alle Schweizer Unternehmen betroffen, da die Revision des Schweizer Datenschutzgesetzes ebenfalls ansteht und mit grosser Wahrscheinlichkeit sehr ähnlich wie die DSGVO der EU ausgestaltet sein wird.
Vorgehen bei der Umsetzung
Bevor man sich nun in die Umsetzung stürzt, empfiehlt es sich zum einen, eine interne Anlaufstelle für das Thema Datenschutz zu bestimmen. Diese Funktion kann natürlich nur wirksam sein, wenn sie die Fäden in der Hand sowie entsprechende Entscheidungsbefugnisse und mit den involvierten Abteilungen (bspw. HR, IT, Marketing, Sales) koordinieren kann. Zum anderen muss sich jedes Unternehmen gewisse strategische Grundfragen beantworten: Will man «best in class» sein – was auch einen Wettbewerbsvorteil sein kann – oder beschränkt man sich auf absolute Minimalstandards? Will man sie grössten Lücken zuerst angehen oder lieber offensichtliche, einfache Anpassungen vornehmen (also einen internen „Quick-Win“)?
Fazit
Die zahlreichen Fragen in der anschliessenden Q&A-Runde verdeutlichten vor allem Folgendes: die grossen Fragen sind bei vielen Unternehmen noch ungeklärt, weshalb viel Arbeit noch zu erledigen ist. Zudem zeigen sich auch in der aktuellen Praxis, beispielsweise im Bereich Active Sourcing, Diskrepanzen zwischen Recht und Praxis, die mit der anstehenden Verschärfung der neuen Datenschutzbestimmungen noch schwieriger zu überbrücken sein werden.