Samson Duborg-Rankin | Unsplash

EU-DSGVO: Einheitliche Regelung von Compliance und IKS bei Schweizer Unternehmen

Via WEKA • Prof. Dr. Thomas Rautenstrauch • 15. August 2018
47.517K Views | 0 Notes

Seit dem 25. Mai 2018 ist die EU-DSGVO in Kraft und stellt damit eine neue, einheitliche Regelung zum Schutz von personenbezogenen Daten von EU-Bürgern dar. Der Anwendungsbereich dieser neuen Datenschutzbestimmungen betrifft auch Schweizer Unternehmen, sofern diese personenbezogene Daten von Personen, die sich auf dem EU-Gebiet befinden, mit dem Ziel verarbeiten, diesen Personen Waren oder Dienstleistungen anzubieten (unabhängig, ob gegen Bezahlung oder unentgeltlich), oder deren Verhalten in den Mitgliedstaaten der EU zu verfolgen (Art. 3 Abs. 2 Buchst. a und b DSGVO).

Die Aktualisierung des IKS

Die rechtskonforme Umsetzung und Einhaltung der neuen Bestimmungen des DSGVO ist eine zusätzliche Herausforderung für das Compliance Management in den betroffenen Schweizer Unternehmen und kann im Falle der Verletzung der DSGVO zu erheblichen Sanktionen und Strafen führen. Nach dem internationalen Verständnis von interner Kontrolle auf der Grundlage des anerkannten Rahmenwerks COSO IC gehört zum Ziel eines IKS die Compliance, weshalb mit dem Inkrafttreten der DSGVO eine Aktualisierung/Erweiterung des IKS unbedingt erforderlich ist.

Systematisches Vorgehen zur Anpassung des IKS an die Anforderungen der EU-DSGVO

Schritt 1

Für Schweizer Unternehmen stellt sich in einem ersten Schritt die Anforderung, den Umfang (Scope) der IKS-relevanten Anpassungen zur Umsetzung der DSGVO zu bestimmen. Dazu ist zunächst zu fragen, ob und in welchen Bereichen/Einheiten des Unternehmens bzw. der Unternehmensgruppe personenbezogene Daten von in der EU ansässigen Personen verarbeitet werden.

Unter dem Begriff der Verarbeitung von Daten wird im Rahmen der EU-DSGVO folgendes verstanden: das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten (Art. 4 Ziff. 2 DSGVO). Dies kann persönliche Daten wie Name, Geburtsdatum, Kontaktdaten (Adressen, Telefonnummer, E-Mail), Kontodaten oder auch Sozialversicherungsnummern betreffen, wogegen heikle Informationen wie z.B. die ethnische Herkunft, die politische Gesinnung, religiöse Überzeugungen oder auch Gesundheitsdaten nur mit expliziter Einwilligung der betroffenen Person verarbeitet werden dürfen. Insofern ist es zu Beginn wichtig, zunächst eine Übersicht mit folgenden Angaben darüber zu erstellen, um eine Risikoidentifikation und -beurteilung vornehmen zu können:

  • in welchen Bereichen/Einheiten

  • welche Art von personenbezogenen Daten

  • in welcher Form verarbeitet werden,

  • und ob hierunter Daten von in der EU ansässigen Bürgern fallen.

In der Praxis werden vor allem der Handel und Vertrieb aber auch der Personalbereich einer Unternehmung hierfür in Frage kommen, falls an in der EU ansässige Bürger Waren- und Dienstleistungen verkauft werden oder in der EU ansässige Bürger als Arbeitskräfte des Unternehmens tätig sind.

Das weitere Vorgehen und den gesamten Artikel können Sie nachlesen auf www.weka.ch