NEUE ANFORDERUNGEN IM DATENSCHUTZ Interne Abläufe müssen angepasst werden

Transkript

1 NPO-LETTER 1/2018 NEUE ANFORDERUNGEN IM DATENSCHUTZ Interne Abläufe müssen angepasst werden Prüfung Treuhand Steuern Beratung

2 2 NPO-LETTER 1/2018 Die Schweiz und die EU revidieren ihre Datenschutz gesetze mit weitreichenden Folgen für alle Organisationen, insbesondere vermehrte Dokumentationspflichten, Anpassung von Prozessen an neue Meldepflichten und Massnahmen zur Löschung von Personendaten. Mit neuen Bussdrohungen soll dem Datenschutz in Zukunft mehr Nachdruck verliehen werden. Ist Ihre Organisation auf die neuen Anforderungen im Bereich Datenschutz vorbereitet? 1. Hat Ihre Organisation die Einwilligungserklärungen für die Bearbeitung von Personendaten an die neuen Anforderungen angepasst und werden die Einwilligungen rechtsgenüglich dokumentiert? 2. Sind die Verantwortlichkeiten im Bereich Datenschutz in Ihrer Organisation klar geregelt, damit Sie den Rechten Ihrer Mitglieder/ Gönner/Spender in Zukunft fristgerecht nachkommen können und bei Datenschutz-Vorfällen die nötigen Meldungen innert 72 Stunden an die Aufsichtsbehörde erfolgen? 3. Verfügt Ihre Organisation über ein aktuelles und vollständiges Verzeichnis aller Verarbeitungstätigkeiten (Verfahren/Prozesse/ Systeme), bei denen Personendaten bearbeitet oder gespeichert werden? 4. Enthält das Verzeichnis aller Verarbeitungstätigkeiten alle Informationen, welche gemäss den neuen Anforderungen zwingend enthalten sein müssen? 5. Sind die Garantien bei Übermittlungen in ein Drittland geeignet um die Daten zu schützen und sind die Garantien dokumentiert? BDO unterstützt Ihre Organisation bei der Umsetzung der neuen Anforderungen im Datenschutz. 6. Bestehen effiziente Prozesse, welche die korrekte Meldung von Datenschutz-Vorfällen an zuständige öffentliche Stellen innerhalb der gesetzlichen Frist (i.d.r. 72 Stunden) sicherstellen? 7. Können Löschungsbegehren von betroffenen Personen innert der verlangten Frist nachgekommen und die Löschung aller nötigen Personendaten sichergestellt werden? 8. Ist die fristgerechte und vollständige Beantwortung von Auskunftsbegehren von betroffenen Personen sichergestellt? 9. Sind die Fristen für die Löschung von Datenkategorien festgelegt und dokumentiert? 10. Besteht ein Prozess, der sicherstellt, dass bei neuen Verfahren oder Systemen die allfällige Pflicht zur Durchführung einer Datenschutz- Folgenabschätzung beurteilt und der Entscheid begründet und dokumentiert wird? 11. Wurde jede Verarbeitungstätigkeit mittels einer Risikoabschätzung bewertet und das Resultat dokumentiert? 12. Ist der Entscheid, welche organisatorischen und technischen Massnahmen aufgrund der Risikobewertung getroffen wurden, angemessen und dokumentiert? 13. Wurde die korrekte Implementierung der organisatorischen und technischen Massnahmen überprüft und das Resultat dokumentiert?

3 3 NPO-LETTER 1/2018 Umgang mit Personendaten Non-Profit-Organisationen bearbeiten Personendaten, sei es von Spendern, Gönnern, Mitarbeitenden oder Kontaktpersonen von Partnerorganisationen. Bereits das Sammeln, Bearbeiten oder Speichern von allgemeinen Personendaten wie Name und Adresse ist durch das Datenschutzgesetz geschützt. Es reicht, dass eine natürliche Person theoretisch identifizierbar ist. Daneben gibt es besonders schützenswerte Daten wie z.b. Informationen zu politischen Meinungen, Gesundheit, Sozialhilfe oder sexuellen Orientierung. Damit solche Daten rechtmässig genutzt und bearbeitet werden dürfen, gelten für den Umgang damit zusätzliche Anforderungen insbesondere bei der Information der betroffenen Person und dem Einholen der Einwilligung. Zum Beispiel werden bei folgenden Tätigkeiten Personendaten bearbeitet: Führen von Mitarbeitenden-, Mitglieder-, Gönner- oder Spenderlisten Kontaktaufnahme und Korrespondenz per Post, Telefon oder Speichern von Angaben zu Spenden Erstellen eines Profils durch analysieren von Interesse oder Verhalten von Personen Abfrage von Kontaktpersonen oder Entscheidungsträger Weitergabe von Informationen über Personen an andere Organisationen, Behörden oder Dritte Mit der Zahlung einer Spende, der Teilnahme an einem Anlass oder der Anmeldung zu einem Newsletter gibt die Person keine generelle Einwilligung, ihre Daten nutzen zu können. Die Erlaubnis gilt nur zeitlich beschränkt und für den bestimmten Zweck. Die Nutzung darüber hinaus, beispielsweise für Werbung, ist nur erlaubt, falls zusätzliche Kriterien erfüllt sind. Die EU-Datenschutz Grundverordnung Ab 25. Mai 2018 ist in der EU die neue Datenschutz-Grundverordnung («DSGVO», oder englisch «General Data Protection Regulation», kurz «GDPR») verbindlich. Sie ist das erste grosse Gesetzgebungswerk der EU, das für Niedergelassene und Organisationen in allen 27 EU-Staaten direkt Anwendung findet. Die DSGVO ist unter Umständen auch auf in der Schweiz domizilierte Organisationen anwendbar, zum Beispiel, wenn diese (a) Dienstleistungen an in der EU Niedergelassene anbieten und dabei Personendaten (in der Schweiz) bearbeiten, (b) für andere Organisationen aus der EU Personendaten in der Schweiz bearbeiten, oder (c) das Verhalten von Personen in der EU beobachten (z.b. Surfverhalten der Homepage mittels Cookies über - wachen).

4 4 NPO-LETTER 1/2018 Die wichtigsten Kernelemente der DSGVO sind: Höhere Bussgelder: Verstösse sind neu mit hohen Bussen bedroht: entweder (a) bis zu vier Prozent des weltweiten Jahresumsatzes der ganzen Organisation oder (b) bis zu 20 Millionen Euro, je nach dem welcher Betrag höher ist. Erweiterte Dokumentationsplichten: die Organisationen müssen die ordnungsgemässe Bearbeitung von Personendaten belegen können. Meldeplicht: Datenschutzverletzungen müssen möglichst innerhalb von 72 Stunden gemeldet werden. Betroffenenrechte: betroffene Individuen haben erweiterte Rechte bezüglich Auskunft, Löschung oder Herausgabe ihrer Daten. Datenspeicherung: Die Speicherdauer von Personendaten muss durch die Organisation festgelegt werden. Nach Ablauf der Frist müssen Daten gelöscht werden. Aufsichtsbehörden: Sie erhalten erweiterte Kompetenzen. Totalrevision des Schweizer Datenschutzgesetzes Auch der Schweizer Bundesrat plant, das Datenschutzgesetz (DSG) den neuen technologischen und gesellschaftlichen Entwicklungen anzupassen. Die Transparenz von Datenbearbeitungen soll verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt werden. Im September 2017 hat der Bundesrat einen Entwurf für die Totalrevision des Schweizer Datenschutzgesetzes veröffentlicht. Der Bundesrat orientiert sich dabei stark an der Datenschutz-Grundverordnung (DSGVO) der EU, welche in den Grundzügen übernommen wird. Der Schweizer Entwurf ist aber genereller gehalten. Auch Schweizer Organisationen ohne Verbindungen zur EU werden in naher Zukunft mit erhöhten Dokumentations-, Auskunfts- und Meldepflichten konfrontiert sein. Unterschiedliches Sanktionsmodell für die Schweiz Ein wesentlicher Unterschied zur EU ist das im Schweizer Entwurf geplante Sanktionsmodell. Die hohen administrativen Bussen gegen Organisationen sollen nicht übernommen werden. Im Unterschied zur EU geht die Sanktion aber nicht gegen die Organisation, sondern gegen die verantwortlichen Personen der Organisation persönlich. In der Regel werden somit die Mitglieder der höchsten Führungsebene (Geschäftsleitung / Vorstand) persönlich haften. In Strafverfahren kann gegen sie eine Busse für Datenschutzverletzungen bis zu CHF ausgesprochen werden. Lediglich bei geringfügigen Bussen (unter CHF ) kann auf die persönliche Verfolgung verzichtet und stattdessen die Organisation gebüsst werden. Ein Inkrafttreten des revidierten Schweizer Datenschutzgesetzes im Jahre 2019 erscheint realistisch. Organisationen sollten sich frühzeitig mit den neuen Anforderungen auseinandersetzen und interne Abläufe und Weisungen auf die neue Gesetzgebung abstimmen. Handlungsbedarf Unabhängig davon, ob die DSGVO oder nur die Schweizer Regelung anwendbar sein wird, besteht bei Non-Profit-Organisationen Handlungsbedarf. Insbesondere sollte ein Inventar der Verfahren, bei welchen Personendaten bearbeitet werden, erstellt werden (sog. «Verfahrensverzeichnis»). Bezüglich jedem Verfahren ist eine kurze Risikobewertung zu machen und es sind dem Risiko angemessene technische und organisatorische Massnahmen zum Schutz der Personendaten zu treffen. Dies ist zu dokumentieren. Zudem sollten die Verantwortlichkeiten für den Datenschutz innerhalb der Organisation geregelt werden und durch die Regelung von Prozessen ist sicherzustellen, dass Auskunfts- und Meldepflichten entsprechend der neuen Gesetzgebung zeitgerecht erfüllt werden können. Sofern die Organisation Berührungspunkte mit der DSGVO hat, gelten diese strengeren Anforderungen bereits ab dem 25. Mai dieses Jahres.

5 5 NPO-LETTER 1/2018 So kann Sie BDO bei der Umsetzung unterstützen Gerne unterstützt Sie BDO dabei, sicherzustellen, dass: Mit unserem BDO-Datenschutz-Toolkit, welcher erprobte Formulare und Anleitungen enthält, ermöglichen wir Ihnen die weitgehend selbständige Erstellung bei der Inventarisierung der Verfahren mit Personendaten. Dieses Inventar ist unabdingbare Voraussetzung für Ihre Gesetzeskonformität und Ausgangspunkt zur Festlegung nötiger Massnahmen. Wir beraten Sie bei der Risikoabschätzung Ihrer Verfahren und P rozesse, Fragen der Angemessenheit von angeordneten technischen und organisatorischen Massnahmen und Festlegung von Verantwortlichkeiten innerhalb Ihrer Organisation. Wir überprüfen bei Bedarf für Sie die korrekte Implementierung angeordneter technischer und organisatorischer Massnahmen. Wir beraten Sie in Fragestellungen des organisationsweiten oder internationalen Austauschs von Personendaten und erstellen für Sie geeignete Standardvertragsklauseln oder entwickeln mit Ihnen entsprechende Richtlinien. Bei Bedarf übernehmen wir die Kommunikation mit Aufsichtsbehörden und unterstützen Sie bei der Vornahme der pflichtgemässen Meldungen. Wenn Sie es wünschen, übernehmen wir für Sie die gesetzlich vorgesehene Funktion des externen Datenschutzberaters. Unsere IT-Spezialisten überprüfen Massnahmen der IT-Sicherheit und rapportieren die Ergebnisse in einem Bericht. Wir schulen und trainieren Mitarbeitende und Verantwortliche in Ihrer Organisation. Unsere Berater haben weitreichende Praxiserfahrung und Kompetenz in der Beratung von Themen rund um den Datenschutz. Sie sind umfassend über die rechtlichen Problem stellungen im In- und Ausland informiert. Wir arbeiten eng mit unseren Fachspezialisten (Rechtsanwälte, IT-Spezialisten, Wirtschaftsprüfer, Treuhänder und Steuerberater) zusammen. Dadurch können wir eine umfassende Beratung anbieten. Als Teil des weltweit tätigen BDO Netzwerks haben wir unmittel baren Zugriff zu Spezialisten-Know-how in über 160 Ländern.

6 BDO AG Aarau Basel Bern Luzern Solothurn St. Gallen Zürich /2018