EU-Datenschutz-Grundverordnung (GDPR)

Auswirkung der GDPR auf Schweizer Unternehmen

Kurz und knapp

Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft und ermöglicht natürlichen Personen, die sich in der Europäischen Union (EU) befinden, eine stärkere Kontrolle über ihre personenbezogenen Daten.

Aufgrund der extraterritorialen Anwendbarkeit kann die GDPR auch ausserhalb der EU gelten, wenn die entsprechenden Voraussetzungen gegeben sind.

Kurz und knapp

Anknüpfungspunkte der Schweiz und Auswirkungen

Relevanten Kriterien, welche die Anwendbarkeit der GDPR in der Schweiz auslösen:

  • Zielgruppe in der EU: Bearbeitung personenbezogener Daten von natürlichen Personen mit Aufenthalt in der EU durch eine Bank/einen Vermögensverwalter mit Sitz in der Schweiz, 
  • Niederlassung in der EU: Bearbeitung personenbezogener Daten im Zusammenhang mit der Tätigkeit einer Zweigstelle eines schweizerischen Unternehmens in der EU.

EU-Datenschutz-Grundverordnung (GDPR)

EU GDPR Anforderungen und Dienstleistugnen

Grundsätze der Datenverarbeitung

Anforderungen:

  • Rechtmässigkeit, Fairness und Transparenz
  • Zweckbindung 
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit (einschl. Sicherheit)
  • Rechenschaftspflicht
  • Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen *

Unsere Dienstleistungen:

  • Beratung hinsichtlich der personenbezogenen Daten, die verarbeitet werden dürfen (rechtliche Grundlage), Ermittlung der/des Datenschutzbeauftragten und Prüfung der Übereinstimmung mit allen (bisweilen auch widersprüchlichen) gesetzlichen Vorschriften
  • Feststellung der Erfordernisse für die Einführung bzw. Anpassung von Prozessen und Verfahren, darunter Entwicklung der zur Eingliederung der Datenverarbeitungsgrundsätze beim Unternehmen benötigten Tools
  • Verarbeitung personenbezogener Daten über verschiedene Branchen und Sektoren hinweg
  • Verarbeitung personenbezogener Mitarbeiterdaten (HR)
  • Automatisierte Entscheidungsfindung (ADM) und Profilbildung
  • Prüfung der gesetzlichen Vorschriften im Bereich Datensicherheit (z. B. Anonymisierung, Pseudonymisierung, Verschlüsselung usw.) 
  • Erfüllung der Rechenschaftspflichten (z. B. Dokumentation gemäss DSGVO)

Rechte der Datensubjekte

Anforderungen:

  • Zugriffsrechte für betroffene Personen
  • Recht auf Widerruf der Einwilligung *
  • Recht auf Berichtigung * 
  • Recht auf Datenübertragbarkeit *
  • Widerspruchsrecht gegen die Verarbeitung *
  • Recht, nicht einem automatisierten Entscheidungsprozess unterworfen zu sein (einschl. Profiling) *
  • Recht auf Löschung *
  • Recht auf Einschränkung der Verarbeitung *

Unsere Dienstleistungen:

  • Prüfung und Implementierung der Rechte von Datensubjekten (z. B. Zugriffsrechte und Anspruch auf Datenlöschung)
  • Einführung wirksamer Prozesse zur adäquaten Dimensionierung des Auftragsumfangs; der Umfang muss klar und genau definiert sein 
  • Analyse von Datenquellen und deren Verwendung: Ansicht bzw. Taxonomie von Datenbeständen, geschäftliche und IT-Perspektive (systemspezifische Sicht auf personenbezogene Daten)
  • Prüfung und Gestaltung des Ansatzes zum Umgang mit unstrukturierten Daten, z. B. Daten aus Textfeldern mit freiem Format, PDFs und sonstigen schwer identifizierbaren und abrufbaren Dokumenten

Datenübertragungen

Anforderungen:

  • Übermittlung innerhalb der Unternehmensgruppe
  • Übermittlung an andere Unternehmen (Dritte)
  • Übermittlung im Zusammenhang mit Gerichtsverfahren und Ermittlungen

Unsere Dienstleistungen:

  • Feststellung solcher personenbezogenen Daten, die an Dritte oder verarbeitende Stellen im eigenen Unternehmen zu übermitteln sind
  • Prüfung inventarbezogener Massnahmen, um festzustellen, welche Datenattribute zu welchem Zweck im Rahmen von Change the Bank (CTB) und Run the Bank (RTB)  an Dritte übermittelt werden
  • Rechtsberatung bei der Festlegung bzw. Neufestlegung vertraglicher Vereinbarungen zwischen den Stellen, die an der Entwicklung eines Rahmens für die Datenübermittlung innerhalb der Gruppe beteiligt sind 
  • Überprüfung bestehender Verträge mit Dritten und Identifizierung der an Dritte übermittelten personenbezogenen Daten einschliesslich Angabe von Übermittlungs- und Verarbeitungszweck
  • Rechtsberatung für Unternehmen, die ihr Repapering prüfen, bei der Festlegung bzw. Neufestlegung der vertraglichen Vereinbarungen zwischen den beteiligten Stellen
  • Erstellung von Dokumenten und Richtlinien für konzerninterne und internationale Vereinbarungen zur Datenübermittlung

Governance, Richtlinien und Kontrollrahmen

Anforderungen:

  • Datenschutz-Folgeabschätzung *
  • Verzeichnis der Verarbeitung personenbezogener Daten *
  • Federführende Aufsichtsbehörde * 
  • Datenschutzbeauftragter *
  • Technische und organisatorische Massnahmen für die persönliche Datensicherheit

Unsere Dienstleistungen:

  • Festlegung der notwendigen Massnahmen im Zusammenhang mit Governance, Richtlinien und Kontrollrahmen
  • Erstellung von Dokumenten und Richtlinien zu 
    • internem Datenschutz und Governance-Architekturen 
    • unternehmensinternem Datenschutz, etwa bei der Verwendung von E-Mails und Internet am Arbeitsplatz sowie bei der Speicherung und Archivierung von Daten
    • Datenschutzmassnahmen für Websites und E-Commerce
    • Zustimmungserklärungen für die Datenverarbeitung
    • Datenverarbeitungsvereinbarungen, vor allem im Zusammenhang mit ausgelagerten Projekten
    • Joint-Controller-Verträgen, insbesondere in Verbindung mit geteilten Plattformen und cloudbasierten Lösungen (z. B. Cloud-Computing, Internet der Dinge)

Datenschutzverletzungen

Anforderungen:

  • Meldung an Aufsichtsbehörde *
  • Meldung an die betroffene Person *

Unsere Dienstleistungen:

  • Sanierung bestehender Verletzungen des Schutzes personenbezogener Daten und des Sicherheitsrahmens
  • Beratung der Rechts- und IT-Teams bei der Implementierung eines Triage- und Meldeprozesses für Datenschutzverletzungen
  • Erstellung eines Überblicks über bestehende Sicherheitsstrukturen und Gewährleistung angemessener technischer und organisatorischer Massnahmen zur Verschlüsselung von Daten im Fall eines unbefugten Zugriffs
  • Beratung bei der Gestaltung und Umsetzung von Meldepflichten für Datenschutzverletzungen oder Datenverluste (z. B. Meldung von DSGVO-Verletzungen) an die Datenschutzbehörden und/oder Datensubjekte

Kontakte

Susanne Hofmann-Hafner

Legal | Director | Head, Compliance and Privacy & ICT Law, Zurich, PwC Switzerland

+41 58 792 17 12

Email

Patrick Akiki

Advisory Partner (Finance Risk and Regulatory Transformation), Zürich, PwC Switzerland

+41 58 792 25 19

Email

Wolfgang Schurr

Partner and Leader Cybersecurity and Privacy, Zurich, PwC Switzerland

+41 58 792 29 14

Email