Autorin – Prof. Ursula Sury

 

Im Rahmen von Digitalisierungsprojekte werden Businessprozesse neu überlegt und dokumentiert. Gegenstand der Businessmodelle und –prozesse ist heute praktisch immer die Bearbeitung von Informationen.  Diese Informationen haben häufig einen Bezug zu natürlichen Personen und somit muss man sich zwingend die Rechtskonformität mit dem Datenschutz und konkret bei EU-Bezug mit der Datenschutzgrundverordnung überlegen.

Die EU-Datenschutzgrundverordnung (und auch das aktuelle Schweizer Recht!) verlangt, dass Personendaten nur mit ausdrücklicher Einwilligung der betroffenen Person oder mit klarer gesetzlicher Grundlage bearbeitet werden. Zudem muss die Bearbeitung verhältnismässig und sicher sein. Die sichere und verhältnismässige Bearbeitung muss transparent gemacht und somit dokumentiert werden.

Bei und in Digitalisierungsprojekten muss den Datenschutzanforderungen nachgelebt werden. Die Betroffenheit von natürlichen Personen muss vorgängig abgeklärt werden. Das nennt sich Privacy Impact Assessment. Zudem muss der Datenschutz sowohl organisatorisch als auch IT-mässig für den Regelfall umgesetzt werden. Das heisst heute Privacy by design und Privacy by Default. Auch hier ist wieder Dokumentation gefragt.

Digitalisierung als Vernetzung und Bearbeitung von Informationen betrifft immer auch personenbezogene Daten und diese müssen die Datenschutzgesetzgebung der EU und/oder der Schweiz aktuell und in Zukunft berücksichtigen. Neu sind vor allem die Dokumentationspflicht  und die Sanktionen.