Projektbeschrieb:

Datenschutz Compliance

Ausgangssituation

Die Klientin ist ein Wiederverkaufer für IT-Produkte und IT-Services. Im Rahmen eines europaweiten Projektes wurden Kundendaten zentralisiert und an die Hersteller der IT-Produkte weitergegeben, was datenschutzrechtliche Fragen aufwarf.

Auftrag

Der Auftrag wurde durch den CEO der Schweizer Niederlassung erteilt und beinhaltete sicherzustellen, dass die Schweizer Niederlassung die Bestimmungen des Datenschutzes einhalten würde.

Verlauf

In einem ersten Schritt musste ich das Projekt im Hinblick auf datenschutzrechtliche Probleme analysieren. Dabei habe ich festgestellt, dass die Vertragsbestimmungen der Klientin keine Einwilligung ihrer Kunden zur Weitergabe der Personendaten beinhalteten. Da das Unternehmen die Daten ihrer Kunden europaweit in einer Datenbank speicherte, stellte sich die Frage, wer Inhaber der Datensammlung und wie der Drittbetreiber der Datenbank einzubinden war. Im Rahmen des Auftrages musste ich sowohl die Vertragsbestimmungen mit den Kunden als auch diejenigen mit den IT-Herstellern anpassen, damit sie nicht gegen das Datenschutzgesetz verstiessen. Um den Betreiber der Datenbank einzubinden, konnte ich auf ein bereits unter deutschem Recht bestehendes Data Processing Agreement zugreifen und dieses dem Schweizer Recht anpassen. Schliesslich wurde das angepasste Data Processing Agreement dem Schweizer Datenschutzbeauftragen zur Kenntnis gebracht und die Datensammlung im Namen der Klientin registriert.

Ergebnis

Durch das Mandat konnte die Klientin sicherstellen, dass die Personendaten legal und ohne Verletzung des Datenschutzgesetzes gesammelt und in der Datenbank gespeichert wurden. Zudem konnte das Verständnis der involvierten Mitarbeiter für datenschutzrechtliche Problemstellungen geschärft werden.