Mit dem neuen Datenschutzgesetz sind Unternehmen noch stärker verpflichtet, ihre Kunden-, Mitarbeiter-, Finanz- und andere sensible Daten bestmöglich zu schützen. Bis zum Inkrafttreten bleiben noch ein paar Monate Zeit. Wir zeigen auf, was sich ändert und was Unternehmen jetzt tun müssen.
Brauchen Sie eine Datenschutzerklärung
für Ihre Website oder für die Kundenverträge? Sobald Sie Personendaten erfassen und bearbeiten, haben Sie eine Informationspflicht. Im Hinblick auf da
neue Gesetz gehört das Ausarbeiten einer Datenschutzerklärung zu den
Hauptaufgaben. Online finden Sie neben Informationen auch Vorlagen.
Wenn Sie Ihre Standards für die Datenbearbeitung
festlegen, hilft Ihnen das intern, aber auch extern (behördliche Anfragen, Rechtsverfahren). Sie klären relevante Fragen wie «Wer hat Zugriff auf welche Daten?»,
«Wo müssen die Daten gespeichert werden?», «Welche Daten dürfen nur
verschlüsselt verschickt werden?». Planen Sie dafür genügend Zeit ein und lassen
Sie sich beraten.
Für Unternehmen mit
mehr als 250 Mitarbeitenden
ist ein solches Verzeichnis der Bearbeitungstätigkeiten obligatorisch. Aber es empfiehlt
sich auch für kleinere Firmen. Damit lässt sich nachverfolgen,
welche Datenkategorien wann, von wem und wie bearbeitet wurden
Betroffene Personen (Kunden,
Websitenutzer) können ein Auskunfts- oder Löschbegehren stellen. Weil die
Fristen kurz sind, empfiehlt es sich, eine Vorlage bereitzuhalten.
Eine Datenschutzverletzung liegt vor, wenn
Personendaten unbeabsichtigt oderwiderrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder
zugänglichgemacht werden. Es gibt in diesem Zusammenhang Meldepflichten
zuhanden des Eidgenössischen Datenschutzbeauftragten mit relativ kurzen
Fristen, auf die man organisatorisch und technisch vorbereitet sein sollte.
Für viele Funktionen (E-Mail- und Newsletter-Versand, Software in
der Cloud, Videokonferenzen u. a.) werden Dienste von Dritten eingesetzt. Hier
müssen Sie überprüfen, ob die Sicherheit der Daten gewährleistet ist. Ergänzen
Sie in den Verträgen mit Ihren Subunternehmen Klauseln bezüglich Geheimhaltung,
Datenbearbeitung oder Meldeverfahren.
Personendaten, die nicht mehr benötigt werden und
für deren Bearbeitung kein Rechtfertigungsgrund nachgewiesen werden kann,
müssen vom Unternehmen gelöscht werden. Dies müssen Sie in Ihren Prozessen
berücksichtigen.
Die meisten Anbieter von Cloud- und Software-Services haben Server
ausserhalb der Schweiz. Auf der Website des Eidg. Datenschutzbeauftragten
finden Sie eine Liste der «sicheren Drittstaaten», die unproblematisch sind.
Bei allen anderen Staaten und auch bei den USA benötigt es zusätzliche und
spezifische Vertragsklauseln.
Lassen Sie Ihre IT-Infrastruktur überprüfen. Wo
sind im Hinblick auf das neue Datenschutzgesetz zusätzliche Vorkehrungen nötig?
Vergessen Sie aber nicht: Die Technik allein wird es nicht richten, die
Schwachstelle beim Thema Cyberkriminalität ist oft der Mensch. Hier müssen Sie
durch Informationen und mit organisatorischen Massnahmen (z.B.
Passwortverwaltung) ansetzen.
Es gibt eine Reihe von Datenarten, die besonders
heikel sind. Hierzu gehören Angaben zu Religion, Gesundheit, strafrechtlicher
Verfolgung, Gewerkschaftszugehörigkeit, sexueller Orientierung, biometrische
Daten u. a. Sie müssen speziell geschützt werden.
Mit dem Recht auf Datenherausgabe hat eine
betroffene Person die Möglichkeit ihre Personendaten in einem gängigen elektronischen
Format herauszuverlangen oder einem Dritten übertragen zu lassen.
Ein Unternehmen muss Risiken durch seine Bearbeitung von Personendaten in jedem Fall einschätzen. Oft genügt eine intuitive Risikoeinschätzung. Für bestimmte Bearbeitungen (z.B. mit neuen Technologien oder mittels Profiling) sind aber vertiefte Überlegungen notwendig.
Quelle: Update von TreuhandSuisse
Diese Webseite verwendet temporäre Cookies. Mit dem Verbleiben auf dieser Webseite erklären Sie sich mit der Verwendung dieser Cookies einverstanden. Diese Cookies werden beim Verlassen dieser Webseite in Ihrem Browser wieder gelöscht. Mehr Informationen über Cookies und Datenschutz finden Sie hier: Datenschutzerklärung
