Der 1. September und damit das Datum des Inkrafttretens des revidierten Datenschutzgesetzes in der Schweiz rückt immer näher. Da im Gesetz keine Übergangsfristen vorgesehen sind bleiben den Unternehmen jetzt noch knapp drei Monate Zeit für die Umsetzung der nötigen Massnahmen. Im heutigen Newsletter und im kommenden Webinar vom 26. Juni (dem dritten und letzten Webinar in unserer Datenschutzserie) fassen wir nochmals zusammen und zeigen auf, was jetzt zwingend gemacht werden muss.
In den Grundlagen-Webinaren zum nDSG im Oktober und November letzten Jahres haben wir umfassend die Neuerungen, die das neue Gesetz mit sich bringt, betrachtet und analysiert. Wir fassen daher an dieser Stelle das Gesagte nur noch kurz zusammen. Sollten Sie die Webinare aus 2022 verpasst haben, stellen wir Ihnen die Unterlagen, inklusive umfassender Analyse des nDSG und der DSGVO sowie konkreter Handlungsempfehlungen gerne auf Anfrage hin nachträglich zu.
Im Update-Webinar vom Februar 2023 wurde dann der konkrete Handlungsbedarf für ein durchschnittliches KMU beleuchtet und es wurden konkrete Umsetzungsbeispiele aufgezeigt. Auch diese Unterlagen stellen wir Ihnen bei Bedarf schnell und kostenlos zur Verfügung.
Mit dem näher rückenden Datum der Inkraftsetzung konzentriert sich der vorliegende Newsletter auf die Kernrisiken für KMU und wie diese pragmatisch abgesichert werden können.
Die Vorgehensweise im Idealfall beginnt mit der Auseinandersetzung mit der Datenverarbeitung im Unternehmen. Wir wiederholen an dieser Stelle die detaillierten Hinweise aus dem letzten Newsletter und den Webinaren:
Mit diesem Wissen ist es möglich, ein Data Mapping zu machen, um zu erkennen, wo und in welcher Rolle Daten im Unternehmen erhoben werden.
Dies ist wohl der zentrale Ansatzpunkt für die meisten KMU. Mit einer umfassenden, sorgfältig erarbeiteten Datenschutzerklärung können die Rahmenbedingungen für eine rechtskonforme Datenerhebung und -bearbeitung geschaffen werden. Grundlage hierfür muss aber eine umfassende Übersicht der Datenbearbeitungen im Unternehmen sein, siehe Punkt 1.
Auch in diesem Punkt haben viele KMU Handlungsbedarf. Überall dort, wo Daten an Dritte zur weiteren Bearbeitung übergeben werden, muss die Einführung einer Auftragsdatenverarbeitungsvereinbarung geprüft werden.
Bei Datenbekanntgabe in andere Länder bedarf es weitergehender Schutzmassnahmen wie insbesondere dem Abschluss von Standardvertragsklauseln.
Dieser Punkt betrifft grundsätzlich grössere Unternehmen ab 250 Mitarbeitenden oder Unternehmen, die umfassend sensible Daten bearbeiten. In KMU, bei denen nicht sofort klar ist, ob ein Bearbeitungsverzeichnis erstellt werden muss, empfiehlt sich die Erarbeitung des Bearbeitungsverzeichnisses auf jeden Fall. Diese Arbeit kann Punkt 1, die Übersicht über die Verarbeitung von Personendaten im Unternehmen, massiv erleichtern.
Die Summe der im Betrieb ergriffenen technischen und organisatorischen Massnahmen stellen die praktische Umsetzung von Datenschutz im Unternehmen dar. Die TOM umfassen also diejenigen Massnahmen, die Sie als Unternehmen ergreifen, um Daten sicher zu erfassen, zu bearbeiten, aufzubewahren, weiterzugeben und zu vernichten.
Das aktualisierte Datenschutzgesetz bringt in einzelnen Bereichen neue Anforderungen mit sich. Unternehmen müssen interne Prozesse definieren zur Erfüllung neuer Datenschutzrechtlicher Pflichten, wie:
Bei der unternehmensinternen Ansprechperson für Datenschutzthemen muss es sich um eine Person handeln, die datenschutzrechtlich geschult ist.
Unternehmen, die Datenschutz bereits heute verantwortungsvoll umsetzen stehen im Zusammenhang mit dem revidierten Datenschutzgesetz insbesondere drei wichtige Pendenzen an, die überprüft, aktualisiert oder umgesetzt werden müssen. Es handelt sich hierbei um die Datenschutzerklärung(en), um die Datenbekanntgabe an Dritte (inkl. Auslandsdatenbekanntgabe) und um die technischen und organisatorischen Massnahmen. Dies soll nicht bedeuten, dass die restlichen Punkte nicht beachtet werden müssen, die drei Punkte stehen aber sicher im Zentrum der neuen Anforderungen.
Die Informationspflichten von Datenverantwortlichen werden durch das neue Datenschutzgesetz deutlich erweitert. Betroffene Personen müssen über die Datenbearbeitung informiert werden, auch in Fällen wo die Daten nicht direkt bei der betroffenen Person erhoben werden. Betroffene können unter anderem Kunden, Webseitenbesucher, App-Nutzer, Lieferanten oder auch die eigenen Mitarbeiter sein.
Die Information muss nicht mit einem Pop-up-Fenster aufgedrängt werden, sondern es genügt, wenn die betroffenen Personen die Möglichkeit haben, sich zu informieren. Dafür verlinkt man die Datenschutzerklärung in der Fusszeile der Website, sodass sie mit einem Klick oder Tap zugänglich ist. Die Seite kann auch einen Titel wie «Datenschutzinformation» oder schlicht «Datenschutz» tragen. Auf Englisch ist die Bezeichnung als «Privacy Policy» üblich. Die Datenschutzerklärung sollte in den Sprachen der Website veröffentlicht werden.
Die Datenschutzerklärung auf Ihrer Website muss insbesondere folgende Angaben enthalten (Art. 19 Abs. 2 ff. nDSG):
Es empfiehlt sich, die Datenschutzerklärung möglichst generisch und weit zu fassen, um sämtliche möglichen Datenbearbeitungen heute und in naher Zukunft damit abdecken zu können.
Wer Dritte in die Bearbeitung von Personendaten einbezieht, muss sich vergewissern, dass dieser in der Lage ist, den Datenschutz so zu gewährleisten, wie wenn er selbst Datenverantwortlicher wäre. Diese Verpflichtung wird mit sogenannten Auftragsdatenbearbeitungsverträgen sichergestellt. Datenverantwortliche (sprich Controller) sind in der Pflicht, Dritte die Daten für ihn bearbeiten, vertraglich auf angemessenen Datenschutz zu verpflichten. Das neue schweizerische Gesetz liefert keine ausführlichen Anforderungen an den Inhalt eines solchen Vertrages, weshalb sich eine pragmatische Anlehnung an die europäische Gesetzgebung anbietet. Auf die inhaltlichen Anforderungen sind wir im ersten Webinar zur Thematik detailliert eingegangen. Zusammenfassend muss die Vereinbarung enthalten:
Im Hinblick auf den Datenexport in ein anderes Land bringt das nDSG keine wesentlichen Neuerungen. Datenexport ist also nach wie vor problemlos möglich in Länder, die einen angemessenen Datenschutz sicherstellen können. Allerdings ist diese Liste kurz. Der Datenexport in Länder ohne angemessenen Schutz muss nach wie vor durch vertragliche Garantien abgesichert werden. Dies gilt auch für konzerninternen Datenaustausch. Die vertragliche Absicherung des Datenexports geschieht durch die Verwendung der Standardvertragsklauseln, welche vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten geprüft wurden.
Die TOM die Massnahmen, die Sie als Unternehmen ergreifen, um Daten sicher zu erfassen, zu bearbeiten, aufzubewahren, weiterzugeben und zu vernichten. Es müssen in diesem Zusammenhang alle Massnahmen ergriffen werden, deren Umsetzungsaufwand in einem angemessenen Verhältnis zum Schutzzweck stehen. Selbstredend handelt es sich hier nicht um eine einmalig zu erledigende Aufgabe, sondern um ein lebendiges Konstrukt, das den sich ständig ändernden Prozessen und Rahmenbedingungen angepasst werden muss.
Die technischen und organisatorischen Massnahmen lassen sich in folgende fünf Themenbereiche gliedern:
Innerhalb dieser Themenbereiche können – je nach Umfang und Sensitivität der bearbeiteten Daten – verschiedenste Einzelmassnahmen zur Sicherstellung von Datenschutz und Datensicherheit getroffen werden. Angefangen bei der Zutritts- und Zugriffkontrolle, über Themen wie Backup-Pläne bis hin zu Pseudonymisierung und Datenlöschung sind verschiedenste Massnahmen möglich.
Fazit
Langsam aber sicher wird die Zeit zur Vorbereitung auf das neue Datenschutzgesetz knapp. Unternehmen, die noch keine Übersicht über ihre Datenbearbeitungen haben, können den Handlungsbedarf noch gar nicht richtig einschätzen. Höchste Zeit also, sich mit der Thematik auseinander zu setzen und wo nötig Hilfestellung anzufordern. Das Gesetz sieht keine Übergangsfristen vor und die Auftragsbücher der Berater füllen sich schnell. Fragen Sie uns an, wir unterstützen Sie gerne!
Drittes und letztes Webinar findet am 26. Juni 2023 um 14.00 Uhr. Dominic Müller wird erneut souverän durch die Thematik führen.
Anmelden geht ganz einfach über folgenden Link: