Ist Ihr Unternehmen bereit?

Ist Ihr Unternehmen bereit?

19. April 2023

Mit dem neuen Datenschutzgesetz sind Unternehmen noch stärker verpflichtet, ihre Kunden-, Mitarbeiter-, Finanz- und andere sensible Daten bestmöglich zu schützen. Bis zum Inkrafttreten bleiben noch ein paar Monate Zeit. Wir zeigen auf, was sich ändert und was Unternehmen jetzt tun müssen.

Das revidierte Datenschutzgesetz tritt am 1. September 2023 in Kraft. Fast alle Unternehmen sind davon betroffen. Diese zwölf Stichworte erleichtern es Ihnen, die Vorbereitungen anzupacken.

Datenschutzerklärung

Brauchen Sie eine Datenschutzerklärung für Ihre Website oder für die Kundenverträge? Sobald Sie Personendaten erfassen und bearbeiten, haben Sie eine Informationspflicht. Im Hinblick auf das neue Gesetz gehört das Ausarbeiten einer Datenschutzerklärung zu den Hauptaufgaben. Online finden Sie neben Informationen auch Vorlagen.

Richtlinien für die Datenbearbeitung

Wenn Sie Ihre Standards für die Datenbearbeitung festlegen, hilft Ihnen das intern, aber auch extern (behördliche Anfragen, Rechtsverfahren). Sie klären relevante Fragen wie «Wer hat Zugriff auf welche Daten?», «Wo müssen die Daten gespeichert werden?», «Welche Daten dürfen nur verschlüsselt verschickt werden?». Planen Sie dafür genügend Zeit ein und lassen Sie sich beraten.

Verzeichnis der Datenbearbeitungen

Für Unternehmen mit mehr als 250 Mitarbeitenden ist ein solches Verzeichnis der Bearbeitungstätigkeiten obligatorisch. Aber es empfiehlt sich auch für kleinere Firmen. Damit lässt sich nachverfolgen, welche Datenkategorien wann, von wem und wie bearbeitet wurden.

Auskunftsbegehren

Betroffene Personen (Kunden, Websitenutzer) können ein Auskunfts- oder Löschbegehren stellen. Weil die Fristen kurz sind, empfiehlt es sich, eine Vorlage bereitzuhalten.

Meldeprozess bei Verletzungen

Eine Datenschutzverletzung liegt vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Es gibt in diesem Zusammenhang Meldepflichten zuhanden des Eidgenössischen Datenschutzbeauftragten mit relativ kurzen Fristen, auf die man organisatorisch und technisch vorbereitet sein sollte.

Verträge prüfen

Für viele Funktionen (E-Mail- und Newsletter- Versand, Software in der Cloud, Videokonferenzen u. a.) werden Dienste von Dritten eingesetzt. Hier müssen Sie überprüfen, ob die Sicherheit der Daten gewährleistet ist. Ergänzen Sie in den Verträgen mit Ihren Subunternehmen Klauseln bezüglich Geheimhaltung, Datenbearbeitung oder Meldeverfahren.

Wann müssen Daten gelöscht werden?

Personendaten, die nicht mehr benötigt werden und für deren Bearbeitung kein Rechtfertigungsgrund nachgewiesen werden kann, müssen vom Unternehmen gelöscht werden. Dies müssen Sie in Ihren Prozessen berücksichtigen.

Datenübermittlung ins Ausland

Die meisten Anbieter von Cloud- und Software- Services haben Server ausserhalb der Schweiz. Auf der Website des Eidg. Datenschutzbeauftragten finden Sie eine Liste der «sicheren Drittstaaten», die unproblematisch sind. Bei allen anderen Staaten und auch bei den USA benötigt es zusätzliche und spezifische Vertragsklauseln.

IT-Infrastruktur

Lassen Sie Ihre IT-Infrastruktur überprüfen. Wo sind im Hinblick auf das neue Datenschutzgesetz zusätzliche Vorkehrungen nötig? Vergessen Sie aber nicht: Die Technik allein wird es nicht richten, die Schwachstelle beim Thema Cyberkriminalität ist oft der Mensch. Hier müssen Sie durch Informationen und mit organisatorischen Massnahmen (z. B. Passwortverwaltung) ansetzen.

Besonders schützenswerte Personendaten

Es gibt eine Reihe von Datenarten, die besonders heikel sind. Hierzu gehören Angaben zu Religion, Gesundheit, strafrechtlicher Verfolgung, Gewerkschaftszugehörigkeit, sexueller Orientierung, biometrische Daten u. a. Sie müssen speziell geschützt werden.

Datenportabilität

Mit dem Recht auf Datenherausgabe hat eine betroffene Person die Möglichkeit, ihre Personendaten in einem gängigen elektronischen Format herauszuverlangen oder einem Dritten übertragen zu lassen.

Datenschutz-Folgenabschätzung

Ein Unternehmen muss Risiken durch seine Bearbeitung von Personendaten in jedem Fall einschätzen. Oft genügt eine intuitive Risikoeinschätzung. Für bestimmte Bearbeitungen (z. B. mit neuen Technologien oder mittels Profiling) sind aber vertiefte Überlegungen notwendig.

Quelle: Update Newsletter 04/2023

CMT-Josef-Manser-Circle

JOSEF MANSER

Treuhänder mit eidg. Fachausweis Registrierter Revisionsexperte

Verwandte Beiträge