Sind Sie und Ihre Mitarbeitenden bereit für die strengeren Anforderungen an den Schutz von Personendaten, die seit 1. September gelten?
Ein Mitarbeiter ist krank. Sie vereinbaren, dass er per E-Mail sein Arztzeugnis übermittelt.
Das sollten Sie nur tun, wenn Ihr E-Mail-Programm so eingerichtet ist, dass Daten verschlüsselt übermittelt werden. Ein Arztzeugnis enthält persönliche Gesundheitsinformationen. Diese gelten als besonders schützenswerte Personendaten.
Der kranke Mitarbeiter übermittelt Ihnen zusätzlich ein Röntgenbild.
Sie müssen dieses Röntgenbild löschen. Der Grundsatz besagt, dass immer nur die Daten erfasst und bearbeitet werden dürfen, die für den jeweiligen Zweck unbedingt notwendig sind. Das ist beim Röntgenbild nicht der Fall.
Vor drei Jahren haben Sie mit einem externen Berater alles getan, um mit der europäischen Datenschutz-Grundverordnung (DSGVO) konform zu sein. Insofern ist für Sie das Thema Datenschutz abgehakt.
Stimmt nicht. Das neue Datenschutzgesetz unterscheidet sich gegenüber der DSGVO. Es gibt zusätzliche Aspekte zu beachten. Dies ist zum Beispiel der Fall, wenn man Daten in Drittländer (Länder ausserhalb der EU) exportiert. Die Liste des Bundesrats kann in diesem Punkt von der Liste der EU-Kommission abweichen.
Zwei Mitarbeitende sprechen auf dem Weg zur Arbeit über eine Kundin.
Besser nicht! Auch im öffentlichen Raum oder in Verkehrsmitteln müssen die persönlichen Daten der Kundin, über die gesprochen wird, vor fremden Ohren geschützt werden.
Als Vorbereitung für ein Kundenmeeting stellen Sie bestimmte Dokumente zu diesem Kunden im Online-Kalender zusammen.
Aufgepasst, wenn die anderen Mitarbeitenden Zugriff auf Ihren Kalender haben und Sie hier Personendaten ablegen. Möglicherweise dürfen diese nicht von Dritten eingesehen werden.
Dank Ihrem Laptop arbeiten Sie auch unterwegs an Ihren Kundendossiers.
Wenn Sie das zum Beispiel im Zug oder in einem Café tun, müssen Sie sicherstellen, dass niemand Ihren Bildschirm einsehen kann, beispielsweise mithilfe einer Sichtschutzfolie.
Ihre Firma erhält einen Antrag auf Datenauskunft einer Privatperson. Sie finden das ein bisschen übertrieben.
Sie müssen die Daten trotzdem zur Verfügung stellen. Und zwar kostenlos und innerhalb von 30 Tagen, sofern sich die Person identifizieren kann.
