Mit dem neuen Datenschutzgesetz sind Unternehmen noch stärker verpflichtet, ihre Kunden-, Mitarbeiter-, Finanz- und andere sensible Daten bestmöglich zu schützen. Bis zum Inkrafttreten bleiben noch ein paar Monate Zeit. Wir zeigen auf, was sich ändert und was Unternehmen jetzt tun müssen.
Das revidierte Datenschutzgesetz tritt am 1. September 2023 in Kraft. Fast alle Unternehmen sind davon betroffen. Die-se zwölf Stichworte erleichtern es Ihnen, die Vorbereitungen anzupacken.
Datenschutzerklärung
Brauchen Sie eine Datenschutzerklärung für Ihre Website oder für die Kundenverträge? Sobald Sie Personendaten erfassen und bearbeiten, haben Sie eine Informationspflicht. Im Hinblick auf das neue Gesetz gehört das Ausarbeiten ei-ner Datenschutzerklärung zu den Hauptaufgaben. Online finden Sie neben Informationen auch Vorlagen.
Richtlinien für die Datenbearbeitung
Wenn Sie Ihre Standards für die Datenbearbeitung festlegen, hilft Ihnen das intern, aber auch extern (behördliche Anfragen, Rechtsverfahren). Sie klären relevante Fragen wie «Wer hat Zugriff auf welche Daten?», «Wo müssen die Daten gespeichert werden?», «Welche Daten dürfen nur verschlüsselt verschickt werden?». Planen Sie dafür genügend Zeit ein und lassen Sie sich beraten.
Verzeichnis der Datenbearbeitungen
Für Unternehmen mit mehr als 250 Mitarbeitenden ist ein solches Verzeichnis der Bearbeitungstätigkeiten obligatorisch. Aber es empfiehlt sich auch für kleinere Firmen. Damit lässt sich nachverfolgen, welche Datenkategorien wann, von wem und wie bearbeitet wurden.
Auskunftsbegehren
Betroffene Personen (Kunden, Websitenutzer) können ein Auskunfts- oder Löschbegehren stellen. Weil die Fristen kurz sind, empfiehlt es sich, eine Vorlage bereit-zuhalten.
Meldeprozess bei Verletzungen
Eine Datenschutzverletzung liegt vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Es gibt in diesem Zusammenhang Meldepflichten zuhanden des Eidgenössischen Datenschutzbeauftragten mit relativ kurzen Fristen, auf die man organisatorisch und technisch vorbereitet sein sollte.
Verträge prüfen
Für viele Funktionen (E-Mail- und Newsletter-Versand, Software in der Cloud, Videokonferenzen u. a.) werden Dienste von Dritten eingesetzt. Hier müssen Sie überprüfen, ob die Sicherheit der Daten gewährleistet ist. Ergänzen Sie in den Verträgen mit Ihren Subunternehmen Klauseln bezüglich Geheimhaltung, Datenbearbeitung oder Meldeverfahren.
Wann müssen Daten gelöscht werden?
Personendaten, die nicht mehr benötigt werden und für deren Bearbeitung kein Rechtfertigungsgrund nachgewiesen werden kann, müssen vom Unternehmen gelöscht werden. Dies müssen Sie in Ihren Prozessen berücksichtigen.
Datenübermittlung ins Ausland
Die meisten Anbieter von Cloud- und Software-Services haben Server ausserhalb der Schweiz. Auf der Website des Eidg. Datenschutzbeauftragten finden Sie eine Liste der «sicheren Drittstaaten», die unproblematisch sind. Bei allen anderen Staaten und auch bei den USA benötigt es zusätzliche und spezifische Vertragsklauseln.
IT-Infrastruktur
Lassen Sie Ihre IT-Infrastruktur überprüfen. Wo sind im Hinblick auf das neue Datenschutzgesetz zusätzliche Vorkehrungen nötig? Vergessen Sie aber nicht: Die Technik allein wird es nicht richten, die Schwachstelle beim Thema Cyberkriminalität ist oft der Mensch. Hier müssen Sie durch Informationen und mit organisatorischen Massnahmen (z. B. Passwortverwaltung) ansetzen.
Besonders schützenswerte Personendaten
Es gibt eine Reihe von Datenarten, die besonders heikel sind. Hierzu gehören Angaben zu Religion, Gesundheit, strafrechtlicher Verfolgung, Gewerkschaftszugehörigkeit, sexueller Orientierung, bio-metrische Daten u. a. Sie müssen speziell geschützt werden.
Datenportabilität
Mit dem Recht auf Datenherausgabe hat eine betroffene Person die Möglichkeit, ihre Personendaten in einem gängigen elektronischen Format herauszuverlangen oder einem Dritten übertragen zu lassen.
Datenschutz-Folgenabschätzung
Ein Unternehmen muss Risiken durch seine Bearbeitung von Personendaten in jedem Fall einschätzen. Oft genügt eine intuitive Risikoeinschätzung. Für bestimmte Bearbeitungen (z. B. mit neuen Technologien oder mittels Profiling) sind aber vertiefte Überlegungen notwendig.