Datenschutz-Assessment

Wir machen eine Bestandsaufnahme des Umgangs mit den Personendaten in Ihrem Unternehmen und unterbreiten Ihnen konkrete Handlungsempfehlungen.

Sie halten die Anforderungen an das neue Datenschutzgesetz ein.

 

Das totalrevidierte Datenschutzgesetz (DSG) ist am 1. September 2023 in Kraft getreten. Dies hat der Bundesrat an seiner Sitzung vom 31. August 2022 entschieden. Mit Inkrafttreten des revidierten DSG dürften wesentliche Neuerungen auf Unternehmen zukommen.

 

Zukünftig können auch gegen Einzelpersonen Bussen ausgesprochen werden bis zum Maximalbetrag von CHF 250’000.- wegen:

  • Falscher und unvollständiger Auskunft
  • Verletzung der weiten Informationspflichten
  • Nichteinhaltung der Mindestanforderungen an die Datensicherheit
  • Unzulässiger Auslandübermittlung
  • Auftragsbearbeitung, welche nicht den gesetzlichen Vorgaben entspricht
  • Verletzung der Vertraulichkeitspflicht
  • Verletzung von Verfahrenspflichten dem EDÖB gegenüber
Ziele

Beim Datenschutz-Assessment geht es im Wesentlichen um die Beantwortung folgender Fragen:

 

  • Ist der beim Kunden aufgebaute Datenschutz ausreichend und zweckmässig bzw. wie weit ist der Kunde mit der Umsetzung der Anforderungen an den Datenschutz?
  • Sind die relevanten gesetzlichen Vorschriften zum Datenschutz erfüllt?
  • Ggf. welche Massnahmen sind beim Kunden zu ergreifen, um eine Datenschutzkonformität zu erreichen und mit welcher Priorisierung?
Schwerpunkte

Status Quo-Erhebung (Analyse des Ist-Zustandes) und Anpassungsbedarf (Soll-Zustand). Zur Abklärung des Ist-Zustandes wird insbesondere folgenden Fragestellungen nachgegangen:

  • Wie ist der Datenschutz in Ihrem Unternehmen organisiert?
  • Ist ein Datenschutzberater oder eine Datenschutzstelle ernannt und ggf. gemeldet worden?
  • Welche Aufgaben hat der Datenschutzberater oder die Datenschutzstelle?
  • Wie erfüllen Sie die Informationspflicht? Wurde eine Datenschutzerklärung erstellt?
  • Ihre Webseite ist Ihr Aushängeschild, frei und öffentlich zugänglich. Die Datenschutzerklärung informiert über die Bearbeitung von Personendaten und erfüllt somit die Anforderungen an die Informationspflicht nach revDSG.
  • Haben Sie ein Verzeichnis der Bearbeitungen erstellt?
  • Es dient gegenüber dem EDÖB zum Nachweis, dass die Vorschriften des Datenschutzes eingehalten werden. Eine Ausnahme hierzu besteht für Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko mit sich bringt.
  • Halten Sie die Grundsätze der Bearbeitungen ein?
  • Es sind dies die Rechtsmässigkeit (inkl. Rechtfertigung), die Zweckbindung, Treu und Glauben, die Verhältnismässigkeit und die Datenrichtigkeit.
  • Stellen Sie sicher, dass Bearbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt wird? Wurde eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt?
  • Eine DSFA wird verlangt, wenn die Bearbeitung von Daten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, wie etwa bei der Verwendung neuer Technologien.
  • Wurden Outsourcing von Datenbearbeitungen und Auftragsbearbeitungsverträge abgeschlossen?
  • Auftragsbearbeitungsverträge sind die Verträge mit externen Unternehmen, die in Ihrem Auftrag Personendaten bearbeiten oder Zugriff darauf haben.
  • Falls Personendaten in Drittländer übermittelt werden: existiert für diese Länder ein Angemessenheitsbeschluss der EU-Kommission? Sehen Sie geeignete Garantien vor?
  • Gibt es einen dokumentierten Prozess, um bei Datenschutzvorfällen und Verletzungen der Datensicherheit schnellstmöglichst reagieren zu können?
  • Gibt es einen Prozess, um Gesuche von Betroffenen zu beantworten?
  • Technische und organisatorische Massnahmen (TomOMs)
  • Werden die Prinzipien Privacy by Design und Privacy by Default umgesetzt?
  • Verfügen Sie über ein Löschkonzept, um sicherzustellen, dass Personendaten nicht über die rechtlich zulässige Speicherdauer hinaus bearbeitet werden?
  • Werden Mitarbeitende zum revDSG geschult und sensibilisiert?
  • Werden Personendaten der Beschäftigten rechtmässig bearbeitet?
  • Falls Sie Massnahmen zur Direktwerbung einsetzen: haben Sie sichergestellt, dass diese den strengen datenschutzrechtlichen (sowie kommunikationsrechtlichen und wettbewerbsrechtlichen) Anforderungen genügen?
  • Wenn Sie Personendaten über eine Person bei Dritten erheben: informieren Sie die betroffene Person?
  • (z. B. in dem Fall, dass Sie Daten für Werbezwecke «einkaufen» oder aus öffentlichen Quellen erheben, oder dass Ihnen Partner-Unternehmen Daten übermitteln).
  • Falls Sie eine oder mehrere Videoüberwachungsanlagen einsetzen: haben Sie sichergestellt, dass dabei die strengen datenschutzrechtlichen Anforderungen eingehalten werden?
  • Sofern, besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet werden oder wird ein Profiling mit hohem Risiko durchgeführt und die präventiven Massnahmen den Datenschutz nicht gewährleisten: Werden die die Vorgaben an die Protokollierung eingehalten?
  • Sofern, besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet werden oder wird ein Profiling mit hohem Risiko durchgeführt und die präventiven Massnahmen den Datenschutz nicht gewährleisten: Werden die entsprechenden Bearbeitungsreglemente erstellt?
Methodik
  • Sie stellen uns die vorhandene Dokumentation zu
  • Wir prüfen Ihre vorhandenen Unterlagen
  • Gemeinsam bestimmen wir Interviewpartner und führen die Interviews durch
  • Wir erstellen einen Bericht mit Handlungsempfehlungen und präsentieren Ihnen diesen
Online-Learning zum Datenschutz

Online-Learning zum Datenschutz

Wir bieten ein umfassendes Online-Learning an, die Ihre Mitarbeitenden zu den wichtigsten Themen des Datenschutzes schult. Das Schweizer Datenschutzgesetz ist am 1. September 2023 in Kraft getreten. Neben der Entwicklung und Implementierung der erforderlichen...

Swiss-U.S. Data Privacy Framework

Swiss-U.S. Data Privacy Framework

Zertifizierte US-Unternehmen bieten ein angemessenes Datenschutzniveau für Personendaten   Länder mit einem angemessenen Datenschutzniveau Personendaten dürfen nur dann ohne zusätzliche Garantien ins Ausland übermittelt werden, wenn im Empfängerstaat ein...

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.