Datenschutz-Assessment

Sie halten die Anforderungen an das neue Datenschutzgesetz ein.

Wir machen eine Bestandsaufnahme des Umgangs mit den Personendaten in Ihrem Unternehmen und unterbreiten Ihnen konkrete Handlungsempfehlungen.

Der Bundesrat hat an seiner Sitzung vom 31. August 2022 entschieden, dass das totalrevidierte Datenschutzgesetz nun am 1. September 2023 in Kraft tritt. Mit Inkrafttreten des revidierten DSG dürften wesentliche Neuerungen auf Unternehmen zukommen.

 

Zukünftig können auch gegen Einzelpersonen Bussen ausgesprochen werden bis zum Maximalbetrag von CHF 250’000.- wegen:

  • Falscher und unvollständiger Auskunft
  • Verletzung der weiten Informationspflichten
  • Nichteinhaltung der Mindestanforderungen an die Datensicherheit
  • Unzulässiger Auslandübermittlung
  • Auftragsbearbeitung, welche nicht den gesetzlichen Vorgaben entspricht
  • Verletzung der Vertraulichkeitspflicht
  • Verletzung von Verfahrenspflichten dem EDÖB gegenüber
Ziele

Beim Datenschutz-Assessment geht es im Wesentlichen um die Beantwortung folgender Fragen:

 

  • Ist der beim Kunden aufgebaute Datenschutz ausreichend und zweckmässig bzw. wie weit ist der Kunde mit der Umsetzung der Anforderungen an den Datenschutz?
  • Sind die relevanten gesetzlichen Vorschriften zum Datenschutz erfüllt?
  • Ggf. welche Massnahmen sind beim Kunden zu ergreifen, um eine Datenschutzkonformität zu erreichen und mit welcher Priorisierung?
Schwerpunkte

Status Quo-Erhebung (Analyse des Ist-Zustandes) und Anpassungsbedarf (Soll-Zustand). Zur Abklärung des Ist-Zustandes wird insbesondere folgenden Fragestellungen nachgegangen:

  • Wie ist der Datenschutz in Ihrem Unternehmen organisiert?
  • Ist ein Datenschutzbeauftragter/-berater oder eine Datenschutzstelle ernannt und ggf. gemeldet worden?
  • Welche Aufgaben hat der Datenschutzbeauftragte/-berater oder die Datenschutzstelle?
  • Wie erfüllen Sie die Informationspflicht? Wurde eine Datenschutzerklärung erstellt?
  • Ihre Webseite ist Ihr Aushängeschild, frei und öffentlich zugänglich. Die Datenschutzerklärung informiert über die Bearbeitung von Personendaten und erfüllt somit die Anforderungen an die Informationspflicht nach revDSG.
  • Haben Sie ein Verzeichnis der Bearbeitungen erstellt?
  • Es dient gegenüber dem EDÖB zum Nachweis, dass die Vorschriften des Datenschutzes eingehalten werden. Eine Ausnahme hierzu besteht für Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko mit sich bringt.
  • Halten Sie die Grundsätze der Bearbeitungen ein?
  • Es sind dies die Rechtsmässigkeit (inkl. Rechtfertigung), die Zweckbindung, Treu und Glauben, die Verhältnismässigkeit und die Datenrichtigkeit.
  • Stellen Sie sicher, dass Bearbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt wird? Wurde eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt?
  • Eine DSFA wird verlangt, wenn die Bearbeitung von Daten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, wie etwa bei der Verwendung neuer Technologien.
  • Wurden Outsourcing von Datenbearbeitungen und Auftragsbearbeitungsverträge abgeschlossen?
  • Auftragsbearbeitungsverträge sind die Verträge mit externen Unternehmen, die in Ihrem Auftrag Personendaten bearbeiten oder Zugriff darauf haben.
  • Falls Personendaten in Drittländer übermittelt werden: existiert für diese Länder ein Angemessenheitsbeschluss der EU-Kommission? Sehen Sie geeignete Garantien vor?
  • Gibt es einen dokumentierten Prozess, um bei Datenschutzvorfällen und Verletzungen der Datensicherheit schnellst möglichst reagieren zu können?
  • Gibt es einen Prozess, um Gesuche von Betroffenen zu beantworten?
  • Technische und organisatorische Massnahmen (TomOMs)
  • Werden die Prinzipien Privacy by Design und Privacy by Default umgesetzt?
  • Verfügen Sie über ein Löschkonzept, um sicherzustellen, dass Personendaten nicht über die rechtlich zulässige Speicherdauer hinaus bearbeitet werden?
  • Werden Mitarbeitende zum revDSG geschult und sensibilisiert?
  • Werden Personendaten der Beschäftigten rechtmässig bearbeitet?
  • Falls Sie Massnahmen zur Direktwerbung einsetzen: haben Sie sichergestellt, dass diese den strengen datenschutzrechtlichen (sowie kommunikationsrechtlichen und wettbewerbsrechtlichen) Anforderungen genügen?
  • Wenn Sie Personendaten über eine Person bei Dritten erheben: informieren Sie die betroffene Person?
  • (z. B. in dem Fall, dass Sie Daten für Werbezwecke «einkaufen» oder aus öffentlichen Quellen erheben, oder dass Ihnen Partner-Unternehmen Daten übermitteln).
  • Falls Sie eine oder mehrere Videoüberwachungsanlagen einsetzen: haben Sie sichergestellt, dass dabei die strengen datenschutzrechtlichen Anforderungen eingehalten werden?
  • Sofern, besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet werden oder wird ein Profiling mit hohem Risiko durchgeführt und die präventiven Massnahmen den Datenschutz nicht gewährleisten: Werden die die Vorgaben an die Protokollierung eingehalten?
  • Sofern, besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet werden oder wird ein Profiling mit hohem Risiko durchgeführt und die präventiven Massnahmen den Datenschutz nicht gewährleisten: Werden die entsprechenden Bearbeitungsreglemente erstellt?
Methodik
  • Sie stellen uns die vorhandene Dokumentation zu
  • Wir prüfen Ihre vorhandenen Unterlagen
  • Gemeinsam bestimmen wir Interviewpartner und führen die Interviews durch
  • Wir erstellen einen Bericht mit Handlungsempfehlungen und präsentieren Ihnen diesen
Was bedeutet eigentlich «Wir sind DSGVO-konform.» ?

Was bedeutet eigentlich «Wir sind DSGVO-konform.» ?

Bei der Evaluierung von neuen Tools hört man in letzter Zeit oft die pauschale Aussage «Wir sind DSGVO-konform.». Damit suggeriert ein Dienstleister (datenschutzrechtlich: Auftragsbearbeiter), dass die Bearbeitung von Personendaten in Übereinstimmung mit der...

Bundesrat startet Vernehmlassung zur Cybersicherheitsverordnung

Bundesrat startet Vernehmlassung zur Cybersicherheitsverordnung

Einführung und Hintergrund Bundesrat startet Vernehmlassung zur Cybersicherheitsverordnung: Meldepflichtige Behörden und Organisationen müssen Cyberangriffe dem BACS melden. Am 29. September 2023 hat das Parlament die Einführung einer Meldepflicht für Cyberangriffe...

Das neue Schweizer Datenschutzgesetz – ein erstes Fazit

Das neue Schweizer Datenschutzgesetz – ein erstes Fazit

Ein halbes Jahr ist es her, seit das revidierte Datenschutzgesetz der Schweiz in Kraft getreten ist. Datenschutzexpertin Michèle Balthasar ordnet die aktuelle Lage ein. Zum Inkrafttreten des neuen Schweizer Datenschutzgesetzes im September 2023 beantwortete...

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaffachfrau an der Kaderschule Zürich ab. Im Anschluss an ihrem Diplom als Wirtschaftsfachfrau arbeitete Sangmo Agontsang als CEO Assistentin unter anderem für Freitag lab ag und CBM Schweiz. Sie verfügt des Weiteren über Erfahrung in der Organisation der Kaderschule Zürich, sowie über 3 Jahre Erfahrung in der Intellectual Property Abteilung der Freitag lab ag und hat dabei international mit einem Team von Anwälten die Rechte ihres Unternehmens verteidigt. Seit 2022 arbeitet sie als Paralegal bei der Balthasar Legal AG.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.