Datenschutz-Assessment

Status Quo-Erhebung (Analyse des Ist-Zustandes) und Anpassungsbedarf (Soll-Zustand). Zur Abklärung des Ist-Zustandes wird insbesondere folgenden Fragestellungen nachgegangen:

• Wie ist der Datenschutz in Ihrem Unternehmen organisiert?
• Ist ein Datenschutzbeauftragter/-berater oder eine Datenschutzstelle ernannt und ggf. gemeldet worden?
• Welche Aufgaben hat der Datenschutzbeauftragte/-berater oder die Datenschutzstelle?
• Wie erfüllen Sie die Informationspflicht? Wurde eine Datenschutzerklärung erstellt?
• Ihre Webseite ist Ihr Aushängeschild, frei und öffentlich zugänglich. Die Datenschutzerklärung informiert über die Bearbeitung von Personendaten und erfüllt somit die Anforderungen an die Informationspflicht nach revDSG.
• Haben Sie ein Verzeichnis der Bearbeitungen erstellt?
• Es dient gegenüber dem EDÖB zum Nachweis, dass die Vorschriften des Datenschutzes eingehalten werden. Eine Ausnahme hierzu besteht für Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko mit sich bringt.
• Halten Sie die Grundsätze der Bearbeitungen ein?
• Es sind dies die Rechtsmässigkeit (inkl. Rechtfertigung), die Zweckbindung, Treu und Glauben, die Verhältnismässigkeit und die Datenrichtigkeit.
• Stellen Sie sicher, dass Bearbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt wird? Wurde eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt?
• Eine DSFA wird verlangt, wenn die Bearbeitung von Daten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, wie etwa bei der Verwendung neuer Technologien.
• Wurden Outsourcing von Datenbearbeitungen und Auftragsbearbeitungsverträge abgeschlossen?
• Auftragsbearbeitungsverträge sind die Verträge mit externen Unternehmen, die in Ihrem Auftrag Personendaten bearbeiten oder Zugriff darauf haben.
• Falls Personendaten in Drittländer übermittelt werden: existiert für diese Länder ein Angemessenheitsbeschluss der EU-Kommission? Sehen Sie geeignete Garantien vor?
• Gibt es einen dokumentierten Prozess, um bei Datenschutzvorfällen und Verletzungen der Datensicherheit schnellst möglichst reagieren zu können?
• Gibt es einen Prozess, um Gesuche von Betroffenen zu beantworten?
• Technische und organisatorische Massnahmen (TomOMs)
• Werden die Prinzipien Privacy by Design und Privacy by Default umgesetzt?
• Verfügen Sie über ein Löschkonzept, um sicherzustellen, dass Personendaten nicht über die rechtlich zulässige Speicherdauer hinaus bearbeitet werden?
• Werden Mitarbeitende zum revDSG geschult und sensibilisiert?
• Werden Personendaten der Beschäftigten rechtmässig bearbeitet?
• Falls Sie Massnahmen zur Direktwerbung einsetzen: haben Sie sichergestellt, dass diese den strengen datenschutzrechtlichen (sowie kommunikationsrechtlichen und wettbewerbsrechtlichen) Anforderungen genügen?
• Wenn Sie Personendaten über eine Person bei Dritten erheben: informieren Sie die betroffene Person?
• (z. B. in dem Fall, dass Sie Daten für Werbezwecke «einkaufen» oder aus öffentlichen Quellen erheben, oder dass Ihnen Partner-Unternehmen Daten übermitteln).
• Falls Sie eine oder mehrere Videoüberwachungsanlagen einsetzen: haben Sie sichergestellt, dass dabei die strengen datenschutzrechtlichen Anforderungen eingehalten werden?
• Sofern, besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet werden oder wird ein Profiling mit hohem Risiko durchgeführt und die präventiven Massnahmen den Datenschutz nicht gewährleisten: Werden die die Vorgaben an die Protokollierung eingehalten?
• Sofern, besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet werden oder wird ein Profiling mit hohem Risiko durchgeführt und die präventiven Massnahmen den Datenschutz nicht gewährleisten: Werden die entsprechenden Bearbeitungsreglemente erstellt?

• Sie stellen uns die vorhandene Dokumentation zu
• Wir prüfen Ihre vorhandenen Unterlagen
• Gemeinsam bestimmen wir Interviewpartner und führen die Interviews durch
• Wir erstellen einen Bericht mit Handlungsempfehlungen und präsentieren Ihnen diesen