Datenschutz-Assessment
Wir machen eine Bestandsaufnahme des Umgangs mit den Personendaten in Ihrem Unternehmen und unterbreiten Ihnen konkrete Handlungsempfehlungen.
Sie halten die Anforderungen an das neue Datenschutzgesetz ein.
Das totalrevidierte Datenschutzgesetz (DSG) ist am 1. September 2023 in Kraft getreten. Dies hat der Bundesrat an seiner Sitzung vom 31. August 2022 entschieden. Mit Inkrafttreten des revidierten DSG dürften wesentliche Neuerungen auf Unternehmen zukommen.
Zukünftig können auch gegen Einzelpersonen Bussen ausgesprochen werden bis zum Maximalbetrag von CHF 250’000.- wegen:
- Falscher und unvollständiger Auskunft
- Verletzung der weiten Informationspflichten
- Nichteinhaltung der Mindestanforderungen an die Datensicherheit
- Unzulässiger Auslandübermittlung
- Auftragsbearbeitung, welche nicht den gesetzlichen Vorgaben entspricht
- Verletzung der Vertraulichkeitspflicht
- Verletzung von Verfahrenspflichten dem EDÖB gegenüber
Ziele
Beim Datenschutz-Assessment geht es im Wesentlichen um die Beantwortung folgender Fragen:
- Ist der beim Kunden aufgebaute Datenschutz ausreichend und zweckmässig bzw. wie weit ist der Kunde mit der Umsetzung der Anforderungen an den Datenschutz?
- Sind die relevanten gesetzlichen Vorschriften zum Datenschutz erfüllt?
- Ggf. welche Massnahmen sind beim Kunden zu ergreifen, um eine Datenschutzkonformität zu erreichen und mit welcher Priorisierung?
Schwerpunkte
Status Quo-Erhebung (Analyse des Ist-Zustandes) und Anpassungsbedarf (Soll-Zustand). Zur Abklärung des Ist-Zustandes wird insbesondere folgenden Fragestellungen nachgegangen:
- Wie ist der Datenschutz in Ihrem Unternehmen organisiert?
- Ist ein Datenschutzberater oder eine Datenschutzstelle ernannt und ggf. gemeldet worden?
- Welche Aufgaben hat der Datenschutzberater oder die Datenschutzstelle?
- Wie erfüllen Sie die Informationspflicht? Wurde eine Datenschutzerklärung erstellt?
- Ihre Webseite ist Ihr Aushängeschild, frei und öffentlich zugänglich. Die Datenschutzerklärung informiert über die Bearbeitung von Personendaten und erfüllt somit die Anforderungen an die Informationspflicht nach revDSG.
- Haben Sie ein Verzeichnis der Bearbeitungen erstellt?
- Es dient gegenüber dem EDÖB zum Nachweis, dass die Vorschriften des Datenschutzes eingehalten werden. Eine Ausnahme hierzu besteht für Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko mit sich bringt.
- Halten Sie die Grundsätze der Bearbeitungen ein?
- Es sind dies die Rechtsmässigkeit (inkl. Rechtfertigung), die Zweckbindung, Treu und Glauben, die Verhältnismässigkeit und die Datenrichtigkeit.
- Stellen Sie sicher, dass Bearbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt wird? Wurde eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt?
- Eine DSFA wird verlangt, wenn die Bearbeitung von Daten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, wie etwa bei der Verwendung neuer Technologien.
- Wurden Outsourcing von Datenbearbeitungen und Auftragsbearbeitungsverträge abgeschlossen?
- Auftragsbearbeitungsverträge sind die Verträge mit externen Unternehmen, die in Ihrem Auftrag Personendaten bearbeiten oder Zugriff darauf haben.
- Falls Personendaten in Drittländer übermittelt werden: existiert für diese Länder ein Angemessenheitsbeschluss der EU-Kommission? Sehen Sie geeignete Garantien vor?
- Gibt es einen dokumentierten Prozess, um bei Datenschutzvorfällen und Verletzungen der Datensicherheit schnellstmöglichst reagieren zu können?
- Gibt es einen Prozess, um Gesuche von Betroffenen zu beantworten?
- Technische und organisatorische Massnahmen (TomOMs)
- Werden die Prinzipien Privacy by Design und Privacy by Default umgesetzt?
- Verfügen Sie über ein Löschkonzept, um sicherzustellen, dass Personendaten nicht über die rechtlich zulässige Speicherdauer hinaus bearbeitet werden?
- Werden Mitarbeitende zum revDSG geschult und sensibilisiert?
- Werden Personendaten der Beschäftigten rechtmässig bearbeitet?
- Falls Sie Massnahmen zur Direktwerbung einsetzen: haben Sie sichergestellt, dass diese den strengen datenschutzrechtlichen (sowie kommunikationsrechtlichen und wettbewerbsrechtlichen) Anforderungen genügen?
- Wenn Sie Personendaten über eine Person bei Dritten erheben: informieren Sie die betroffene Person?
- (z. B. in dem Fall, dass Sie Daten für Werbezwecke «einkaufen» oder aus öffentlichen Quellen erheben, oder dass Ihnen Partner-Unternehmen Daten übermitteln).
- Falls Sie eine oder mehrere Videoüberwachungsanlagen einsetzen: haben Sie sichergestellt, dass dabei die strengen datenschutzrechtlichen Anforderungen eingehalten werden?
- Sofern, besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet werden oder wird ein Profiling mit hohem Risiko durchgeführt und die präventiven Massnahmen den Datenschutz nicht gewährleisten: Werden die die Vorgaben an die Protokollierung eingehalten?
- Sofern, besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet werden oder wird ein Profiling mit hohem Risiko durchgeführt und die präventiven Massnahmen den Datenschutz nicht gewährleisten: Werden die entsprechenden Bearbeitungsreglemente erstellt?
Methodik
- Sie stellen uns die vorhandene Dokumentation zu
- Wir prüfen Ihre vorhandenen Unterlagen
- Gemeinsam bestimmen wir Interviewpartner und führen die Interviews durch
- Wir erstellen einen Bericht mit Handlungsempfehlungen und präsentieren Ihnen diesen
Aktuell
Online-Learning zum Datenschutz
Wir bieten ein umfassendes Online-Learning an, die Ihre Mitarbeitenden zu den wichtigsten Themen des Datenschutzes schult. Das Schweizer Datenschutzgesetz ist am 1. September 2023 in Kraft getreten. Neben der Entwicklung und Implementierung der erforderlichen...
Swiss-U.S. Data Privacy Framework
Zertifizierte US-Unternehmen bieten ein angemessenes Datenschutzniveau für Personendaten Länder mit einem angemessenen Datenschutzniveau Personendaten dürfen nur dann ohne zusätzliche Garantien ins Ausland übermittelt werden, wenn im Empfängerstaat ein...
(Mehr oder weniger) Intelligente Messsysteme und Anforderungen an die Datenbearbeitung
Brigitta Kratz, Rechtsanwältin und Partnerin bei Badertscher Rechtsanwälte AG, Zürich, und Michèle Balthasar, Rechtsanwältin und Gründerin und Geschäftsführerin der Balthasar Legal AG, Zürich, haben im Beitrag, der am 18. Juli 2024 im dRSK publiziert wurde, eine...