Datenschutz-Assessment

Sie halten die Anforderungen an das neue Datenschutzgesetz ein.

Wir machen eine Bestandsaufnahme des Umgangs mit den Personendaten in Ihrem Unternehmen und unterbreiten Ihnen konkrete Handlungsempfehlungen.

Der Bundesrat hat an seiner Sitzung vom 31. August 2022 entschieden, dass das totalrevidierte Datenschutzgesetz nun am 1. September 2023 in Kraft tritt. Mit Inkrafttreten des revidierten DSG dürften wesentliche Neuerungen auf Unternehmen zukommen.

 

Zukünftig können auch gegen Einzelpersonen Bussen ausgesprochen werden bis zum Maximalbetrag von CHF 250’000.- wegen:

  • Falscher und unvollständiger Auskunft
  • Verletzung der weiten Informationspflichten
  • Nichteinhaltung der Mindestanforderungen an die Datensicherheit
  • Unzulässiger Auslandübermittlung
  • Auftragsbearbeitung, welche nicht den gesetzlichen Vorgaben entspricht
  • Verletzung der Vertraulichkeitspflicht
  • Verletzung von Verfahrenspflichten dem EDÖB gegenüber
Ziele

Beim Datenschutz-Assessment geht es im Wesentlichen um die Beantwortung folgender Fragen:

 

  • Ist der beim Kunden aufgebaute Datenschutz ausreichend und zweckmässig bzw. wie weit ist der Kunde mit der Umsetzung der Anforderungen an den Datenschutz?
  • Sind die relevanten gesetzlichen Vorschriften zum Datenschutz erfüllt?
  • Ggf. welche Massnahmen sind beim Kunden zu ergreifen, um eine Datenschutzkonformität zu erreichen und mit welcher Priorisierung?
Schwerpunkte

Status Quo-Erhebung (Analyse des Ist-Zustandes) und Anpassungsbedarf (Soll-Zustand). Zur Abklärung des Ist-Zustandes wird insbesondere folgenden Fragestellungen nachgegangen:

  • Wie ist der Datenschutz in Ihrem Unternehmen organisiert?
  • Ist ein Datenschutzbeauftragter/-berater oder eine Datenschutzstelle ernannt und ggf. gemeldet worden?
  • Welche Aufgaben hat der Datenschutzbeauftragte/-berater oder die Datenschutzstelle?
  • Wie erfüllen Sie die Informationspflicht? Wurde eine Datenschutzerklärung erstellt?
  • Ihre Webseite ist Ihr Aushängeschild, frei und öffentlich zugänglich. Die Datenschutzerklärung informiert über die Bearbeitung von Personendaten und erfüllt somit die Anforderungen an die Informationspflicht nach revDSG.
  • Haben Sie ein Verzeichnis der Bearbeitungen erstellt?
  • Es dient gegenüber dem EDÖB zum Nachweis, dass die Vorschriften des Datenschutzes eingehalten werden. Eine Ausnahme hierzu besteht für Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko mit sich bringt.
  • Halten Sie die Grundsätze der Bearbeitungen ein?
  • Es sind dies die Rechtsmässigkeit (inkl. Rechtfertigung), die Zweckbindung, Treu und Glauben, die Verhältnismässigkeit und die Datenrichtigkeit.
  • Stellen Sie sicher, dass Bearbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt wird? Wurde eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt?
  • Eine DSFA wird verlangt, wenn die Bearbeitung von Daten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, wie etwa bei der Verwendung neuer Technologien.
  • Wurden Outsourcing von Datenbearbeitungen und Auftragsbearbeitungsverträge abgeschlossen?
  • Auftragsbearbeitungsverträge sind die Verträge mit externen Unternehmen, die in Ihrem Auftrag Personendaten bearbeiten oder Zugriff darauf haben.
  • Falls Personendaten in Drittländer übermittelt werden: existiert für diese Länder ein Angemessenheitsbeschluss der EU-Kommission? Sehen Sie geeignete Garantien vor?
  • Gibt es einen dokumentierten Prozess, um bei Datenschutzvorfällen und Verletzungen der Datensicherheit schnellst möglichst reagieren zu können?
  • Gibt es einen Prozess, um Gesuche von Betroffenen zu beantworten?
  • Technische und organisatorische Massnahmen (TomOMs)
  • Werden die Prinzipien Privacy by Design und Privacy by Default umgesetzt?
  • Verfügen Sie über ein Löschkonzept, um sicherzustellen, dass Personendaten nicht über die rechtlich zulässige Speicherdauer hinaus bearbeitet werden?
  • Werden Mitarbeitende zum revDSG geschult und sensibilisiert?
  • Werden Personendaten der Beschäftigten rechtmässig bearbeitet?
  • Falls Sie Massnahmen zur Direktwerbung einsetzen: haben Sie sichergestellt, dass diese den strengen datenschutzrechtlichen (sowie kommunikationsrechtlichen und wettbewerbsrechtlichen) Anforderungen genügen?
  • Wenn Sie Personendaten über eine Person bei Dritten erheben: informieren Sie die betroffene Person?
  • (z. B. in dem Fall, dass Sie Daten für Werbezwecke «einkaufen» oder aus öffentlichen Quellen erheben, oder dass Ihnen Partner-Unternehmen Daten übermitteln).
  • Falls Sie eine oder mehrere Videoüberwachungsanlagen einsetzen: haben Sie sichergestellt, dass dabei die strengen datenschutzrechtlichen Anforderungen eingehalten werden?
  • Sofern, besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet werden oder wird ein Profiling mit hohem Risiko durchgeführt und die präventiven Massnahmen den Datenschutz nicht gewährleisten: Werden die die Vorgaben an die Protokollierung eingehalten?
  • Sofern, besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet werden oder wird ein Profiling mit hohem Risiko durchgeführt und die präventiven Massnahmen den Datenschutz nicht gewährleisten: Werden die entsprechenden Bearbeitungsreglemente erstellt?
Methodik
  • Sie stellen uns die vorhandene Dokumentation zu
  • Wir prüfen Ihre vorhandenen Unterlagen
  • Gemeinsam bestimmen wir Interviewpartner und führen die Interviews durch
  • Wir erstellen einen Bericht mit Handlungsempfehlungen und präsentieren Ihnen diesen
alaCasa-Partnermeeting

alaCasa-Partnermeeting

Das alaCasa.ch Netzwerk, die Experten für Wohneigentum, lädt Sie zu einem Gedankenaustausch rund um das Thema Immobilien und Datensicherheit ein. Mit dabei sind drei Experten, die Ihnen die neuesten Entwicklungen zu Datenschutz, Immobiliendatenverarbeitung,...

PLN III – Datenschutz & Cyber Security

PLN III – Datenschutz & Cyber Security

Das dritte PLN zum Thema Datenschutz & Cyber Security findet am 24. November 2022 statt und richtet seinen Fokus dieses Mal auf die Cybersicherheit der Schweizer Stromversorger. Angaben zur Anmeldung und Kosten finden Sie hier. Anmeldeschluss ist der 17. November...

4. Dataspace Switzerland – auf zum neuen Datenschutzgesetz

4. Dataspace Switzerland – auf zum neuen Datenschutzgesetz

Das neue Datenschutzgesetz (nDSG) tritt am 1. September 2023 in Kraft. Zu erwarten sind strengere Auflagen sowie Sanktionen bis zu CHF 250.000 bei Missachtung. Es empfiehlt sich, die erforderlichen Massnahmen zur Umsetzung der Anforderungen zu priorisieren. Im Rahmen...