To Do’s bis zum Inkrafttreten des revDSG am 1. September 2023

Jan 2, 2023

Michèle Balthasar in Zürich, Schweiz. Sitzend vor dem Prime Tower hält sie einen Laptop auf ihrem Schoss und schaut mit einem leichten Lächeln runter auf den Bildschirm. Der Boden ist hellgrau aus Beton und die Wände des Gebäudes im Hintergrund sind im Untergeschoss dunkelgrau, weiter oben in der gleichen Farbe wie der graue Beton Boden vor dem Gebäude. Sie hat die Beine verschränkt, das rechte über das linke Bein. Ihr Körper ist leicht schräg nach vorne rechts ausgerichtet etwa 30 Grad. Ihre Haltung ist sehr gerade und ihre Hände liegen sanft auf der Tastatur ihres Laptops. Sie hat blonde Haare die bis zum Ende ihrer Ohren reichen. Sie trägt ein natürliches Makeup, einen nachtblauen Blazer und eine helle Bluse in Altrosa. Der Blazer mit Reverskragen scheint zugeknöpft zu sein und sitzt etwas locker. Darunter trägt sie schwarze Anzugshosen. Der Wind bläst auf einige Fransen und sie stehen leicht auf. Sie wirkt freundlich mit einem leichten Lächeln im Gesicht. Im Hintergrund sind grosse rechteckige Scheiben eines Bürogebäudes sichtbar, des Prime Towers. In den Scheiben spiegelt sich die Umgebung wider. Sie bietet Beratungsdienstleistungen für Unternehmen und Organisationen in Fragen des Datenschutzes an und unterstützt sie bei der Umsetzung der datenschutzrechtlichen Anforderungen. Zu ihren Tätigkeiten gehören unter anderem die Durchführung von Datenschutz-Audits, die Erstellung von Datenschutzrichtlinien und -verfahren sowie die Beratung zu spezifischen Datenschutzthemen wie der EU-Datenschutz-Grundverordnung (DSGVO). Sie kann Unternehmen auch im Falle von Datenschutzverstößen ihnen bei der Zusammenarbeit mit Datenschutzbehörden helfen. To Do’s bis zum Inkrafttreten des revDSG am 1. September 2023 Das totalrevidierte Datenschutzgesetz tritt am 1. September 2023 in Kraft. Mit Inkrafttreten des revidierten DSG dürften wesentliche Neuerungen auf Unternehmen zukommen. Zukünftig können auch gegen Einzelpersonen Bussen ausgesprochen werden bis zum Maximalbetrag von CHF 250’000.- wegen: Checkliste Vorbereitungshandlungen Status Quo-Erhebung (Analyse des Ist-Zustandes) und Anpassungsbedarf (Soll-Zustand) Massnahmenplan

Der Bundesrat hat an seiner Sitzung vom 31. August 2022 entschieden, dass das totalrevidierte Datenschutzgesetz nun am 1. September 2023 in Kraft tritt.

Mit Inkrafttreten des revidierten DSG dürften wesentliche Neuerungen auf Unternehmen zukommen.

Zukünftig können auch gegen Einzelpersonen Bussen ausgesprochen werden bis zum Maximalbetrag von CHF 250’000.- wegen:

  • Falscher und unvollständiger Auskunft
  • Verletzung der weiten Informationspflichten
  • Nichteinhaltung der Mindestanforderungen an die Datensicherheit
  • Unzulässiger Auslandübermittlung
  • Auftragsbearbeitung, welche nicht den gesetzlichen Vorgaben entspricht
  • Verletzung der Vertraulichkeitspflicht
  • Verletzung von Verfahrenspflichten dem EDÖB gegenüber

Was ist zu tun bis zum Inkrafttreten des revidierten DSG ? Die nachstehende Checkliste soll dabei helfen, die erforderlichen Schritte von der Analyse des Ist-Zustandes bis zur Umsetzung eines Massnahmenplanes (Soll-Zustand) rechtzeitig vorzunehmen.

 

Vorbereitungshandlungen

  • Für die Anpassungen an das neue Datenschutzgesetz die zuständige(n) Personen(en) (intern/extern) nominieren
  • Zeit- und Budget-Planung

 

Status Quo-Erhebung (Analyse des Ist-Zustandes) und Anpassungsbedarf (Soll-Zustand)

  • Verzeichnis der Bearbeitungstätigkeiten erarbeiten, sofern die Mindestschwelle von 250 Mitarbeitende erreicht wird.
  • Besonders schützenswerte Personendaten identifizieren und Rechtmässigkeit deren Bearbeitung prüfen
  • Prüfen, ob ein Profiling mit hohem Risiko vorliegt und falls ja, Rechtmässigkeit deren Bearbeitung prüfen.
  • Sicherstellung der Einhaltung der Datenschutzgrundsätze bei der Bearbeitung von Personendaten (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Datenrichtigkeit und Datensicherheit).
  • eine Datenschutz-Folgenabschätzung durchführen.
  • Bei Beizug von Externen Vereinbarung auf die datenschutzrechtliche Konformität prüfen – insbesondere mit Bezug auf das sogenannte «Vetorecht».
  • Prüfen, ob eine Übermittlung von Daten in Drittländer stattfindet und falls ja, Bestimmung der angemessenen Garantien.
  • Sicherstellen der flächendeckenden Informationspflichten (Anpassung Datenschutzerklärung, AGB’s)
  • Regelung des Sonderfalls der Informationspflicht im Falle einer automatisierten Einzelentscheidung.
  • Sicherstellung der Rechte der betroffenen Personen (Recht auf Auskunft, Löschung, Sperrung, Widerspruch, Datenportabilität etc.).
  • Umsetzung angemessener technische und organisatorische Massnahmen.
  • Implementierung der Prinzipien privacy by design/privacy by default.
  • Etablierung eines Prozesses bei Datenschutzverletzungen.
  • Bestimmen und Dokumentieren der Löschfristen.
  • Umsetzung der Löschregeln.

Massnahmenplan

  • Massnahmen festlegen
  • Zeitliche und budgetäre Planung
  • Priorisierung der Ziele
  • Massnahmen umsetzen

 

Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.  

 

 

[1] Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und Änderung weiterer Erlasse im Datenschutz.

Ihr Kontakt

Portrait Dr. iur. Michèle Balthasar