Seite wählen

To Do’s bis zum Inkrafttreten des revDSG ?

Jun 1, 2021

Am 25. September 2020 haben im Parlament beide Räte dem Entwurf zur Totalrevision des Datenschutzgesetzes (DSG) zugestimmt.[1] Die Referdungsfrist ist unbenutzt abgelaufen. In einem nächsten Schritt werden nun die Verordnungen ausgearbeitet und in die Vernehmlassung geschickt. Was ist zu tun bis zum Inkrafttreten des revidierten DSG ?

Mit Inkrafttreten des revidierten DSG dürften wesentliche Neuerungen auf Unternehmen zukommen.

Zukünftig können auch gegen Einzelpersonen Bussen ausgesprochen werden bis zum Maximalbetrag von CHF 250’000.- wegen:

  • Falscher und unvollständiger Auskunft
  • Verletzung der weiten Informationspflichten
  • Nichteinhaltung der Mindestanforderungen an die Datensicherheit
  • Unzulässiger Auslandübermittlung
  • Auftragsbearbeitung, welche nicht den gesetzlichen Vorgaben entspricht
  • Verletzung der Vertraulichkeitspflicht
  • Verletzung von Verfahrenspflichten dem EDÖB gegenüber

Was ist zu tun bis zum Inkrafttreten des revidierten DSG ? Die nachstehende Checkliste soll dabei helfen, die erforderlichen Schritte von der Analyse des Ist-Zustandes bis zur Umsetzung eines Massnahmenplanes (Soll-Zustand) rechtzeitig zu setzen.

 

Vorbereitungshandlungen

  • Für die Anpassungen an das neue Datenschutzgesetz die zuständige(n) Personen(en) (intern/extern) nominieren
  • Zeit- und Budget-Planung

 

Status Quo-Erhebung (Analyse des Ist-Zustandes) und Anpassungsbedarf (Soll-Zustand)

  • Verzeichnis der Bearbeitungstätigkeiten erarbeiten, sofern die Mindestschwelle von 250 Mitarbeitende erreicht wird.
  • Besonders schützenswerte Personendaten identifizieren und Rechtmässigkeit deren Bearbeitung prüfen
  • Prüfen, ob ein Profiling mit hohem Risiko vorliegt und falls ja, Rechtmässigkeit deren Bearbeitung prüfen.
  • Sicherstellung der Einhaltung der Datenschutzgrundsätze bei der Bearbeitung von Personendaten (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Datenrichtigkeit und Datensicherheit).
  • eine Datenschutz-Folgenabschätzung durchführen.
  • Bei Beizug von Externen Vereinbarung auf die datenschutzrechtliche Konformität prüfen – insbesondere mit Bezug auf das sogenannte «Vetorecht».
  • Prüfen, ob eine Übermittlung von Daten in Drittländer stattfindet und falls ja, Bestimmung der angemessenen Garantien.
  • Sicherstellen der flächendeckenden Informationspflichten (Anpassung Datenschutzerklärung, AGB’s)
  • Regelung des Sonderfalls der Informationspflicht im Falle einer automatisierten Einzelentscheidung.
  • Sicherstellung der Rechte der betroffenen Personen (Recht auf Auskunft, Löschung, Sperrung, Widerspruch, Datenportabilität etc.).
  • Umsetzung angemessener technische und organisatorische Massnahmen.
  • Implementierung der Prinzipien privacy by design/privacy by default.
  • Etablierung eines Prozesses bei Datenschutzverletzungen.
  • Bestimmen und Dokumentieren der Löschfristen.
  • Umsetzung der Löschregeln.

Massnahmenplan

  • Massnahmen festlegen
  • Zeitliche und budgetäre Planung
  • Priorisierung der Ziele
  • Massnahmen umsetzen

 

[1] Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und Änderung weiterer Erlasse im Datenschutz.