Der Bundesrat hat an seiner Sitzung vom 31. August 2022 entschieden, dass das totalrevidierte Datenschutzgesetz nun am 1. September 2023 in Kraft tritt.
Mit Inkrafttreten des revidierten DSG dürften wesentliche Neuerungen auf Unternehmen zukommen.
Zukünftig können auch gegen Einzelpersonen Bussen ausgesprochen werden bis zum Maximalbetrag von CHF 250’000.- wegen:
- Falscher und unvollständiger Auskunft
- Verletzung der weiten Informationspflichten
- Nichteinhaltung der Mindestanforderungen an die Datensicherheit
- Unzulässiger Auslandübermittlung
- Auftragsbearbeitung, welche nicht den gesetzlichen Vorgaben entspricht
- Verletzung der Vertraulichkeitspflicht
- Verletzung von Verfahrenspflichten dem EDÖB gegenüber
Was ist zu tun bis zum Inkrafttreten des revidierten DSG ? Die nachstehende Checkliste soll dabei helfen, die erforderlichen Schritte von der Analyse des Ist-Zustandes bis zur Umsetzung eines Massnahmenplanes (Soll-Zustand) rechtzeitig vorzunehmen.
Vorbereitungshandlungen
- Für die Anpassungen an das neue Datenschutzgesetz die zuständige(n) Personen(en) (intern/extern) nominieren
- Zeit- und Budget-Planung
Status Quo-Erhebung (Analyse des Ist-Zustandes) und Anpassungsbedarf (Soll-Zustand)
- Verzeichnis der Bearbeitungstätigkeiten erarbeiten, sofern die Mindestschwelle von 250 Mitarbeitende erreicht wird.
- Besonders schützenswerte Personendaten identifizieren und Rechtmässigkeit deren Bearbeitung prüfen
- Prüfen, ob ein Profiling mit hohem Risiko vorliegt und falls ja, Rechtmässigkeit deren Bearbeitung prüfen.
- Sicherstellung der Einhaltung der Datenschutzgrundsätze bei der Bearbeitung von Personendaten (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Datenrichtigkeit und Datensicherheit).
- eine Datenschutz-Folgenabschätzung durchführen.
- Bei Beizug von Externen Vereinbarung auf die datenschutzrechtliche Konformität prüfen – insbesondere mit Bezug auf das sogenannte «Vetorecht».
- Prüfen, ob eine Übermittlung von Daten in Drittländer stattfindet und falls ja, Bestimmung der angemessenen Garantien.
- Sicherstellen der flächendeckenden Informationspflichten (Anpassung Datenschutzerklärung, AGB’s)
- Regelung des Sonderfalls der Informationspflicht im Falle einer automatisierten Einzelentscheidung.
- Sicherstellung der Rechte der betroffenen Personen (Recht auf Auskunft, Löschung, Sperrung, Widerspruch, Datenportabilität etc.).
- Umsetzung angemessener technische und organisatorische Massnahmen.
- Implementierung der Prinzipien privacy by design/privacy by default.
- Etablierung eines Prozesses bei Datenschutzverletzungen.
- Bestimmen und Dokumentieren der Löschfristen.
- Umsetzung der Löschregeln.
Massnahmenplan
- Massnahmen festlegen
- Zeitliche und budgetäre Planung
- Priorisierung der Ziele
- Massnahmen umsetzen
Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.
[1] Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und Änderung weiterer Erlasse im Datenschutz.