Jetzt wurde es bestätigt: Das revidierte Datenschutzgesetz soll per 1. September 2023 in Kraft treten. Bis zu diesem Datum sollte Dein Unternehmen die Anforderungen des neuen Datenschutzgesetzes umgesetzt haben.In diesem Beitrag informieren wir Dich über die wichtigsten Umsetzungsmassnahmen für Dein Unternehmen.
Was sind die wichtigsten Neuerungen?
Das neue Datenschutzgesetz soll den veränderten technologischen sowie gesellschaftlichen Verhältnissen angeglichen werden. Im Fokus stehen dabei die erhöhte Transparenz bei Datenbearbeitungen und die gesteigerte Selbstbestimmung betroffener Personen.
Das revDSG beinhaltet die folgenden wichtigsten Neuerungen:
Generelle Transparenzpflichten
Im Rahmen der Transparenzpflichten müssen Unternehmen ihre Mitarbeitenden über die Bearbeitung von Personendaten informieren (Art. 19 revDSG).
Bussen bei der Verletzung von Informations-, Auskunfts- und Sorgfaltspflichten
Die Bussen für vorsätzliche Verletzungen belaufen sich je nach Art der Verfehlung auf bis zu CHF 250`000.00 (vgl. Art. 60 ff. revDSG).
Strengere Regeln zum Ausland-Transfer von Personendaten
Dokumentationspflichten, insbesondere bei risikoreichen Vorhaben
Die Dokumentationspflicht beinhaltet insbesondere die Pflicht, dass Du über Deine Datenbearbeitungstätigkeit ein Verzeichnis führst (vgl. dazu ausführlich den Beitrag: Erläuterungen zur Checkliste Datenschutzcompliance).
Übersicht verschaffen: Zuerst musst Du wissen, welche Personendaten Du bearbeitest, von wo Du sie hast und wo Du sie speicherst. Dies hilft Dir dabei, auf ein Auskunfts- oder Löschgesuch einer Person zu reagieren, da Du stets weisst, von wem Du welche Daten wo hast.
a) Welche Kategorie von Personendaten bearbeitest Du?
b) Von wo oder wem erhältst Du diese Daten?
c) Wo und wie speicherst Du diese Daten?
d) Wem gibst Du wie Zugriff auf diese Daten?
e) An welche Dritte gibst Du diese Daten weiter?
f) Wann archivierst und löschst Du diese Daten?
Risiken eruieren: Du kannst Dich hierfür unter anderem an den Schutzzielen der Datenschutzverordnung orientieren (Vertraulichkeit, Datenintegrität, Datenverfügbarkeit etc.).
Beispiele: Je nach Speicherort kann ein Risiko das Abhandenkommen von Personendaten sein. Haben zu viele Personen Zugriff auf heikle Daten, ist das Risiko der potentielle Missbrauch von Personendaten.
Weisst Du nicht, welche Daten Du wo hast, kannst Du auch keine umfassende Auskunft erteilen, wenn sich eine betroffene Person meldet. Das Risiko ist dann die Busse, die Dir wegen der in Kauf genommenen, mangelhaften Auskunft droht.
Massnahmen implementieren: Überlege Dir, welche Massnahmen am effektivsten sind, um die eruierten Risiken zu minimieren. Das kann beispielsweise die Implementation eines Berechtigungs- und Rollenkonzepts oder das Führen eines Bearbeitungsverzeichnisses sein.
Risiken und Massnahmen dokumentieren: Dokumentiere, welche Risiken bestehen und mit welcher Massnahme dem entsprechenden Risiko begegnet wird.
Ein Beispiel dazu: Risiko: Deine Mitarbeitenden benutzen im Homeoffice private Geräte, welche nicht über ausreichenden Schutz verfügen.
Massnahme: Du stellst Deinen Mitarbeitenden Firmengeräte zur Verfügung und dokumentierst dies in einem Geschäftsleitungsbeschluss.
Mitarbeitende (immer wieder) sensibilisieren: Die Mitarbeitenden (aber auch die Geschäftsleitung) müssen die Risiken kennen und die neuen Massnahmen und Prozesse mittragen.
Merke: Datenschutz beginnt immer mit den einfachsten Sicherheitsvorgaben wie bspw. Passwortschutz.
Betroffene informieren: Betroffene Personen müssen darüber informiert werden, was mit ihren Daten geschieht und warum, soweit es nicht offensichtlich ist.
a) Wer ist für den Datenschutz verantwortlich?
b) Zuwelchem Zweck werden Daten erhoben/bearbeitet?