Neues Datenschutzgesetz: Sind Sie bereit?
Am 1. September ist es so weit: Das neue Datenschutzgesetz (DSG) tritt in Kraft. Neuerungen treffen Unternehmen direkt und bei einer Missachtung drohen Sanktionen. Mit dieser Checkliste stellen Sie Schritt für Schritt sicher, dass Ihr Unternehmen die neuen Regeln korrekt implementiert hat.
1. Datenschutzerklärung und Personalreglement überprüfen
Bei der Beschaffung von Personendaten müssen Unternehmen Betroffene angemessen über den Vorgang informieren. Die benötigten Informationen werden normalerweise in die Datenschutzerklärung auf der Unternehmenswebseite aufgenommen. Wenn sie Personendaten der Mitarbeitenden betreffen, ist dies im Personalreglement aufzuführen. Folgendes müssen Sie offenlegen:
- Die Identität und Adresse des Unternehmens;
- den Bearbeitungszweck;
- falls die Daten an Dritte gehen: die Empfängerinnen und Empfänger, denen Personendaten bekannt gegeben werden oder deren Kategorien;
- falls die Daten nicht bei der betroffenen Person beschafft wurden: die Kategorien der bearbeiteten Personendaten;
- falls Daten ins Ausland gelangen: der Empfängerstaat sowie die Garantien, dass die betroffenen Personendaten nach der Übermittlung geschützt bleiben.
Die Datenbearbeitung ist nach dem DSG unzulässig, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch das Gesetz gerechtfertigt ist.
2. Erfüllung der Auskunftspflicht gewährleisten
Nach dem revidierten DSG kann jede Person Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Nach Eingang einer Anfrage muss innert 30 Tagen eine Auskunft erfolgen. Neben den unter Punkt 1 aufgeführten Informationen ist zudem auskunftspflichtig, welche Personendaten bearbeitet und wie lange diese aufbewahrt werden. Vor der Herausgabe müssen die Informationen gesichtet werden, um sicherzustellen, dass durch die Auskunft keine Rechte Dritter verletzt werden.
3. Bearbeitungsverzeichnis führen
Erstellen Sie ein aktuelles Verzeichnis aller Bearbeitungstätigkeiten beziehungsweise ein Inventar der Verfahren, Prozesse und Systeme im Unternehmen. So bewahren Sie den Überblick über Ihre Daten und können den Nachweis leisten, dass die notwendigen Überlegungen zum Datenschutz angestellt wurden. Bei Unternehmen ab 250 Mitarbeitenden ist ein Inventar zwingend.
4. Den Datenaustausch mit Dritten regeln
Basierend auf dem Inventar können Sie kontrollieren, ob mit allen Auftragsbearbeitenden (z. B. IT-Service-Provider, Berater) ausreichende Regelungen über den Datenaustausch bestehen oder ob Sie nachbessern müssen.
5. Garantien für den Datentransfer ins Ausland vereinbaren
Wie bereits unter Punkt 1 aufgeführt, müssen Sie die Garantien für den Transfer von Personendaten ins Ausland dokumentieren. An Staaten, bei denen kein angemessenes Datenschutzniveau gewährleistet ist, dürfen Informationen nur bekannt gegeben werden, wenn angemessene Garantien vorhanden sind. Dies können etwa Datenschutzklauseln in einem Vertrag zwischen den verantwortlichen Datenbearbeitenden sein.
6. Datenschutz-Vorfälle richtig behandeln
Das neue DSG sieht vor, dass Verletzungen der Datensicherheit schnellstmöglich dem EDÖB gemeldet werden. Ihr Unternehmen muss so aufgebaut sein, dass die Meldung möglichst innerhalb von 72 Stunden erfolgen kann. Das erfordert eine entsprechende Schulung der Mitarbeitenden.
7. Löschungsfristen festlegen
Gemäss dem DSG dürfen Personendaten nur so lange aufbewahrt werden, wie ein rechtmässiger Zweck für die Bearbeitung besteht. Es muss daher für jedes Datenpaket der Beginn der Aufbewahrungsfrist und die Dauer definiert werden.