Es ist nicht mehr weit: Am 1. September 2023 tritt das revidierte Datenschutzgesetz in Kraft, was mit erhöhten Auskunfts-, Informations- und Meldepflichten einhergeht. Vom neuen Datenschutzgesetz sind alle Unternehmen betroffen, ganz unabhängig von ihrer Grösse. Denn jedes von ihnen verfügt über eine Fülle von Daten: von Kunden, von Lieferantinnen, von Geschäftspartnern und Mitarbeitenden. In der heutigen digitalisierten und von Cyberangriffen geplagten Welt verpflichten die neuen Bestimmungen Unternehmen dazu, die Datensicherheit zu gewährleisten und das Risiko des Missbrauchs von Personendaten massgeblich zu reduzieren.
Das revidierte Datenschutzgesetz gilt ab dessen Inkrafttreten am 1. September 2023; Übergangsfristen gibt es keine. Entsprechend dringlich ist der Handlungsbedarf in den nächsten Monaten für Unternehmen, die ihr Datenschutz-Konzept noch nicht an die Datenschutz-Grundverordnung der EU (DSGVO) angepasst haben, also an die EU-Standards, an denen sich das Gesetz orientiert.
Was gilt es zu tun, um die neuen Anforderungen an die Datenschutz-Compliance zu erfüllen?
Das Wichtigste vorab: Das benötigte Fachwissen rund um das Thema Datenschutz, die materiellen und personellen Ressourcen sowie die Zeit, die benötigt wird, um allen Bestimmungen nachzukommen, sind nicht zu unterschätzen.
Die 5 wichtigsten To-do's für Unternehmen
1. Bearbeitungstätigkeiten festhalten
Unter dem neuen Gesetz sind Unternehmen an erhöhte Informationspflichten gebunden. Das heisst, natürliche Personen sind über die Bearbeitung ihrer Personendaten angemessen zu informieren. Dazu gehören unter anderem Angaben wie die Identität und der Kontakt der für die Datenbearbeitung verantwortlichen Person, der Bearbeitungszweck, Empfänger der Daten, Begründung zur Datenbearbeitung sowie Informationen zur Dauer der Speicherung etc. (mehr Details finden Sie hier). Zudem müssen die sogenannten Betroffenenrechte gewahrt werden; also die Rechte der betroffenen Person gegenüber dem datenbearbeitenden Unternehmen. Das Unternehmen muss folglich im Stande sein, einer betroffenen Person Auskunft zur Bearbeitung ihrer Personendaten zu geben. Dies hat in der Regel innert 30 Tagen zu erfolgen, was in Anbetracht des hierfür allenfalls erforderlichen Aufwandes nicht viel Zeit ist.
All dies setzt voraus, dass Wissen darüber besteht, im Rahmen welcher (unternehmerischen) Prozesse und Tätigkeiten Personendaten bearbeitet werden, zu welchem Zweck dies geschieht und ob bzw. welche Daten auch im Ausland und/oder an Dritte bekanntgegeben werden. Eine umfassende Bestandsaufnahme ist unabdingbar und lässt sich wie folgt am zielführendsten umsetzen: Erstellen Sie ein Verzeichnis oder ein Inventar, in welchem jeder Prozess aufgelistet ist, bei dem Personendaten involviert sind oder bei dem diese bearbeitet werden. Versehen Sie die einzelnen Prozesse mit den wesentlichen Merkmalen und erlangen Sie so nicht nur den Überblick, sondern auch eine solide Grundlage für deren Bewertung hinsichtlich datenschutzrechtlicher Risiken. Unternehmen mit über 250 Mitarbeitenden sind verpflichtet, ein formelles Verzeichnis zu führen, das sogenannte «Register der Bearbeitungstätigkeiten». Doch auch Unternehmen unterhalb dieses Schwellenwertes sind verpflichtet, ihre Bearbeitungstätigkeiten zu kennen und die Risiken zu bewerten, weshalb auch sie defacto ein Inventar oder eine Liste führen müssen.
2. Risiken identifizieren, analysieren und bewerten
Nach erfolgter Bestandsaufnahme mittels Auflistung aller Bearbeitungsprozesse von Personendaten startet die überaus wichtige Risikoeinschätzung. Hierbei wird für jeden im Inventar aufgeführten Prozess das datenschutzrechtliche Risiko in Bezug auf die betroffenen Personen eingeschätzt. Dazu werden verschiedene potenzielle Gefahren der Bearbeitung bezüglich Eintrittswahrscheinlichkeit und Auswirkungen abgeschätzt und eine Klassifizierung vorgenommen. Vereinfacht: Je grösser die Menge von bearbeiteten Personendaten in einer Bearbeitungstätigkeit ist, je mehr Parteien involviert sind und je schützenswerter diese Daten sind, desto höher ist das Risiko. Sind im Inventar der Bearbeitungstätigkeiten bereits geeignete Merkmale der jeweiligen Bearbeitungstätigkeit aufgenommen worden, ist die Risikoeinschätzung zügig erledigt und dokumentiert.
3. Technische und organisatorische Massnahmen korrekt handhaben
In einem nächsten Schritt ist zu überprüfen, ob für die jeweilige Bearbeitungstätigkeit angemessene technische und organisatorische Massnahmen (TOM) festgelegt und implementiert sind. Es gilt: Je höher das eruierte Risiko in einer Bearbeitungstätigkeit ist, umso stärkere und umfassendere Massnahmen müssen umgesetzt werden, um das Risiko auf ein akzeptables Mass zu reduzieren. Im Rahmen der Risikoakzeptanz eines Unternehmens oder einer Organisation sind also technische Massnahmen (i.d.R. IT-Sicherheitsvorkehrungen) oder organisatorische Massnahmen (wie Weisungen und Kontrollen) festzulegen, um das Risiko zu minimieren. Ein Unternehmen oder eine Organisation ist entsprechend dazu verpflichtet, angemessene TOM zur Verhinderung von Cyberangriffen, Datendiebstahl oder anderweitigem Datenverlust festzulegen und zu implementieren. Dies erfolgt basierend auf dem beurteilten Risiko (siehe Punkt 2: Risiken identifizieren, analysieren und bewerten). Die Risikoeinschätzung ist regelmässig auf ihre Aktualität hin zu prüfen. Gleichermassen sind die TOM bei Bedarf an neue Umstände und die fortschreitende technische Entwicklung anzupassen. Wichtig ist auch zu beachten, dass die korrekte Implementierung und Effektivität der TOM regelmässig überprüft werden. Um in einem allfälligen Strafverfahren die Sorgfalt des Unternehmens (und der verantwortlichen Organe) belegen zu können, sollten die Tätigkeiten zur Minimierung der Risiken unbedingt dokumentiert werden.
4. Neuen Informationspflichten nachkommen
Führungsorgane von Unternehmen oder Organisationen, die ihren Informationspflichten bei der Beschaffung von Personendaten in Zukunft nicht genügend nachkommen, riskieren strafrechtliche Sanktionen und Bussen bis zu 250'000 Franken. Informiert werden muss insbesondere über die Identität und Kontaktdaten des Unternehmens oder der Organisation, welche die Personendaten erhebt, über den Bearbeitungszweck sowie bei Weitergabe an Dritte über die Empfänger. Werden Personendaten ins Ausland bekanntgegeben, sind die Länder sowie allenfalls zur Anwendung gelangende Garantien zur Sicherstellung eines angemessenen Schutzes der Personendaten oder die zur Anwendung gelangenden Ausnahmen mitzuteilen. Die Mitteilungen erfolgen typischerweise in Datenschutzerklärungen auf der Website, wenn sie sich an Dritte richten. Die Mitarbeitenden werden im Regelfall über Personalreglemente oder Anhänge zum Arbeitsvertrag informiert. Für spezifische Software oder Applikationen finden sich die Informationen oftmals in einer für die Applikation spezifischen Datenschutzerklärung.
5. Prozesse sicherstellen - Effektivität interner Abläufe gewährleisten
Um beispielsweise dem unter Punkt 1 (Bearbeitungstätigkeiten festhalten) erwähnten Betroffenenrecht (z.B. Auskunfts- oder Löschbegehren) nachzukommen oder um auf Datenschutzvorfälle gesetzeskonform reagieren zu können (wenn etwa Personendaten widerrechtlich verloren gehen), muss eine Vielzahl an klaren internen Prozessen reibungslos funktionieren. Es empfiehlt sich, Checklisten oder Prozessdiagramme zu erstellen. Diese geben vor, was welche Mitarbeitenden oder deren Vertretung in der jeweiligen Situation zu tun haben und innert welcher Frist die für den entsprechenden Fall definierten Aufgaben zu erledigen sind. Die folgenden (übergreifenden) Fragen können im Kontext der Sicherstellung von funktionierenden internen Abläufen behilflich sein:
- Ist das Vorgehen bei Datenschutzvorfällen klar geregelt? Sind die Verantwortlichkeiten festgelegt und gelingt es mit dem definierten internen Prozess, der Meldepflicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innerhalb von 72 Stunden nachzukommen?
- Halten Ressourcenplanung und definierte Abläufe dem Bearbeiten und Nachkommen von Auskunfts- oder Löschbegehren stand, selbst wenn eine Vielzahl Betroffener gleichzeitig danach verlangen (Frist: 30 Tage)?
- Ist bei neu implementierten IT-Systemen oder bei Änderungen in Systemen oder Softwares gewährleistet, dass geprüft wird, ob eine Datenschutz-Folgenabschätzung vorgenommen werden muss?
- Wie lautet das Vorgehen, wenn Prozesse, bei denen Personendaten bearbeitet werden, neu eingeführt oder geändert werden?
- Sind alle notwendigen Massnahmen zur Erfüllung der Informationspflichten getroffen worden (inkl. Erstellung bzw. Anpassung Datenschutzverordnung, AGB etc.) und sind die Zuständigkeiten klar geregelt?
Es ist empfehlenswert, sich bis zum Inkrafttreten des revidierten Datenschutzgesetzes an den To-do's zu orientieren und die erwähnten Massnahmen umzusetzen, um am 1. September 2023 bereit und Datenschutz-compliant zu sein.
Ist Ihr Unternehmen auf das neue Datenschutzgestz vorbereitet?
Machen Sie den Datenschutz-Test