Datenschutz-Test

Ist Ihr Unternehmen für die Anpassung des Schweizer Datenschutzgesetzes gewappnet? Mit unserem Datenschutz-Test erhalten Sie einen sofortigen Überblick.

Ist Ihr Unternehmen auf die neuen Anforderungen im Datenschutz vorbereitet?

Die Totalrevision des Schweizer Datenschutzgesetzes wurde am 25. September 2020 durch das Parlament verabschiedet.
Damit beginnt eine neue Ära für hiesige Unternehmen. Diese sollten sich daher frühzeitig auf das revidierte Recht vorbereiten. Sie sind in Zukunft verpflichtet, die Bearbeitung von Personendaten zu dokumentieren und das datenschutzrechtliche Risiko zu bewerten. Zudem sind technische und organisatorische Mindestanforderungen hinsichtlich der Datensicherheit sicherzustellen. Es gelten zukünftig erhöhte Auskunfts-, Informations- und Meldepflichten. Die Unternehmensführung ist neu persönlich und strafrechtlich dafür verantwortlich, die neuen Anforderungen einzuhalten. Bei ungenügendem Datenschutz drohen Bussen bis zu 250'000 Schweizer Franken.

Das revidierte Datenschutzgesetz enthält rund 70 Artikel – hier den Überblick zu bewahren, kostet Zeit und erfordert Expertise.

Mit Hilfe des BDO Datenschutz-Tests eruieren Sie innert weniger Minuten, wie gross Ihr Handlungsbedarf ist.

Machen Sie jetzt den Test.

  1. Datenschutz-Test
  2. Detailauswertung

Kategorie der Organisation
Hat Ihre Organisation mehr als 250 Mitarbeitende (nach Köpfen; nicht nach Vollzeitangestellten)?

Kategorie der Organisation (erforderlich)
Ja
Nein
 

Gewisse Verpflichtungen treffen nur Unternehmen mit mehr als 250 Mitarbeitenden.

Datenschutzorganisation
Wurden die Verantwortlichkeiten in Bezug auf Datenschutz innerhalb der Organisation definiert und dokumentiert? Sind die spezifischen Aufgaben in den jeweiligen Stellenprofilen oder Pflichtenheften dokumentiert? Sind entsprechende Budgets vorgesehen? Werden Führungsgremien regelmässig über die Massnahmen informiert?

Datenschutzorganisation
Ja
Grösstenteils
Teilweise
Nein
 

Oberstes Organ ist z.B. in einer Aktiengesellschaft der Verwaltungsrat (VR). Die VR-Mitglieder tragen die Verantwortung für einen genügenden Datenschutz. Sie können sich in dieser Aufgabe etwas entlasten, indem sie den Datenschutz delegieren, die beauftragte Person mit genügend Ressourcen ausstatten und sicherstellen, dass diese Person fachkundig und unabhängig ist. Zudem hat sich das oberste Organ regelmässig über den Status der Umsetzung berichten zu lassen und über empfohlene Massnahmen im Datenschutz zu entscheiden. Die Umsetzung der Entscheide ist zu überprüfen und die Datenschutzorganisation kontinuierlich zu verbessern. Die Dokumentation ist entscheidend, um sich später entlasten zu können.

Verfahrensverzeichnis
Verfügen Sie über ein aktuelles Verzeichnis aller Bearbeitungstätigkeiten, d.h. ein Inventar der Verfahren, Prozesse und Systeme in Ihrem Unternehmen, mit welchen Personendaten bearbeitet oder gespeichert werden?

Verfahrensverzeichnis (erforderlich)
Ja
Grösstenteils
Teilweise
Nein
 

Das Verfahrensverzeichnis ist Ihr Inventar der Verfahren/Prozesse, mit welchen Personendaten in Ihrem Unternehmen bearbeitet werden. Das Verfahrensverzeichnis ist ein wichtiges Hilfsmittel in der Datenschutzorganisation und Grundlage, um verschiedene notwendige Massnahmen zu planen. 

Bei Organisationen mit weniger als 250 Mitarbeitenden kann es Ausnahmen von der Verpflichtung geben, ein formelles Verfahrensverzeichnis zu führen. Dennoch haben Sie die Pflicht, einen Überblick über die von Ihrem Unternehmen bearbeiteten Personendaten zu haben.

Wir empfehlen dringend, in jedem Fall zeitnah ein Verfahrensverzeichnis zu erstellen, um daraus frühzeitig und vor Inkrafttreten des neuen Datenschutzgesetzes die nötigen Massnahem ableiten und einleiten zu können.

Inhalte Verfahrensverzeichis
Sind die neuen Anforderungen im Verfahrensverzeichnis bereits berücksichtigt; sind insbesondere die sieben zwingenden Angaben enthalten?

Inhalte Verfahrensverzeichnis (erforderlich)
Ja
Grössetnteils
Teilweise
Nein
 

Mindestangaben pro Verfahren gemäss Schweizer Gesetz:

a) Identität des Verantwortlichen
b) Bearbeitungszweck
c) Kategorien betroffener Personen und bearbeiteter Personendaten
d) Kategorien der Empfänger
e) Aufbewahrungsdauer
f) Massnahmen der Datensicherheit
g) Garantien bei Transfer in unsichere Drittstaaten und die Nennung der Staaten

Risikobewertung
Wurde jedes Verfahren mittels einer Risikoabschätzung bewertet und das Resultat dokumentiert?

Risikobewertung (erforderlich)
Ja
Grösstenteils
Teilweise
Nein
 

Das konkrete Risiko ist in einer Abschätzung von Eintrittswahrscheinlichkeit und Auswirkungen basierend auf geeigneten Kriterien nachvollziehbar und dokumentiert festzulegen.

Technische und organisatorische Massnahmen
Sind dem Risiko angemessene technische und organisatorische Massnahmen festgelegt und dokumentiert worden?

Technische und organisatorische Massnahmen (erforderlich)
Ja
Grösstenteils
Teilweise
Nein
 

Die technischen und organisatorischen Massnahmen (TOM) haben eine dem Risiko angemessene Datensicherheit zu gewährleisten, insbesondere die Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität der Personendaten.

Die Massnahmen sind für die geforderten Bereiche zu dokumentieren, darunter fallen beispielsweise:

  • physische Zugangskontrolle
  • logische Zugangskontrolle
  • Verschlüsselung/Pseudonomysierung
  • Datensicherung
  • etc.

Vertragliche Regelung der Bearbeitung durch Auftragsbearbeiter (Service Provider)
Ist bei allen Verfahren, bei welchen Dritte (Service Provider) Personendaten im Auftrag Ihres Unternehmens bearbeiten oder auf die Daten Zugriff haben, eine Vereinbarung abgeschlossen worden, die den rechtlichen Vorgaben entspricht?

Bearbeitungsvereinbarungen mit Sevive Providern (erforderlich)
Ja
Grösstenteils
Teilweise
Nein
 

Geben Sie Dritten Zugriff auf die Personendaten Ihres Unternehmens – sei es auch nur potenziell - sind Sie verpflichtet, den Umgang mit den Personendaten durch den Dritten vertraglich zu regeln (soweit Sie keine gesetzliche Pflicht zur Weitergabe haben). Die Vereinbarung muss zwingend gewisse Mindestregelungen enthalten und regelt sinnvollerweise noch einige weitere Punkte im Bereich Datenschutz/Datensicherheit.

Meldung von Datenschutzvorfällen
Besteht eine effiziente Organisation, welche Verletzungen der Datensicherheit (Datenschutzvorfälle) erkennt und die Meldung von Verletzungen so rasch als möglich (im Normalfall innert rund 72 Stunden) sicherstellt?

Meldung von Datenschutz-Vorfällen (erforderlich)
Ja
Grösstenteils
Teilweise
Nein
 

Ein Datenschutzvorfall ist eine Verletzung der Sicherheit, die ungeachtet der Absicht oder der Widerrechtlichkeit dazu führt, dass Personendaten verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden.

Ist die fristgerechte und vollständige Beantwortung von Auskunftsbegehren von Datensubjekten sichergestellt?

Beantwortung von Auskunftsbegehren (erforderlich)
Ja
Grösstenteils
Teilweise
Nein
 

Jede Person kann vom Verantwortlichen kostenlos Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Die anfragende Person hat ein Anrecht darauf, vollständig und in der Regel innert 30 Tagen, Auskunft zu erhalten.

Die Mitarbeitenden wurden stufengerecht im Datenschutz geschult und eine Ausbildungskontrolle wird geführt.

Schulung (erforderlich)
Ja
Grösstenteils
Teilweise
Nein
 

Mitarbeitenden sind stufengerecht durch den Arbeitgebenden in deren Aufgaben und Verpflichtungen im Zusammenhang mit dem Datenschutz zu schulen und die Abläufe (z.B. bei Datenschutz-Vorfällen) sind zu erläutern.

Sind die Fristen für die Löschung von Datenkategorien festgelegt und dokumentiert?

Löschung von Datenkategorien (erforderlich)
Ja
Grösstenteils
Teilweise
Nein
 

Für die bearbeiteten Personendaten ist (i) der Beginn der Aufbewahrungsfrist und (ii) die Dauer der Aufbewahrungsfrist festzulegen.

Garantien für Datentransfer in Drittländer

Datentransfer (erforderlich)
Ja
Grösstenteils
Teilweise
Nein
 

Werden Personendaten in Länder ohne gleichwertiges Datenschutzniveau bekanntgegeben, so sind geeignete Garantien vorzusehen.

Ihr persönlicher Datenschutz-Report als PDF-Download

Wünschen Sie mehr Details? Laden Sie kostenlos einen ausführlicheren Report zu Ihren Auswertungsergebnissen als PDF herunter: