«Ich halte Datenschutz für eines der wichtigsten Themen des 21. Jahrhundert überhaupt.»
Tim Cook, CEO Apple
Datenschutz in der Schweiz
Datenschutz ist ein komplexes Thema. Big Data, Personendaten, sensible Daten, andere Handhabung bei juristischen und natürlichen Personen, Bearbeitungsverzeichnisse, Anonymisierung, Datenverarbeitung im Ausland und Cloudspeicherung sind einige der Punkte, welche direkt mit Datenschutz zusammenhängen.
Ab. 1. September 2023 gilt in der Schweiz das neue, revidierte Datenschutzgesetz (revDSG) für jedes Unternehmen, welches personenbezogene Daten verarbeitet, speichert oder auswertet. Folgende Punkte werden vom Gesetzgeber verlangt:
- Implementierung der Grundsätze Privacy by Design und Privacy by Default
- Identifizieren von besonders schützenswerten Personendaten
- Rechtmässigkeit von Datenbearbeitung prüfen
- Datenschutz Folgeabschätzung durchführen
- Ernennung Datenschutzbeauftragter
- Sicherstellung der Rechte von Betroffenen (Auskunftspflicht, Löschung, Sperrung, Richtigstellung)
- Führen eines Verzeichnisses von Bearbeitungstätigkeiten
Massnahmenübersicht
Durch die Gesetzesanpassung werden folgende Massnahmen für jedes Unternehmen notwendig:
- Datenschutzerklärungen prüfen und ändern
- Richtlinien für die Datenbearbeitung innerhalb des Unternehmens erstellen
- Ein Verzeichnis der Datenbearbeitung anlegen
- Eine Vorgehensweise für eine rasche Beantwortung der Anfragen betroffener Personen ausarbeiten
- Ein Meldeverfahren für Verletzungen des Datenschutzes einführen
- Einen Prozess für die Datenschutz-Folgenabschätzungen etablieren, die notwendig sind, wenn die Datenbearbeitung ein hohes Risiko mit sich bringt
- Verträge mit Subunternehmern analysieren, um zu prüfen, ob die Sicherheit der Daten gewährleistet ist, und entsprechende Klauseln hinzufügen
- Dafür sorgen, dass alle personenbezogenen Daten gelöscht oder anonymisiert werden
- Prüfen, in welche Länder Daten übermittelt werden, auch für eine einfache Speicherung in der Cloud
- Datensicherheit durch geeignete technische und organisatorische Massnahmen garantieren
- Die Herausgabe der Daten in einem elektronischen Format gewährleisten
- Einen Datenschutzberater oder eine Datenschutzberaterin benennen und die Kontaktdaten veröffentlichen
Dienstleistungen Datenschutz
- Information und Beratung zum neuen Datenschutzgesetz
- Handlungsbedarf definieren und Massnahmen ausarbeiten
- Evaluation und Implementierung von technischen und organisatorischen Lösungen
- Datenschutz – Audits
- Externer betrieblicher Datenschutzbeauftragter
- Schulung Mitarbeiter zu Informationssicherheit, Datenschutz und IT
- Erarbeitung unternehmenseigener Datenschutzrichtlinien
- Umsetzung betriebsinterner Datenschutz (Mitarbeiterdaten, Bewerbungsprozesse, Austrittsverfahren)
- Analyse bestehender technischer Lösungen
- Implementierung von Kryptografie bei Kommunikation und Datenspeicherung
- Backup und Notfallkonzepte
- Folgeabschätzungen