Mit der Einführung des neuen Datenschutzgesetzes verlangt der Gesetzgeber von allen Unternehmen, welche regelmässig Personendaten sammeln, verarbeiten und archivieren ein wirkungsvolles Management mit nachvollziehbaren Prozessen über den Umgang mit personenbezogenen Daten.
Nicht jedes Unternehmen verarbeitet in gleichem Masse Personendaten. Aber jedes Unternehmen verarbeitet sie. Zu diesen gehören Kundendaten auf Excel-Listen oder im CRM, Mitarbeitende- oder Bewerberdaten, Lieferanten- und Outsourcing-Partner usw. Die Daten sind häufig an verschiedenen Orten gespeichert und es ist nicht immer klar, ob sie auch sicher verwahrt sind.
Das heisst, auch ein kleines Unternehmen muss diese Prozesse rechtlich, organisatorisch und technisch sicherstellen. Zusätzlich müssen diese Bemühungen dokumentiert werden. Wie kann das am einfachsten und effizientesten umgesetzt werden?
Neben der zentralen Fragestellung, wer verarbeitet welche Daten und speichert diese wo mit welchen Sicherheitsmassnahmen, müssen folgende Anforderungen und Dokumentationen im neuen Datenschutzgesetz vermehrt erfüllt werden:
- Erstellen eines Datenverarbeitungsverzeichnisses
- Prüfen und Erstellen Auftragsdatenverarbeitungsverträge
- Prozesse und Antwortschreiben für Datenauskunftsbegehren
- «Plan B» falls eine Datenpanne passiert
- Datenschutz-Unterweisungen für Mitarbeitende
- Aktuelle Datenschutzerklärung auf der Website
Je nach Grösse und Branche des Unternehmens, können die Massnahmen «schlanker» oder umfassender umgesetzt werden. Die vielen Themen können im ersten Moment abschrecken und mit der Menge an Massnahmen scheint ein grosser Aufwand für die Umsetzung verbunden zu sein.
Damit sich der Aufwand – speziell für kleine Unternehmen – im Rahmen hält, ist ein Einfaches auf die Bedürfnisse des jeweiligen Unternehmens anpassbares Vorgehen (inkl. Excel-Tool) in Form eines Projektes anzuraten. Damit werden die vorstehenden Massnahmen angemessen umgesetzt und dokumentiert.
1. Erstellen eines Verzeichnisses über die Verarbeitungstätigkeiten
Dies ist ein zentraler Teil der Dokumentationspflichten und bildet die Basis für weitere Datenschutzaktivitäten. Erhoben und festgehalten werden Zweck, betroffene Personengruppen, Beschreibung und Rechtsgrundlage der Datenverarbeitung, Löschfristen.
2. Überprüfen und Abschliessen von Auftragsdatenverarbeitungsverträgen
Sofern ein Unternehmen personenbezogene Daten durch Dritte bearbeiten lässt (z.B. Webhosting, Cloud-Speicher, Google Analytics etc.), muss es mit diesen Dritten grundsätzlich Verträge zur Auftragsverarbeitung abschliessen und verpflichten die bearbeiteten Daten angemessen zu schützen.
3. Implementierung technischer und organisatorischer Massnahmen (TOM)
Unternehmen sind verpflichtet, geeignete technische und organisatorische Massnahmen zu treffen, um die Sicherheit der Verarbeitung personenbezogener Daten angemessen nach dem aktuellen Stand der Technik zu gewährleisten. Diese Massnahmen sind Bestandteil der Auftragsdatenverarbeitungsverträge mit Dritten.
4. Vorgehen bei der Gewährung von Betroffenenrechten
Machen betroffene Personen ihre Betroffenenrechte gegenüber dem Unternehmen geltend, ist diesen Anfragen innert gesetzlichen Fristen und vollständig nachzukommen. Die Fest-legung eines Standardvorgehens pro Betroffenenrecht ist zwingend notwendig. Personen-daten dürfen nur so lange gespeichert werden, wie sie für die definierten Zwecke benötigt werden, wobei natürlich gesetzliche Aufbewahrungsfristen einzuhalten sind.
5. Festlegen des Vorgehens bei Datenschutzverletzungen
Sofern es im Rahmen der Bearbeitung von personenbezogenen Daten zu Datenschutzver-letzungen kommt, müssen diese der zuständigen Aufsichtsbehörde und unter Umständen auch den betroffenen Personen gemeldet werden. Ein Standardvorgehen (Plan B) bei Datenschutzverletzungen sollte in der Schublade liegen.
6. Datenschutz-Folgenabschätzung (DSFA)
Wenn im Rahmen einer beabsichtigten Datenverarbeitung ein hohes Risiko für die Freiheit und Rechte der betroffenen natürlichen Person zu erwarten ist, ist eine DSFA durchzuführen. Geplante Abhilfemassnahmen zur Bewältigung der Risiken.
7. Datenschutzkonforme Unternehmenswebsite + Datenschutzerklärung
Die Unternehmenswebseite muss datenschutzkonform ausgestaltet sein. Dazu zählt das Bereitstellen einer Datenschutzerklärung auf der Unternehmenswebsite, Verschlüsselung der Webseite mittels TSL/SSL und eine Umsetzung des Double-Opt-in-Verfahrens beim Einsatz von Newslettern.
8. Erstellen einer Erklärung zur Datenschutz-Governance
Nicht zu verwechseln mit der Datenschutzerklärung auf der Website. Alle Mitarbeitenden und externen Datenverarbeiter sollen verständlich über die Politik und den Umgang mit Personendaten im Unternehmen informiert werden und diesen zustimmen. Mit dieser Erklärung wird ein wichtiger Teil der Dokumentationspflichten bei kleinen Firmen erfüllt.
Der Aufwand für die Erstellung der Datenschutz-Compliance ist natürlich auch abhängig davon, wie wichtig der Umgang mit Personendaten für das Unternehmen ist. Ein datengetriebenes Marketing- und Verkaufsverhalten oder ein Beratungsunternehmen mit persönlichen oder gar medizinischen Dienstleistungen hat ein höheres Risiko für eine Datenschutzverletzung. Suchen Sie sich dafür einen Projektpartner, der die Herausforderungen in vielen Branchenfeldern kennt, praxiserprobte Standards individuelle anpassen und so Zeit und Ressourcen optimal einsetzen kann.
datenschutzhilfe «wir machen Datenschutz KMU-verträglich» unterstützt Sie gerne im Projekt!