Nicht jedes Unternehmen verfügt in gleichem Masse über Personendaten. Aber jedes Unternehmen verarbeitet sie in irgendeiner Weise. Kundendaten auf Excel-Listen oder im CRM, Mitarbeitende- oder Bewerberdaten, Lieferanten- und Outsourcing-Partner usw. und vor allem sind die Daten häufig an verschiedenen Orten gespeichert und nicht immer klar, ob sie auch sicher verwahrt sind. Klar ist, auch ein kleines Unternehmen muss diese Prozesse rechtlich, organisatorisch und technisch sicherstellen. Zusätzlich sollen diese Bemühungen dokumentiert werden. Wie kann das am einfachsten und effizientesten umgesetzt werden? Neben der zentralen Fragestellung, wer verarbeitet welche Daten und speichert diese wo mit welchen Sicherheitsmassnahmen, müssen weitere Anforderungen und Dokumentationen im neuen Datenschutzgesetz vermehrt erfüllt werden:
- Verzeichnisses über die Verarbeitungstätigkeiten
Dies ist ein zentraler Teil der Dokumentationspflichten und bildet die Basis für weitere Datenschutzaktivitäten. Erhoben und festgehalten werden Zweck, betroffene Personengruppen, Beschreibung und Rechtsgrundlage der Datenverarbeitung inkl. Löschfristen.
- Überprüfen und Abschliessen von Auftragsdatenverarbeitungsverträgen
Sofern ein Unternehmen personenbezogene Daten durch Dritte bearbeiten lässt (z.B. Webhosting, Cloud-Speicher, Google Analytics etc.), muss es mit diesen Dritten grundsätzlich Verträge zur Auftragsverarbeitung abschliessen und verpflichten die bearbeiteten Daten angemessen zu schützen.
- Implementierung technischer und organisatorischer Massnahmen (TOM)
Unternehmen sind verpflichtet, geeignete technische und organisatorische Massnahmen zu treffen, um die Sicherheit der Verarbeitung personenbezogener Daten angemessen nach dem aktuellen Stand der Technik zu gewährleisten. Diese Massnahmen sind Bestandteil der Auftragsdatenverarbeitungsverträge mit Dritten.
- Vorgehen bei der Gewährung von Betroffenenrechten
Machen betroffene Personen ihre Betroffenenrechte gegenüber dem Unternehmen geltend, ist diesen Anfragen innert gesetzlichen Fristen und vollständig nachzukommen. Die Fest-legung eines Standardvorgehens pro Betroffenenrecht ist zwingend notwendig. Personen-daten dürfen nur so lange gespeichert werden, wie sie für die definierten Zwecke benötigt werden, wobei natürlich gesetzliche Aufbewahrungsfristen einzuhalten sind.
- Festlegen des Vorgehens bei Datenschutzverletzungen
Sofern es im Rahmen der Bearbeitung von personenbezogenen Daten zu Datenschutzverletzungen kommt, müssen diese der zuständigen Aufsichtsbehörde und unter Umständen auch den betroffenen Personen gemeldet werden. Ein Standardvorgehen (Plan B) bei Datenschutzverletzungen sollte in der Schublade liegen.
- Datenschutz-Folgenabschätzung (DSFA)
Wenn im Rahmen einer beabsichtigten Datenverarbeitung ein hohes Risiko für die Freiheit und Rechte der betroffenen natürlichen Person zu erwarten ist, ist eine DSFA durchzuführen. Geplante Abhilfemassnahmen zur Bewältigung der Risiken.
- Datenschutzkonforme Unternehmenswebsite + Datenschutzerklärung
Die Unternehmenswebseite muss datenschutzkonform ausgestaltet sein. Dazu zählt das Bereitstellen einer Datenschutzerklärung auf der Unternehmenswebsite, Verschlüsselung der Webseite mittels TSL/SSL und eine Umsetzung des Double-Opt-in-Verfahrens beim Einsatz von Newslettern.
- Erstellen einer Erklärung zur Datenschutz-Governance
Nicht zu verwechseln mit der Datenschutzerklärung auf der Website. Alle Mitarbeitenden und externen Datenverarbeiter sollen verständlich über die Politik und den Umgang mit Personendaten im Unternehmen informiert werden und diesen zustimmen. Mit dieser Erklärung wird ein wichtiger Teil der Dokumentationspflichten bei kleinen Firmen erfüllt. Dieses «Management Summary» des gesamten Datenschutz Projektes ist eine exklusive Dienstleistung der datenschutzhilfe.
Je nach Grösse und Branchenzugehörigkeit des Unternehmens, können die einzuleitenden Massnahmen «schlanker» oder umfassender umgesetzt werden. Die vielen Themenbereiche können im ersten Moment in ihrer Komplexität abschrecken und mit der Menge an Themenbereiche scheint ein grosser Aufwand für die Umsetzung verbunden zu sein. Damit sich der Aufwand – speziell für kleine Unternehmen – im Rahmen hält, ist ein einfaches auf die Bedürfnisse des jeweiligen Unternehmens anpassbares Vorgehen (inkl. Excel-Tool) in Form eines Projektes empfehlenswert. Damit wird angemessen umgesetzt und dokumentiert.
Der Aufwand für die Erstellung der Datenschutz-Compliance ist natürlich auch abhängig davon, wie wichtig der Umgang mit Personendaten für das Unternehmen ist. Ein datengetriebenes Marketing- und Verkaufsverhalten oder ein Beratungsunternehmen mit persönlichen oder gar medizinischen Dienstleistungen hat ein höheres Risiko bei einer Datenschutzverletzung.
Suchen Sie sich deshalb einen Projektpartner, der die Herausforderungen in vielen Branchenfeldern kennt, praxiserprobte Standards individuell anpassen kann und so Zeit und Ressourcen zum Vorteil des Unternehmens optimal einsetzt.
datenschutzhilfe «wir machen Datenschutz KMU-verträglich»
Telefon: 071 393 73 66
Email: info@datenschutzhilfe.ch
Website: www.datenschutzhilfe.ch