Im heutigen Newsletter informieren wir über die wichtigsten Neuerungen dieses revidierten Datenschutzgesetzes. Weitere Artikel zu jeweils ausgewählten Punkten und ihren Auswirkungen auf die Unternehmen werden folgen.
Obwohl das Datenschutzgesetz total revidiert worden ist, bleibt es im Grundprinzip unverändert, was die Art und Weise betrifft, wie Unternehmen ihre Personendaten bearbeiten müssen.
Was sich mit dem revidierten Gesetz ändert
Was anders wird: In Zukunft sind Datenbearbeitungsinventare zu führen, es besteht eine Meldepflicht bei Datenverlusten sowie anderen Sicherheitsverstössen und es besteht die Pflicht zur Vornahme von Datenschutz-Folgenabschätzungen bei heiklen Datenbearbeitungen. Unternehmen, welche in der Vergangenheit diese aus der DSGVO bekannten Bestimmungen bereits umgesetzt haben, können zum Beispiel die bestehenden Datenbearbeitungsinventare wie auch die ebenfalls bestehenden Datenschutz-Folgeabschätzungen übernehmen.
Im neuen Datenschutzgesetz sind zudem die Informationspflichten ausgebaut worden. Dies bedeutet in der Praxis, dass Unternehmen eine Datenschutzerklärung haben müssen. Darin ist aufzuzeigen, welche Daten beschafft und wie diese den betroffenen Personen zugänglich gemacht werden. Neu sind in der Datenschutzerklärung auch die Länder zu nennen, in welchen Daten bearbeitet werden und die gesetzlichen Bestimmungen, auf welche diese Datenbearbeitung abgestützt ist.
Abschliessend gilt es zu beachten, dass sich der Bussenkatalog um einiges verschärft hat. Bisher konnte die Verletzung der Informationspflicht, der Auskunftspflicht und die Pflicht zur Zusammenarbeit mit dem EDÖB sanktioniert werden. Neu kann nun auch die Verletzung der Bestimmungen zum Datenexport, die nicht konforme Beauftragung von Auftragsbearbeitern und die Verletzungen der Massnahmen zur Datensicherheit mit einer Busse bestraft werden.
Empfehlungen für das Vorgehen
Was kommt nun mit dem revidierten Datenschutzgesetz auf die Unternehmen zu? Unternehmen welche sich bereits den Anforderungen der DSGVO angepasst haben, werden keinen grossen Zusatzaufwand betreiben müssen. In den anderen Unternehmen sind die entsprechenden Anpassungen und Prozesse in die Wege zu leiten. Obwohl ausreichend Zeit hierzu besteht, empfehlen wir, dies zeitnah an die Hand zu nehmen.
Beginnen Sie am besten mit der Erstellung oder Überarbeitung ihrer Datenschutzerklärung. Wichtig dabei ist die sorgfältige Überprüfung, ob alle Fälle abgedeckt sind, über die das Unternehmen Personendaten beschafft. Diese zwar aufwendige Arbeit dient gleichzeitig als Grundlage für das neu vorgeschriebene Verzeichnis der Datenbearbeitungen.
Regeln Sie die interne Zuständigkeit für den Datenschutz und führen Sie einen Prozess ein, welcher die Zuständigkeiten bei Verletzungen der Datensicherheit festlegt. Vergessen Sie nicht zu eruieren, wo im Unternehmen Auftragsbearbeitungen erfolgen, und prüfen Sie die entsprechenden Verträge auf Anpassungsbedarf.
Wir werden Sie in regelmässigen Abständen hierzu informieren.
Für weitere Fragen steht den Mitgliedfirmen von Swissmem Claudio Haufgartner, Ressortleiter Bereich Arbeitgeberpolitik, c.haufgartnernoSpam@swissmem.ch, zur Verfügung.