Sie möchten auf dem Laufenden bleiben? Erhalten Sie regelmässig Informationen zu HR-Themen der Branche und abonnieren Sie einen unserer Newsletter.
Die Grundsätze der Datenbearbeitung sind vergleichbar mit demjenigen im alten Datenschutzgesetz. Neu ist unter anderem, dass sich der Anwendungsbereich des Datenschutzgesetzes auf die Bearbeitung von Personendaten natürlicher Personen beschränkt. Die Bearbeitung von Daten juristischer Personen ist nicht mehr geschützt.
Im neuen Gesetz werden insbesondere die Informationspflichten ausgeweitet und bei einer Datenbearbeitung mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person ist eine Datenschutz-Folgeabschätzung zu erstellen. Zudem besteht die gesetzliche Pflicht, eine Verletzung der Datensicherheit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden. Gestützt auf die im Gesetz formulierte Sorgfaltspflicht ist es angezeigt, sämtliche Massnahmen in diesem Zusammenhang zu dokumentieren, um gegebenenfalls Bussen zu vermeiden.
Betrachtet man das ĂĽberarbeitete Datenschutzgesetz, sind unter anderem folgende Pflichten fĂĽr Unternehmen eingefĂĽhrt worden.
Informationspflichten
Unternehmen haben gemäss neuem Datenschutzgesetz bestimmte Informationspflichten zu erfüllen. Bei der Beschaffung von Personendaten muss über die Identität des Verantwortlichen, den Zweck der Bearbeitung usw. informiert werden. Zudem muss sichergestellt werden, dass die Rechte des Betroffenen gewährleistet sind. Ein Unternehmen muss also in der Lage sein, einer betroffenen Person Auskünfte zur Bearbeitung ihrer Personendaten geben zu können. Dies setzt voraus, dass das Unternehmen weiss, welche Personendaten zu welchen Zwecken bearbeitet werden oder ob zum Beispiel die Daten ins Ausland versandt werden. Um diese Anforderung sicherzustellen, empfiehlt es sich, zunächst mit einer Bestandsaufnahme aller Datenbearbeitungen (Datenverzeichnis) zu beginnen. Verzeichnisse, welche für die DSGVO erstellt wurden, können grundsätzlich übernommen werden und müssten im Einzelfall ergänzt werden (z.B. Länderangaben bei Datentransfer ins Ausland).
Das Unternehmen muss zudem im Rahmen seiner Informationspflicht den Inhaber der Daten über diese Datenerhebung informieren und – sofern die Daten ins Ausland transferiert werden - die Staaten nennen, in welche die Daten gesandt worden sind. In diesem Fall geht das neue Datenschutzgesetz über die DSGVO hinaus.
Die Anforderungen an den Datenschutz sind bereits von Beginn an zu berücksichtigen (Privacy by Design). Ebenso sind datenschutzfreundliche Grundeinstellungen (Privacy by Default) zu definieren und umzusetzen. Das Ziel dabei ist, die Datenbearbeitungen auf das für den Verwendungszweck nötige Mindestmass zu beschränken.
Verzeichnis zu den Datenbearbeitungstätigkeiten
Eine weitere Pflicht des Unternehmens ist die Erstellung und Führung eines Verzeichnisses der Datenbearbeitungstätigkeiten. Das neue Datenschutzgesetz hält dabei fest, dass der Verantwortliche wie auch der Auftragsbearbeiter je ein Verzeichnis über ihre Bearbeitungstätigkeiten zu führen haben. Ob diese Pflicht, wie im Gesetz erwähnt, grundsätzlich auf alle Unternehmen anwendbar ist oder allenfalls Ausnahmen definiert werden (zum Beispiel für Unternehmen <250MA), bleibt bis zum Erlass der entsprechenden Verordnung zum Datenschutzgesetz noch offen. Die Erstellung eines solchen Verzeichnisses kann durchaus aufwendig sein. Setzt es doch voraus, dass sämtliche Bearbeitungen von Personendaten innerhalb des Unternehmens bekannt und systematisch erfasst worden sind.
Vorgehen bei einer Datenschutzverletzung
Bei einer Datenschutzverletzung besteht eine Meldepflicht an den EDĂ–B sowie gegenĂĽber der betroffenen Person.
Im Hinblick auf die Pflicht, Datenschutzverletzungen melden zu müssen oder auf Anfragen von Betroffenen rasch reagieren zu können, wenn Personendaten verloren, gestohlen oder missbraucht wurden, sind interne Prozesse zu definieren. Diese Prozesse sollten sicherstellen, dass je nach Art des Vorfalls klar ersichtlich ist, wer in welcher Frist welche Massnahmen einleiten muss. Hierzu empfiehlt es sich, klare und einfach handhabbare Checklisten zu erstellen.
Verträge überprüfen
Weiter ist zu empfehlen die Zeit bis zum Inkrafttreten des neuen Gesetzes zu nutzen, um Verträge mit Kunden, Lieferanten und Dienstleistern sowie auch Arbeitnehmern unter Berücksichtigung der Bestimmungen des neuen Datenschutzgesetzes zu prüfen und wo notwendig anzupassen.
Datenschutzerklärung erstellen oder anpassen
Auch im revidierten Datenschutzgesetz wird Transparenz und Information bei der Bearbeitung von Daten grossgeschrieben. Neben der Informationspflicht bei der Datenbeschaffung muss das Unternehmen die betroffenen Personen über die verschiedenen Aspekte der Datenbearbeitung zwingend informieren. Aus diesem Grund muss mit Blick auf das Inkrafttreten des revidierten Datenschutzgesetzes eine Datenschutzerklärung erstellt werden oder bestehende Datenschutzerklärungen auf ihre Konformität mit der neuen Gesetzgebung geprüft werden.
Innerbetrieblich ist es wichtig, dass sämtliche Mitarbeitenden zum Thema sensibilisiert werden. Das gilt insbesondere für diejenigen, welche regelmässig Personendaten bearbeiten.
Nachfolgend einige grundlegende Massnahmen kurz zusammengefasst. Dies ist jedoch keine abschliessende Liste notwendiger Massnahmen.
- BerĂĽcksichtigen Sie bereits bei der Entwicklung neuer Technologien den Datenschutz und reduzieren Sie die Bearbeitung von Personendaten auf ein Mindestmass.
- Erstellen Sie eine Datenschutzerklärung bzw. prüfen Sie bereits bestehende Datenschutzerklärungen auf ihre Konformität mit dem neuen Datenschutzgesetz.
- Sofern Sie Datenbearbeitungen mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen vornehmen, ist ein Prozess für die Datenschutz-Folgeabschätzung zu erarbeiten und umzusetzen.
- Sofern meldepflichtige Datenschutz-Folgeabschätzungen im Unternehmen vorhanden sind, ist zu empfehlen, einen Datenschutzbeauftragten zu ernennen.
- Es ist zu empfehlen, einen Prozess fĂĽr die Meldungen von Verletzungen der Datensicherheit zu definieren. Dies insbesondere vor dem Hintergrund damit verbundener Sanktionen.
- Dokumentieren Sie alle getroffenen Massnahmen aus Gründen der Sorgfaltspflicht. Dies auch hier aufgrund möglicher Bussen bei Nichteinhaltung dieser Pflicht.
Abschliessend ist darauf hinzuweisen, dass Unternehmen sicherstellen müssen, dass die Sicherheit ihrer IT-Systeme und Software den Anforderungen des neuen Gesetzes entspricht. Hierzu gehören unter anderem technische und organisatorische Massnahmen zur Verhinderung von Cyberattacken, Datendiebstahl, etc.
FĂĽr weitere Fragen steht den Mitgliedfirmen von Swissmem Claudio Haufgartner, Ressortleiter Bereich Arbeitgeberpolitik (c.haufgartnernoSpam@swissmem.ch), gerne zur VerfĂĽgung.