Neues Schweizer Datenschutzgesetz

Mit seiner Totalrevision wurde das Datenschutzgesetz DSG den veränderten technologischen und gesellschaftlichen Verhältnissen angepasst. Dabei wurde insbesondere die Transparenz von Datenbearbeitungen ­verbessert und die Selbst­bestimmung der betroffenen Personen über ihre Daten gestärkt.

Darüber hinaus wurde das DSG aufgrund des erhöhten Drucks der EU revidiert und der EU DSGVO angeglichen, hat aber weiterhin eine eigene Grundkonzeption. Das führt zu einer Verschärfung der Anforderungen für alle Schweizer Unternehmen:

Personenbezogene Daten
Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet werden können. Personenbezogene Daten dürfen nur für zulässige Zwecke erhoben und verarbeitet werden – und beinhalten Angaben, die unbedingt erforderlich sind. Der Inhaber einer Datensammlung muss einer betroffenen Person mitteilen können, welche Daten über sie gesammelt und wie sie bearbeitet werden.

Dieses Verzeichnis aller Bearbeitungstätigkeiten stellt den Kern des neuen nDSG dar. Das Gesetz schreibt vor, dass diese Aufstellung erst ab 250 Mitarbeitern obligatorisch ist. Da es jedoch die Grundlage aller weiteren obligatorischen Anforderungen darstellt, kann man davon ausgehen, dass es für praktisch alle Schweizer Unternehmen notwendig ist. Jeder Betrieb muss nämlich belegen können, dass die nDSG eingehalten wird. Für diesen Nachweis ist das Verzeichnis unabdingbar.

Die Verarbeitung personenbezogener Daten unterliegt der Kontrolle des Datenschutzbeauftragten sowie der Aufsichtsbehörde.

Datenschutzerklärung
Bei jeder Beschaffung von Personendaten besteht eine Informationspflicht, die in der Praxis meist in Form einer Datenschutzerklärung auf der Homepage erfolgt. Ziel der Datenschutzerklärung ist es, sämtliche Anspruchsgruppen einer Unternehmung über die Art der Bearbeitung ihrer Personendaten zu informieren. Die Datenschutzerklärung enthält:

  • Kontaktdaten des Verantwortlichen (im Unternehmen) mit einer physischen und ­digitalen Adresse
  • Kontaktdaten des Datenschutzberaters, sofern einer benannt wurde
  • Bearbeitungszweck
  • Kategorien der Personendaten
  • Kategorie der Empfänger von Personendaten

Das Kontaktformular der Webseite muss zwingend den Hinweis enthalten, für welchen Zweck die angegebenen Personendaten genutzt werden. Weiter verlangt jede Webseite ein Impressum und die Datenschutzrichtlinie für Facebook (sofern eine Verlinkung besteht).

Auftragsverarbeitungsvertrag
Wenn Sie an ein anderes Unternehmen Arbeiten vergeben, welche Personendaten enthalten – man denke hier beispielsweise an IT-Funktionen, welche Einsicht in das Personenregister benötigen – muss die Bearbeitung der persönlichen Angaben vertraglich mittels eines Auftragsverarbeitungsvertrags festgehalten werden. Das Ziel des Kontraktes ist auch hier die Gewährleistung der Datensicherheit: Der Vertrag stellt sicher, dass die Personendaten nicht an Dritte weitergegeben werden und dass die nötigen technischen oder organisatorischen Massnahmen (TOM) auch beim Subunternehmen implementiert sind.

Technische und organisatorische Massnahmen
Die technischen und organisatorischen Massnahmen (TOM) korrekt umzusetzen und zu dokumentieren, stellt eine zwingende Säule in der Datenschutz-Umsetzung dar. Es geht primär darum, wie die Personendaten der betroffenen Personen gegen unbefugtes Bearbeiten geschützt und gesichert werden. Durch geeignete TOMs ist eine dem Risiko angemessene Datensicherheit gewährleistet, die auch dem Stand der Technik angepasst sein sollte.

Überdies ist die Datenaufbereitung so auszugestalten, dass die entsprechenden Schutzvorschriften eingehalten werden können. Technische Massnahmen hängen direkt vom eingesetzten Informationssystem in Ihrer Firma ab: CRM, Datenbanken usw. Organisatorische Massnahmen hingegen betreffen das Umfeld des Systems, insbesondere die Personen, die es nutzen.

Nur ein Zusammenspiel beider Arten von Massnahmen verhindert die Vernichtung oder den Verlust von Daten oder Irrtümern, Fälschungen und unberechtigten Zugang.

Datensicherung, Datenvernichtung
Um einen Datenverlust vorzubeugen, ist ein Datensicherungssystem für die Wiederherstellung verlorener Daten unumgänglich. Weiter empfiehlt es sich – jeweils unter Berücksichtigung des Bearbeitungszwecks und der geltenden Verjährungs- und Ablauffristen – Deadlines festzulegen, nach deren Ablauf Personendaten in Ihrem Unternehmen gelöscht werden. Das gleiche gilt für Daten auf Papier oder mobilen Datenträgern.

Die neuen Anforderungen des nDSG müssen von allen Unternehmen in der Schweiz umgesetzt werden, die mit personenbezogenen Daten zu tun haben. Der VWP hat zum Thema eine Informationsbroschüre erstellt und bietet seinen Mitgliedern diverse Vorlagen für die Umsetzung des Datenschutzes an. Die einfache Anwendung garantiert Ihnen maximale Flexibilität und Effizienz. Weitere Informationen erhalten Sie von der VWP Geschäftsstelle: info@vwp.swiss

Claudia von Rotz schloss ihr Studium 2013 als Informationsmanagerin an der FHGR ab und arbeitet heute in der VWP Geschäftsstelle. Fragen nimmt sie gerne entgegen unter: info@vwp.swiss oder 081 750 35 88

Kommentieren

− 1 = 4

*Pflichtfelder

Ihre Persoenlichen Daten werden nicht veroeffentlicht oder weitergegeben.