Das neue Datenschutzgesetz tritt bereits diesen September in Kraft und betrifft alle Unternehmen in der Schweiz. Da im Falle eines Verstosses gegen das neue Gesetz Sanktionen bis zu 250’000 Franken drohen, lohnt es sich sein Unternehmen frühzeitig für das Thema Datenschutz fit zu machen. Eine strukturierte und gut geplante Herangehensweise hilft Ihnen massgeblich dabei. In diesem Blogbeitrag diskutieren wir die wichtigsten Massnahmen, um die Anforderungen des neuen Datenschutzgesetzes zu erfüllen.

Eine frühzeitige Vorbereitung auf das neue Datenschutzgesetz zahlt sich aus

Das neue Datenschutzgesetzt sieht keine Übergangszeit vor und gilt per 1. September 2023 für alle Unternehmen. Einige Massnahmen benötigen eine längere Vorlaufszeit, weshalb wir Ihnen empfehlen, baldmöglichst mit den Vorbereitungen zu starten. Mit kleineren und einfacheren Massnahmen können Sie per sofort starten, ohne diese auf die lange Bank zu schieben. Daneben hat eine frühzeitige Anpassung an das neue Datenschutzgesetz auch einen positiven Effekt auf die Aussenwirkung einer Unternehmung. So können Sie bereits mit kleinen Massnahmen zeigen, dass sie das Thema Datenschutz ernst nehmen und damit das Vertrauen ihrer Kunden in das Unternehmen erhöhen.

Mehr erfahren: In einem früheren Blogbeitrag haben wir die wichtigsten Änderungen des neuen Datenschutzgesetzes diskutiert und aufgezeigt warum eine Revision des bestehenden Datenschutzgesetzes dringend notwendig war.

Mit diesen Massnahmen machen Sie Ihr Unternehmen fit für das neue Datenschutzgesetz

Schritt 1: Mittels der Strukturanalyse wird festgehalten, was intern und bei Partnern alles an Personendaten vorhanden ist. Dafür werden alle Systeme und Strukturen nach Personendaten gescreent und tabellarisch dargestellt. Für die Erstellung einer Strukturanalyse sollten Sie sich folgende Fragen stellen:

  • Welche Personendaten gibt es innerhalb Ihres Unternehmens?
  • Was macht Ihr Unternehmen mit seinen Personendaten?
  • Wo werden die Personendaten gespeichert?
  • Für wie lange?
  • Wem werden die Personendaten übermittelt?
  • Wie werden die Personendaten gesichert?

Tipp: Bestimmen Sie intern eine Person, welche die richtigen Personen aus den betroffenen Abteilungen zusammenzubringt, um eine Übersicht über alle relevanten Informationen innerhalb des Unternehmen zu erstellen.

Schritt 2: In einem nächsten Schritt gilt es nun weitere Informationen zusammenzutragen und zu dokumentieren. Dies gelingt mit dem Bearbeitungsverzeichnis. Die Erstellung eines solchen Verzeichnisses ist für Unternehmen ab 250 Mitarbeitenden oder für KMUs welche ein grosses Volumen besonders schützenswerte Personendaten verarbeiten, verpflichtend. Wir empfehlen jedoch jedem Unternehmen ein Bearbeitungsverzeichnis zu führen, da es dabei hilft, einen umfassenden Überblick über alle Bearbeitungstätigkeiten innerhalb des Unternehmens zu erhalten.

Das Bearbeitungsverzeichnis beinhaltet in der Regel folgende Informationen:

  • die Identität des Verantwortlichen
  • den Bearbeitungszweck
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
  • die Kategorien der Empfängerinnen und Empfänger der Personendaten
  • wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
  • wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (sog. technische und organisatorische Massnahmen [TOM’s])
  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien

Schritt 3: Nachdem Ihr Unternehmen eruiert hat, welche Personendaten intern vorhanden sind, gilt es die Lücken zu identifizieren. Sprich den Status Quo (Ist-Zustand) mit den gesetzlichen Mindestvorgaben abzugleichen (Soll-Zustand). Dies wird mittels einer Gap-Analyse umgesetzt. Diese Gegenüberstellung hilft dabei Massnahmen zu definieren, die Ihrem Unternehmen dabei helfen, sich dem Soll-Zustand anzunähern. Die Gap-Analyse kann ausserdem klären, wie die erarbeiteten Massnahmen priorisiert werden sollen. Hier empfehlen wir die Zusammenarbeit mit externen Spezialisten, welche Sie mit ihrem Fachwissen unterstützen können, eine effiziente Gap-Analyse durchzuführen. In der Gap-Analyse sollten Sie folgende Fragen diskutieren.

  • Welche Prozesse haben Sie bereits?
  • Wo müssen Sie ihre Prozesse verbessern?
  • Wo müssen Sie völlig neue Prozesse einführen?
  • Brauchen Sie einen Experten, der Ihnen beim Projekt hilft?
  • Wie viel Budget haben Sie für das Projekt?
  • Wie priorisieren Sie ihre To Do’s?

Tipp: Es ist empfehlenswert Massnahmen zu priorisieren, welche öffentlich ersichtlich sind. Damit können Sie Ihren Kunden zeigen, dass Sie das Thema Datenschutz ernst nehmen und damit das Vertrauen Ihrer Kunden in Ihr Unternehmen erhöhen.

Massnahmen neues Datenschutzgesetz

Die Erstellung einer To-do-Liste ist sinnvoll, um einen Überblick über alle anfallenden Aufgaben zu erhalten.

Schritt 4: Das revidierte Datenschutzgesetz führt eine erweiterte Informationspflicht bei der Erfassung personenbezogener Daten ein. Dadurch sind Unternehmen verpflichtet alle betroffenen Personen über die Erfassung und Verarbeitung ihrer Daten zu informieren. Dies wird optimalerweise mittels einer Datenschutzerklärung auf der Webseite oder in der App erreicht. Eine solche Datenschutzerklärung muss folgende Punkte beinhalten:

  • Identität und Kontaktdaten des Verantwortlichen (Anschrift, Telefonnummer, E-Mail-Adresse)
  • Bearbeitungszweck der erfassten Daten
  • Falls zutreffend: Empfänger personenbezogener Daten

Tipp: Für die Aktualisierung der Datenschutzerklärung bzw. Erstellung dieser gibt es automatisierte Tools (PrivacyBee), welche Ihnen diese Arbeit abnehmen können. Solche Tools scannen Ihre Webseite und erstellen aufgrund der Website-Inhalte automatisch eine Datenschutzerklärung. Bei Änderungen auf der Webseite wird diese automatisch gescannt und die Datenschutzerklärung entsprechend angepasst.

Nun gilt es interne Prozesse im Hinblick auf die Anforderungen des neuen Datenschutzgesetzes zu analysieren

Schritt 5: In diesem Schritt gilt es die Security-Prozesse zu beleuchten und sich folgende Fragen zu stellen:

  • Hat sich Ihr Unternehmen jemals punkto Security beraten lassen?
  • Was haben Sie für eine IT-Infrastruktur?
  • Ist Ihre Infrastruktur sicher bzw. haben Sie diese mal testen lassen (Pentests, Bug Bounty)?
  • Haben Sie irgendwo dokumentiert, wie Sie Ihre Personendaten schützen?
  • Erhalten Mitarbeitende Security-Trainings?

Bei diesem Prozess lohnt es sich mit einem erfahrenen IT-Partner zusammenzuarbeiten, der Sie dabei unterstützt Sicherheitsrisiken zu minimieren. Dabei sollten Sie Massnahmen, welche grosse Risiken minimieren, prioritär behandeln. Auch lohnt sich eine Kosten- Nutzenabschätzung, um zu entscheiden, welche Massnahmen für Ihr Unternehmen Sinn ergeben. Netaccess ag kann Sie hier als IT-Partner kompetent unterstützen, Ihre IT-Security auf den aktuellen Stand zu bringen.

Schritt 6: Interne Prozesse müssen definiert werden, im Fall das betroffene Personen von Ihren neu erlangten Rechten Gebrauch machen. Die Betroffenenrechte beinhalten die Möglichkeit Auskunft darüber zu verlangen, welche Daten ein Unternehmen über sie gesammelt hat und wie diese genutzt werden. Zudem können betroffene Personen auch verlangen, dass falsche oder unvollständige Daten korrigiert oder gelöscht werden. Der Prozess soll festlegen, welcher Mitarbeitende in welcher Frist, wie auf eine Anfrage reagieren muss. Bei Systemen muss überprüft werden, ob die Möglichkeit besteht Daten zu löschen oder diese zu anonymisieren. In diesem Video geben wir dir einen Überblick über alle nötigen Massnahmen.

Regelmässige Schulungen Ihrer Mitarbeiter sind essenziell, um langfristig up-to-date zu bleiben

Schritt 7: Alle Mitarbeitenden müssen regelmässig für das Thema Datenschutz sensibilisiert werden. Dies können Sie mittels Weisungen und durch Mitarbeiterschulungen erreichen. Hier erfahren Sie wie Sie ihr Team für IT-Sicherheit sensibilisieren.

Schritt 8: Das neue Datenschutzgesetz sieht eine Pflicht für die Erstellung eines Auftragsdatenverarbeitungsvertrag vor. Dabei wird ein Vertrag zwischen dem Verantwortlichen und dem Auftragsbearbeiter abgeschlossen. Der Verantwortliche ist jenes Unternehmen, welches für seine Zwecke und Mittel personenbezogene Daten sammelt und bearbeitet. Der Auftragsbearbeiter führt die Bearbeitung der Daten im Auftrag des Verantwortlichen aus. Der Auftragsdatenverarbeitungsvertrag legt das Schutzniveau sowie die Pflichten des Auftragsbearbeiters fest. Bei Datenschutzverletzungen ist es essenziell, dass der Auftragsbearbeiter den Verantwortlichen informiert und dieser die Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten veranlasst.

Schritt 9: Abhängig davon, ob ihr Unternehmen eine Vielzahl besonders schützenswerter Personendaten bearbeiten, muss es eine Datenschutz-Folgeabschätzung erstellen. Verfügt Ihr Unternehmen über wenig bis keine solcher Daten, ist eine solche Abschätzung nicht nötig. Die Datenschutz-Folgeabschätzung soll sicherstellen, dass die Verarbeitung der Daten den Datenschutzanforderungen entspricht und die betroffenen Personen angemessen geschützt sind. Dafür müssen Sie das genaue Vorhaben dokumentieren und angemessene Massnahmen zum Schutz der betroffenen Personen prüfen.

Schritt 10: Ihr Unternehmen muss seine Prozesse laufend optimieren, sodass diese an technologische und gesellschaftliche Veränderungen angepasst sind. Damit einher geht eine Schulung der Mitarbeitenden zu den Prozessen. Dabei reicht eine einmalige Schulung nicht, sondern dies muss regelmässig erneuert werden.

Fazit

Auf den ersten Blick wirken die Aufgaben, welche mit dem neuen Datenschutzgesetz mit einhergehen, sehr umfangreich. Lassen Sie sich davon nicht abschrecken. Insgesamt lohnt es sich allemal, sich frühzeitig auf das neue Datenschutzgesetz vorzubereiten, um sicherzustellen, dass man alle erforderlichen Maßnahmen ergreift, um die Einhaltung der Vorschriften zu gewährleisten, Strafen zu vermeiden, Daten zu schützen und das Vertrauen der Kunden zu stärken. Für den Fall, dass Sie bei gewissen Aufgabe anstehen, empfehlen wir Ihnen, sich Unterstützung durch externer Experten zu suchen. Netaccess ag kann Sie hier etwa als kompetenter IT-Partner unterstützen.