Der aspectra-Blog seit 2012

Neues Schweizer Datenschutzgesetz: 7 Praxistipps für eine erfolgreiche Umsetzung — Gastbeitrag Laux Lawyers AG

Am 1. September 2023 tritt das neue Schweizer Datenschutzgesetz (nDSG) in Kraft. Die neuen Anforderungen führen zu mehr Transparenz und Selbstbestimmung der betroffenen Personen und erfordern eine Überprüfung des eigenen Handlungsbedarfs bei Unternehmen.

Erweiterte Informationspflicht, die Aufgabe, ein Bearbeitungsverzeichnis zu führen und strengere Sanktionen: Das neue Datenschutzgesetz erfordert einige Anpassungen im Umgang mit Personendaten. (Die wichtigsten sechs Änderungen des nDSG sind hier im Detail nachzulesen.)

Ab dem 1. September ist es für Unternehmen Pflicht, die Bearbeitung von Personendaten zu dokumentieren und das datenschutzrechtliche Risiko zu bewerten. Weiter müssen Unternehmen technische und organisatorische Mindestanforderungen erfüllen, um die Datensicherheit zu gewährleisten. Gemäss neuem Datenschutzgesetz haften die handelnden Personen persönlich für die Einhaltung der Anforderungen. Bei ungenügendem Datenschutz drohen Bussen bis zu 250'000 Schweizer Franken.

Folgende 7 Praxistipps helfen Ihnen bei der Umsetzung in Ihrem Unternehmen:

  1. Ausgangslage: Erstellen Sie ein Bearbeitungsverzeichnis. Erfassen Sie, wo Sie welche Personendaten erheben, speichern und zu welchem Zweck Sie dies tun. Beginnen Sie z.B. damit, die Software («Applikationen»), die Sie für die Datenbearbeitungen einsetzen, zu inventarisieren. Daraus erkennen Sie bereits viele Datenbearbeitungen in Ihrem Unternehmen. Solche Bearbeitungsverzeichnisse sind für KMU oft keine Pflicht, erleichtern aber die weitere Arbeit sehr.
  2. Datensicherheit: Implementieren und dokumentieren Sie die technischen und organisatorischen Sicherheitsmassnahmen (TOM), die Sie zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Personendaten einsetzen. Ohne Datensicherheit «ist alles nichts»!
  3. Transparenz für Kundschaft und Kontakte: Erstellen Sie eine allgemeine Datenschutzerklärung. Erfüllen Sie so die Informationspflichten gegenüber Ihrer Kundschaft und deren Mitarbeitenden sowie weiteren Kontakten (inkl. Website).
  4. Transparenz für Mitarbeitende: Erstellen Sie eine Datenschutzerklärung speziell für Mitarbeitende und erfüllen Sie die Informationspflichten ihnen gegenüber.
  5. Vorbereitung auf Fragen und Situationen: Legen Sie interne Richtlinien und Prozesse für die Orientierung und Handlungsbefähigung von Mitarbeitenden fest, damit rasch auf Fragen und spezielle Situationen – wie beispielsweise auf Datensicherheitsvorfälle – reagiert werden kann.
  6. Verträge mit Auftragsbearbeitenden: Sorgen Sie für eine sorgfältige Auswahl, Instruktion und Kontrolle der Dienstleistenden, die in Ihrem Auftrag Personendaten bearbeiten. Verschriftlichen oder überprüfen Sie die Verträge auf datenschutzrechtliche Richtigkeit und Vollständigkeit.
  7. Vor der Bekanntgabe ins Ausland: Prüfen Sie die Notwendigkeit von datenschutzrechtlichen Massnahmen und dokumentieren Sie diese ausreichend, bevor Sie Personendaten ins Ausland übermitteln.

Uns ist es ein Anliegen, dass Schweizer Organisationen das neue Datenschutzgesetz erfolgreich umsetzen können – mit möglichst kleinem Recherche- und Verwaltungsaufwand. Mit dp/Services steht deshalb eine Toolbox mit automatisierten, praxiserprobten und kuratierten Vorlagen zur Verfügung, die Sie im Self-Service nutzen können.

Ich wünsche Ihnen viel Erfolg bei der Umsetzung!
Alexander Hofmann, Rechtsanwalt, Co-Founder dp/Services, Senior Advisor bei Laux Lawyers AG
 

LAUX LAWYERS AG ist das Schweizer Rechtsdienstleistungsunternehmen für die digitalisierte Wirtschaft und langjährige Partnerin von aspectra für sämtliche Fragen rund um das IT-Recht sowie fundierte und lösungsorientierte Beratung im Datenschutz. Sie unterstützen nationale und internationale Kunden bei der Umsetzung von Projekten mit digitalem Herzschlag. Als moderner Rechtsdienstleister verbinden sie Rechtsberatung mit technologie- und branchenspezifischem Know-how.