DATENSCHUTZ & BEARBEITUNG

  • Datenschutz ist heute ein zentrales Anliegen für Unternehmen und Organisationen, insbesondere angesichts verschärfter Gesetze wie dem revidierten Datenschutzgesetz (DSG). Es ist wichtig zu verstehen, wer für Verstöße gegen den Datenschutz verantwortlich ist und welche Konsequenzen dies haben kann.

    1. Täter: Die Person, die den Verstoß tatsächlich verübt hat

    Die Identifizierung des Täters ist entscheidend, um Verantwortlichkeiten klar zuzuweisen. Gemäss dem revidierten DSG kann nur die Person, die den Verstoss tatsächlich begangen hat, rechtlich zur Verantwortung gezogen werden. Personen, die lediglich Anweisungen befolgen oder in untergeordneter Funktion zum Verstoss beitragen, sind nach dem Gesetz nicht strafbar.

    2. Management: Verantwortliche für die Verhinderung von Verletzungen

    Das Management trägt eine besondere Verantwortung im Datenschutz. Personen, die rechtlich verpflichtet sind, Verletzungen zu verhindern und über die erforderlichen Befugnisse verfügen, können zur Rechenschaft gezogen werden, wenn sie es versäumen, Massnahmen zur Verhinderung von Verstößen zu ergreifen oder die Folgen angemessen zu mildern. Dabei ist es unerheblich, ob diesen Personen formell Entscheidungsbefugnisse zugewiesen wurden oder ob sie diese faktisch ausüben oder beanspruchen.

    Schlussfolgerung

    Die Unterscheidung zwischen Täter und Management ist entscheidend für die klare Zuweisung von Verantwortlichkeiten im Datenschutz. Durch ein besseres Verständnis dieser Konzepte können Unternehmen und Organisationen effektive Datenschutzmaßnahmen implementieren und Verstösse vermeiden. Es ist ratsam, rechtliche Beratung in Anspruch zu nehmen, um sicherzustellen, dass alle gesetzlichen Anforderungen erfüllt sind und Datenschutzverletzungen vermieden werden.

  • Datenschutz kann für Start-Ups eine Herausforderung sein, insbesondere angesichts begrenzter Ressourcen und Budgets. Unser Mini-Paket bietet eine pragmatische Lösung, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten, ohne die finanziellen Mittel zu strapazieren.

    1. Datenschutzerklärung für Online-Plattformen und Mitarbeitende

    Eine Datenschutzerklärung ist ein Muss für jedes Start-Up. Wir bieten eine maßgeschneiderte Datenschutzerklärung sowohl für Ihre Online-Plattform als auch für interne Zwecke, um den Schutz personenbezogener Daten zu gewährleisten.

    2. Datenschutz-One-Pager mit den wichtigsten Do's and Dont's

    Unser leicht verständlicher One-Pager zum Datenschutz enthält die wichtigsten Best Practices und Verhaltensregeln für Ihre Mitarbeiterinnen und Mitarbeiter. So erhalten sie einen klaren Leitfaden darüber, wie sie mit personenbezogenen Daten umgehen sollen.

    3. Auftragsbearbeitungsvereinbarung (ABV) für Datenweitergabe

    Wenn Sie Daten an Dritte weitergeben, ist eine Auftragsbearbeitungsvereinbarung unerlässlich. Wir helfen Ihnen bei der Erstellung einer ABV, um sicherzustellen, dass Ihre Daten bei externen Partnern sicher und gemäß den Datenschutzbestimmungen behandelt werden.

    4. Umsetzung von Datensicherheitsmassnahmen

    Wir unterstützen Sie bei der Umsetzung von praktischen Maßnahmen zur Datensicherheit, um Daten vor unbefugtem Zugriff und Missbrauch zu schützen.

    5. Datenlöschung und Aufbewahrungsfristen

    Wir helfen Ihnen dabei, sicherzustellen, dass Daten ordnungsgemäß gelöscht werden und klare Aufbewahrungsfristen festgelegt sind, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten.

    Unser Datenschutz-Mini-Paket bietet Ihnen alles, was Sie für eine effektive und kostengünstige Datenschutz-Compliance benötigen. Kontaktieren Sie uns noch heute, um Ihr Start-Up vor rechtlichen Risiken zu schützen und das Vertrauen Ihrer Kunden zu stärken.

  • Auf der Excellence in Compliance Veranstaltung der ZHAW School of Management and Law am 3. Februar 2022 hatte Volker Dohr, ein Experte für Datenschutz und Compliance, die Gelegenheit, Bauunternehmer über die neuen digitalen Herausforderungen im Zusammenhang mit Smart Metern und Datenschutz bei Bauausführungen zu informieren.

    In seinem Vortrag ging Dohr auf die zunehmende Digitalisierung im Bauwesen ein und die damit verbundenen Datenschutzfragen, insbesondere im Zusammenhang mit der Verwendung von Smart Metern. Diese modernen Messgeräte ermöglichen eine präzise Erfassung von Energie- und Ressourcenverbrauch, stellen jedoch auch neue Anforderungen an den Datenschutz und die Sicherheit der erhobenen Daten.

    Dohr präsentierte praxisorientierte Ansätze und Lösungen, wie Bauunternehmer diese Herausforderungen erfolgreich bewältigen können. Dazu gehörten unter anderem die Implementierung geeigneter Datenschutzmaßnahmen, die Schulung der Mitarbeiterinnen und Mitarbeiter im Umgang mit sensiblen Daten sowie die Zusammenarbeit mit vertrauenswürdigen Partnern und Dienstleistern, die hohe Standards in Bezug auf Datenschutz und Sicherheit gewährleisten.

    Die Teilnehmerinnen und Teilnehmer der Veranstaltung erhielten wertvolle Einblicke und Handlungsempfehlungen, um die neuen digitalen Möglichkeiten im Bauwesen effektiv zu nutzen, ohne dabei die Datenschutzanforderungen aus den Augen zu verlieren. Volker Dohrs praxisnahe Expertise trug dazu bei, das Bewusstsein für die Bedeutung von Datenschutz und Compliance in dieser zunehmend digitalisierten Branche zu schärfen.

  • Volker Dohr, Experte für Datenschutz, klärt über die Do's & Dont's im Datenschutz auf, insbesondere im Verhältnis zwischen Arbeitgeber und Mitarbeitenden.

    Datenschutzbestimmungen im Arbeitsverhältnis

    Datenschutzbestimmungen gelten auch im Verhältnis zwischen Arbeitgeber und Mitarbeitenden. Bei der Verarbeitung von Mitarbeitendendaten im Rahmen interner Untersuchungen oder anderer Prozesse müssen Arbeitgeber die Pflichten gemäß Art. 8–10 und Art. 14 des Datenschutzgesetzes (DSG) beachten. Verstöße gegen diese Bestimmungen können Sanktionen gemäß Art. 34 bzw. Art. 35 des DSG nach sich ziehen.

    Do's & Dont's im Datenschutz

    Do: Einhaltung der Datenschutzbestimmungen: Arbeitgeber sollten sicherstellen, dass bei der Verarbeitung von Mitarbeitendendaten alle gesetzlichen Vorschriften eingehalten werden, um Verstöße und daraus resultierende Sanktionen zu vermeiden.

    Do: Transparente Informationspolitik: Arbeitgeber sollten Mitarbeitende transparent über die Verarbeitung ihrer Daten informieren, insbesondere im Rahmen interner Untersuchungen oder anderen Prozessen, die ihre Daten betreffen.

    Do: Datensparsamkeit und Zweckbindung: Es sollten nur diejenigen Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck notwendig sind. Zudem sollten die Daten nur für den festgelegten Zweck verwendet werden.

    Dont: Unberechtigter Zugriff auf Mitarbeiterdaten: Arbeitgeber sollten sicherstellen, dass nur befugte Personen Zugriff auf Mitarbeitendendaten haben und diese Daten vertraulich behandelt werden.

    Dont: Missbrauch von Mitarbeiterdaten: Es ist untersagt, Mitarbeiterdaten für andere Zwecke zu verwenden als für diejenigen, für die sie erhoben wurden. Jeglicher Missbrauch von Mitarbeiterdaten kann rechtliche Konsequenzen nach sich ziehen.

    Fazit

    Die Einhaltung der Datenschutzbestimmungen im Arbeitsverhältnis ist von entscheidender Bedeutung, um die Rechte der Mitarbeitenden zu wahren und rechtliche Konsequenzen zu vermeiden. Volker Dohr betont die Bedeutung einer transparenten und rechtskonformen Datenverarbeitung im Unternehmen und hilft Arbeitgebern dabei, die richtigen Schritte im Datenschutz zu unternehmen.

  • Die Anerkennung der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist eine wichtige Entwicklung für den Datentransfer aus der Schweiz in Länder ohne angemessenes Datenschutzniveau. Standardvertragsklauseln bieten eine rechtliche Grundlage für solche Datenübermittlungen und ermöglichen es Unternehmen, die Anforderungen des Schweizer Datenschutzrechts zu erfüllen.

    Der EDÖB betont jedoch, dass bestimmte Anpassungen und Ergänzungen erforderlich sind, um die Standardvertragsklauseln an die Anforderungen des Schweizer Datenschutzrechts anzupassen. Diese Anpassungen sollen sicherstellen, dass die übermittelten personenbezogenen Daten angemessen geschützt sind und den hohen Standards des Schweizer Datenschutzrechts entsprechen.

    Die Ausführungen des EDÖB geben Aufschluss darüber, welche spezifischen Anpassungen und Ergänzungen vorgenommen werden müssen, um die Standardvertragsklauseln für die Verwendung unter Schweizer Datenschutzrecht geeignet zu machen. Dies kann beispielsweise die Klärung von Zuständigkeiten, die Festlegung von Informationspflichten und die Definition von Datensicherheitsmaßnahmen umfassen.

    Insgesamt bietet die Anerkennung der Standardvertragsklauseln durch den EDÖB eine wichtige Möglichkeit für Unternehmen, den Datentransfer in Länder ohne angemessenes Datenschutzniveau zu ermöglichen, während gleichzeitig die Anforderungen des Schweizer Datenschutzrechts eingehalten werden. Es ist wichtig, dass Unternehmen die Ausführungen des EDÖB sorgfältig prüfen und die erforderlichen Anpassungen vornehmen, um sicherzustellen, dass die Standardvertragsklauseln wirksam und rechtskonform sind.

  • Kann man auf Ihrer Homepage einen Termin vereinbaren? Oder sich für einen Newsletter anmelden? Oder Ihnen über ein Formular eine Nachricht schreiben? Dann müssen Sie darauf achten, in den entsprechenden Formularen nur die personenbezogenen Daten zu erheben, die Sie tatsächlich brauchen, um eine Anfrage zu beantworten. Für eine Newsletter-Anmeldung wird beispielsweise nur die E-Mail-Adresse benötigt.

  • Die zunehmend verschärften rechtlichen Vorgaben machen Datenschutz-Compliance für Unternehmen unerlässlich. Um optimale Ergebnisse aus Governance-, Risiko- und wirtschaftlicher Sicht zu erzielen, ist es entscheidend, Datenschutz-Compliance nahtlos in bestehende Unternehmensabläufe zu integrieren. Diese Integration kann Unternehmen jedoch vor große Herausforderungen stellen.

    Fabio Babey gewährleistet die erfolgreiche Integration von Datenschutz-Compliance in bestehende Unternehmensabläufe, Risikomanagement und Internes Kontrollsystem (IKS). Durch seine Expertise und Erfahrung unterstützt er Unternehmen dabei, die folgenden Ziele zu erreichen:

    Compliance mit rechtlichen Vorgaben: Fabio Babey sorgt dafür, dass Unternehmen die einschlägigen Datenschutzgesetze und -vorschriften vollständig einhalten und potenzielle rechtliche Risiken minimieren.

    Risikomanagement: Durch eine umfassende Analyse identifiziert und bewertet er Datenschutzrisiken und entwickelt Strategien zur Risikominderung und -kontrolle.

    Integration in Unternehmensabläufe: Fabio Babey arbeitet eng mit den verschiedenen Abteilungen und Teams eines Unternehmens zusammen, um Datenschutz-Compliance nahtlos in die bestehenden Abläufe zu integrieren. Dies umfasst Schulungen für Mitarbeiter, die Implementierung geeigneter Richtlinien und Verfahren sowie die Überwachung und regelmäßige Überprüfung der Datenschutzmaßnahmen.

    Stärkung des Internen Kontrollsystems (IKS): Er unterstützt Unternehmen dabei, ihr Internes Kontrollsystem zu stärken, um die Einhaltung von Datenschutzstandards zu gewährleisten und mögliche Schwachstellen frühzeitig zu erkennen und zu beheben.

    Durch Fasio Babeys ganzheitlichen Ansatz können Unternehmen sicherstellen, dass Datenschutz-Compliance nicht nur als separate Anforderung betrachtet wird, sondern als integraler Bestandteil der Unternehmenskultur und -strategie verankert ist. Dies trägt nicht nur zur Einhaltung gesetzlicher Vorgaben bei, sondern stärkt auch das Vertrauen der Kunden und Partner in das Unternehmen.

  • Datenschutz ist ein zentrales Thema für kleine und mittlere Unternehmen (KMU). Es gilt oftmals das Motto: So viel wie nötig, so wenig wie möglich.

    Diesem Ansatz folgend haben wir die wichtigsten Punkte für die Umsetzung des Datenschutzes in einem KMU zusammengestellt.

    Checkliste für Datenschutz im KMU

    1. Datenschutzerklärung prüfen und allenfalls ergänzen

    Das müssen Unternehmen wissen:

    • Eine Datenschutzerklärung ist gesetzlich vorgeschrieben und muss die Art der Datenverarbeitung transparent darstellen.

    • Sie muss klar und verständlich formuliert sein und alle relevanten Informationen enthalten.

    Das sollten Unternehmen umsetzen:

    • Regelmässige Überprüfung und Aktualisierung der Datenschutzerklärung.

    • Sicherstellen, dass die Datenschutzerklärung leicht zugänglich auf der Unternehmenswebsite veröffentlicht wird und alle relevanten Punkte abdeckt.

    2. Richtlinien für die Datenbearbeitung innerhalb des Unternehmens erstellen

    Das müssen Unternehmen wissen:

    • Interne Richtlinien helfen dabei, konsistente und gesetzeskonforme Datenverarbeitungsprozesse zu gewährleisten.

    • Sie bieten Mitarbeitern klare Anweisungen zum Umgang mit personenbezogenen Daten.

    Das sollten Unternehmen umsetzen:

    • Entwicklung und regelmässige Aktualisierung von Richtlinien zur Datenbearbeitung.

    • Durchführung von Schulungen für Mitarbeiter, um sicherzustellen, dass alle die Richtlinien verstehen und einhalten.

    3. Regelmässige Schulungen für Mitarbeiter durchführen

    Das müssen Unternehmen wissen:

    • Schulungen sind entscheidend, um sicherzustellen, dass Mitarbeiter die Datenschutzrichtlinien und -verfahren verstehen und einhalten.

    • Regelmässige Schulungen helfen, das Bewusstsein für Datenschutzthemen zu stärken und die Einhaltung zu verbessern.

    Das sollten Unternehmen umsetzen:

    • Planung und Durchführung einer Datenschutzschulungen pro Jahr für alle Mitarbeiter

    • Aktualisierung der Schulungsinhalte, um Änderungen in den Datenschutzgesetzen und -vorschriften zu berücksichtigen.

    4. Prozess für eine rasche Beantwortung der Anfragen betroffener Personen

    Das müssen Unternehmen wissen:

    • Betroffene Personen haben das Recht, Auskunft über ihre Daten zu verlangen und deren Löschung zu beantragen.

    • Unternehmen müssen auf solche Anfragen innerhalb gesetzlich festgelegter Fristen reagieren (30 Tage).

    Das sollten Unternehmen umsetzen:

    • Entwicklung eines klaren Prozesses zur Bearbeitung von Auskunfts- und Löschungsanfragen und Erstellung einer «Musterantwort»

    • Benennung eines Ansprechpartners für Datenschutzanfragen.

    5. Meldeverfahren für Verletzungen der Datensicherheit einführen

    Das müssen Unternehmen wissen:

    • Datenschutzverletzungen müssen rasch (i.d.R. innerhalb von 72 Stunden) den Aufsichtsbehörden gemeldet werden.

    • Eine schnelle und effektive Reaktion kann rechtliche Konsequenzen und Reputationsschäden minimieren.

    Das sollten Unternehmen umsetzen:

    • Implementierung eines klaren Verfahrens zur Identifikation und Meldung von Datenschutzverletzungen.

    • Schulung der Mitarbeiter, um sicherzustellen, dass Verstösse sofort erkannt und gemeldet werden.

    6. Verträge mit Subunternehmen analysieren und entsprechende Klauseln hinzufügen

    Das müssen Unternehmen wissen:

    • Verträge mit Subunternehmen müssen sicherstellen, dass diese den Datenschutzanforderungen entsprechen.

    • Auftragsdatenverarbeitungsvereinbarungen (ADV) sind erforderlich, um Verantwortlichkeiten und Meldepflichten zu regeln.

    Das sollten Unternehmen umsetzen:

    • Überprüfung und Anpassung bestehender Verträge mit Subunternehmen.

    • Aufnahme von ADV in alle betroffenen Geschäftsbeziehungen hinsichtlich Personendaten.

    7. Sicherstellen, dass alle personenbezogenen Daten gelöscht oder anonymisiert werden

    Das müssen Unternehmen wissen:

    • Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck der Verarbeitung notwendig sind.

    • Eine sichere Löschung oder Anonymisierung ist gesetzlich vorgeschrieben.

    Das sollten Unternehmen umsetzen:

    • Entwicklung und Implementierung von Richtlinien und Verfahren zur sicheren Löschung und Anonymisierung von Daten.

    • Jährliche Überprüfung der gespeicherten Daten und Löschung nicht mehr benötigter Informationen.

    8. Prüfen, in welche Länder Daten übermittelt werden

    Das müssen Unternehmen wissen:

    • Die Übermittlung personenbezogener Daten in Länder ausserhalb der EU erfordert zusätzliche Schutzmassnahmen.

    • Standardvertragsklauseln oder andere geeignete Garantien müssen vorhanden sein.

    Das sollten Unternehmen umsetzen:

    • Jährliche Überprüfung, in welche Länder personenbezogene Daten übermittelt werden.

    • Implementierung von Standardvertragsklauseln oder anderen Schutzmassnahmen für Datenübermittlungen ausserhalb der EU.

    9. Datensicherheit durch geeignete technische und organisatorische Massnahmen garantieren

    Das müssen Unternehmen wissen:

    • Datensicherheit ist ein zentrales Element des Datenschutzes.

    • Geeignete technische und organisatorische Massnahmen müssen implementiert werden, um Daten zu schützen.

    Das sollten Unternehmen umsetzen:

    • Implementierung von Massnahmen wie Verschlüsselung, regelmässige Sicherheitsupdates und Zugriffsbeschränkungen.

    • Durchführung jährlicher Sicherheitsüberprüfungen und -audits.

    10. Verantwortlichkeiten definieren

    Das müssen Unternehmen wissen:

    • Für die erfolgreiche Umsetzung des Datenschutzes ist es zentral, dass die Verantwortlichkeiten klar geregelt sind.

    • Es ist wichtig, dass für alle involvierten Personen die Aufgaben (Rechte und Pflichten) klare definiert werden.

    Das sollten Unternehmen umsetzen:

    • Definition des Verantwortlichen für Datenschutz im Unternehmen (DPO).

    • Definition der Aufgaben für die Geschäftsleitung und die Fachverantwortlichen bzgl. Datenschutz. Regelung der Zusammenarbeit mit dem DPO.

    Fazit

    Der Schutz personenbezogener Daten ist für KMU von zentraler Bedeutung. Durch die Umsetzung dieser konkreten Massnahmen können Sie sicherstellen, dass Ihr Unternehmen den gesetzlichen Anforderungen entspricht und das Vertrauen Ihrer Kunden und Geschäftspartner stärkt. Regelmässige Überprüfungen und Anpassungen der Datenschutzmassnahmen sind entscheidend, um den sich ständig ändernden rechtlichen Anforderungen gerecht zu werden.

  • Unternehmen stehen vor der Herausforderung, Datenschutzrichtlinien einzuhalten und gleichzeitig die Effizienz ihrer Geschäftsprozesse zu wahren. Eine wichtige Massnahme in diesem Zusammenhang ist die Datenschutzfolgeabschätzung (DSFA). Doch worum geht es bei der DSFA und welche Tipps und Tricks können Unternehmen dabei unterstützen? In diesem Blogbeitrag geben wir Ihnen einen umfassenden Überblick.

    Was ist eine Datenschutzfolgeabschätzung?

    Die Datenschutzfolgeabschätzung ist ein Prozess, der dazu dient, potenzielle Risiken für die Privatsphäre und den Schutz personenbezogener Daten zu identifizieren und zu bewerten. Sie ist ein zentrales Element des Datenschutzes (DSG und DSGVO) und wird immer dann erforderlich, wenn die Verarbeitung von Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.

    Wann ist eine DSFA erforderlich?

    Eine DSFA muss durchgeführt werden, wenn eine Datenverarbeitung:

    1. Eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen zur Folge hat, die auf einer automatisierten Verarbeitung einschliesslich Profiling beruht.

    2. Auf einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten beruht.

    3. Systematisch und umfassend öffentlich zugängliche Bereiche überwacht.

    Schritte zur Durchführung einer DSFA

    1. Vorbereitung: Identifizieren Sie die Datenverarbeitungen, die eine DSFA erfordern. Erstellen Sie ein interdisziplinäres Team, das den Prozess unterstützt.

    2. Beschreibung: Dokumentieren Sie die geplanten Datenverarbeitungsvorgänge, einschließlich Zweck, Umfang und betroffenen Datenkategorien.

    3. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Stellen Sie sicher, dass die Datenverarbeitung notwendig und verhältnismässig ist, um den beabsichtigten Zweck zu erreichen.

    4. Risikobewertung: Identifizieren und bewerten Sie die potenziellen Risiken für die Rechte und Freiheiten der betroffenen Personen.

    5. Massnahmen zur Risikominderung: Entwickeln und implementieren Sie Maßnahmen zur Reduzierung der identifizierten Risiken.

    6. Dokumentation und Überprüfung: Dokumentieren Sie den gesamten DSFA-Prozess und überprüfen Sie regelmässig die Wirksamkeit der getroffenen Massnahmen.

    Tipps und Tricks für Unternehmen

    1. Frühzeitige Einbindung: Integrieren Sie die DSFA frühzeitig in Ihre Projektplanung, um spätere Verzögerungen zu vermeiden.

    2. Schulung und Sensibilisierung: Schulen Sie Ihre Mitarbeiter im Umgang mit personenbezogenen Daten und der Bedeutung des Datenschutzes.

    3. Transparenz: Informieren Sie Betroffene transparent über die Datenverarbeitung und die Ergebnisse der DSFA.

    4. Kontinuierliche Überprüfung: Überprüfen und aktualisieren Sie regelmässig Ihre Datenschutzmassnahmen und die DSFA-Dokumentation.

    5. Externe Expertise: Ziehen Sie bei Bedarf externe Datenschutzexperten hinzu, um sicherzustellen, dass alle rechtlichen Anforderungen erfüllt werden.

    6. Technische und organisatorische Massnahmen: Implementieren Sie sowohl technische als auch organisatorische Massnahmen, um die Datensicherheit zu gewährleisten.

    Fazit

    Die Datenschutzfolgeabschätzung ist ein unverzichtbares Instrument für Unternehmen, um die Einhaltung des Datenschutzes zu gewährleisten und das Vertrauen ihrer Kunden zu stärken. Mit einer systematischen Herangehensweise und der Berücksichtigung der oben genannten Tipps und Tricks können Unternehmen die DSFA effizient und effektiv durchführen.

    Indem Sie den Schutz personenbezogener Daten ernst nehmen und entsprechende Massnahmen ergreifen, tragen Sie nicht nur zur Einhaltung der gesetzlichen Vorgaben bei, sondern fördern auch eine datenschutzfreundliche Unternehmenskultur.