Neues Datenschutzgesetz: Sind Sie bereit?
Am 1. September ist es so weit: Das neue Datenschutzgesetz (DSG) tritt in Kraft. Neuerungen treffen Unternehmen direkt und bei einer Missachtung drohen Sanktionen. Mit dieser Checkliste stellen Sie Schritt für Schritt sicher, dass Ihr Unternehmen die neuen Regeln korrekt implementiert hat.
![(Source: nmann77 - stock.adobe.com)](https://data.netzwoche.ch/styles/np8_full/s3/media/2023/08/22/adobestock_166260933_preview_2.jpg?itok=HtkwpTLX)
![Klaus Krohmann, Rechtsanwalt und Partner, BDO. (Source: zVg)](https://data.netzwoche.ch/styles/np8_full/s3/media/2023/06/01/zozhklk_klaus_krohmann_web.jpg?itok=CLIP7TT4)
1. Datenschutzerklärung und Personalreglement überprüfen
Bei der Beschaffung von Personendaten müssen Unternehmen Betroffene angemessen über den Vorgang informieren. Die benötigten Informationen werden normalerweise in die Datenschutzerklärung auf der Unternehmenswebseite aufgenommen. Wenn sie Personendaten der Mitarbeitenden betreffen, ist dies im Personalreglement aufzuführen. Folgendes müssen Sie offenlegen:
- Die Identität und Adresse des Unternehmens;
- den Bearbeitungszweck;
- falls die Daten an Dritte gehen: die Empfängerinnen und Empfänger, denen Personendaten bekannt gegeben werden oder deren Kategorien;
- falls die Daten nicht bei der betroffenen Person beschafft wurden: die Kategorien der bearbeiteten Personendaten;
- falls Daten ins Ausland gelangen: der Empfängerstaat sowie die Garantien, dass die betroffenen Personendaten nach der Übermittlung geschützt bleiben.
Die Datenbearbeitung ist nach dem DSG unzulässig, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch das Gesetz gerechtfertigt ist.
2. Erfüllung der Auskunftspflicht gewährleisten
Nach dem revidierten DSG kann jede Person Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Nach Eingang einer Anfrage muss innert 30 Tagen eine Auskunft erfolgen. Neben den unter Punkt 1 aufgeführten Informationen ist zudem auskunftspflichtig, welche Personendaten bearbeitet und wie lange diese aufbewahrt werden. Vor der Herausgabe müssen die Informationen gesichtet werden, um sicherzustellen, dass durch die Auskunft keine Rechte Dritter verletzt werden.
3. Bearbeitungsverzeichnis führen
Erstellen Sie ein aktuelles Verzeichnis aller Bearbeitungstätigkeiten beziehungsweise ein Inventar der Verfahren, Prozesse und Systeme im Unternehmen. So bewahren Sie den Überblick über Ihre Daten und können den Nachweis leisten, dass die notwendigen Überlegungen zum Datenschutz angestellt wurden. Bei Unternehmen ab 250 Mitarbeitenden ist ein Inventar zwingend.
4. Den Datenaustausch mit Dritten regeln
Basierend auf dem Inventar können Sie kontrollieren, ob mit allen Auftragsbearbeitenden (z. B. IT-Service-Provider, Berater) ausreichende Regelungen über den Datenaustausch bestehen oder ob Sie nachbessern müssen.
5. Garantien für den Datentransfer ins Ausland vereinbaren
Wie bereits unter Punkt 1 aufgeführt, müssen Sie die Garantien für den Transfer von Personendaten ins Ausland dokumentieren. An Staaten, bei denen kein angemessenes Datenschutzniveau gewährleistet ist, dürfen Informationen nur bekannt gegeben werden, wenn angemessene Garantien vorhanden sind. Dies können etwa Datenschutzklauseln in einem Vertrag zwischen den verantwortlichen Datenbearbeitenden sein.
6. Datenschutz-Vorfälle richtig behandeln
Das neue DSG sieht vor, dass Verletzungen der Datensicherheit schnellstmöglich dem EDÖB gemeldet werden. Ihr Unternehmen muss so aufgebaut sein, dass die Meldung möglichst innerhalb von 72 Stunden erfolgen kann. Das erfordert eine entsprechende Schulung der Mitarbeitenden.
7. Löschungsfristen festlegen
Gemäss dem DSG dürfen Personendaten nur so lange aufbewahrt werden, wie ein rechtmässiger Zweck für die Bearbeitung besteht. Es muss daher für jedes Datenpaket der Beginn der Aufbewahrungsfrist und die Dauer definiert werden.
![Rolf Unterberger, Mitglied des Verwaltungsrats, gratuliert Chief Sales Officer Gianni Mastromarino mit einem Pokal (v.l.). (Source: zVg)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/25/pokaluebergabe_cmyk.jpg?itok=8-ERumlE)
Assmann IT-Solutions feiert 15-Jahre-Jubiläum
![(Source: NOAA / Unsplash)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/google_wetter-ki_2024.jpg?itok=3ZIDlofC)
Google vereint KI und Physik für Wettervorhersagen
![(Source: Pawina / stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/proton_wallet_2024.jpeg?itok=cfViQUYL)
Proton startet mit Kryptowallet
![(Source: Micha Brändli / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![Jean-Pierre Mustier übernimmt als neuer CEO bei Atos. (Source: Atos.net)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/mustier_atos.jpg?itok=c11BX9xf)
Atos ernennt nächsten CEO
![(Source: freshidea - stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/02/adobestock_416609395.jpeg?itok=lzCTG-o-)
Erfolgreiche Co-Creation im Digital Banking dank Design Thinking
![(Source: DC Studio/Freepik.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)
Angreifer nehmen kritische Infrastrukturen ins Visier
![(Source: Kasia Derenda / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)
Phisher phishen am liebsten mit Microsoft
![G.V. Shivashankar entwickelt derzeit am PSI verschiedene Verfahren zur Diagnose und Prognose von Krebs. (Source: Paul Scherrer Institut PSI/Markus Fischer)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/web20231116_shivashankar_0048.jpg?itok=zfzwJ7s8)
KI-Bildanalyse kann Brustkrebs-Stadium besser identifizieren
![(Source: OrsiO / Pixabay.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)