Welche Massnahmen kann ich treffen, um die Vorgaben des nDSG zu erfüllen?
Die Massnahmen, die Sie aufgrund des neuen Gesetzes treffen sollten, umfassen sämtliche Unternehmensbereiche – von der Kommunikation über die Organisation sowie technische und rechtliche Fragen bis hin zu Prozessen.
Kommunikation:
- Befassen Sie sich im Detail mit dem Gesetz: So entwickeln Sie ein umfassendes Verständnis für die Anforderungen, den Geltungsbereich und die besonderen Pflichten des nDSG. Denken Sie daran, alle betroffenen Stellen einzubeziehen.
Organisation:
- Ernennen Sie einen Data Protection Officer: Im Gegensatz zur DSGVO ist die Ernennung eines DPO unter dem nDSG nicht obligatorisch. Sie wird jedoch stark empfohlen, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten und einen direkten Ansprechpartner für die Datenschutzbehörden zu haben.
- Schulen Sie Ihre Mitarbeitenden in Datenschutz: Schärfen Sie in Schulungen das Bewusstsein Ihrer Mitarbeitenden für das neue Gesetz, ihre eigenen Verantwortlichkeiten sowie die Best Pactices im Umgang mit personenbezogenen Daten.
- Erstellen Sie ein Verzeichnis der Bearbeitungstätigkeiten: Dieses Verzeichnis dient als zentrale Informationsablage für die Datenverarbeitungsaktivitäten Ihres Unternehmens. Es bietet Ihnen einen umfassenden Überblick über die Datenflüsse, Systeme und Prozesse, die mit der Verwaltung personenbezogener Daten verbunden sind.
Dies ermöglicht eine wirksame Data Governance. Denn Sie sind in der Lage, potenzielle Risiken zu erkennen, die Einhaltung der regulatorischen Vorgaben zu beurteilen, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen sowie gezielte Massnahmen und Kontrollen zum Schutz personenbezogener Daten einzuführen.
«Ein Data Protection Officer ist zentral: Er übernimmt die Gesamtverantwortung, führt Datenschutzmassnahmen ein und ist direkter Ansprechpartner für Behörden.» Yasin Kücükkaya |
|
Rechtliche Massnahmen:
- Aktualisieren Sie Ihre Datenschutzrichtlinien: Überprüfen und passen Sie Ihre Datenschutzrichtlinien den Änderungen des nDSG an. Stellen Sie sicher, dass die Unterlagen klar vermitteln, wie Ihr Unternehmen personenbezogene Daten sammelt, verwendet und weitergibt.
- Überprüfen und aktualisieren Sie Ihre Vereinbarungen über die Datenverarbeitung: Leitet Ihr Unternehmen personenbezogene Daten zur Verarbeitung an Dritte weiter, überprüfen Sie die bestehenden Vereinbarungen und passen Sie sie den aktuellen Anforderungen an. Stellen Sie sicher, dass die Vereinbarungen die notwendigen Datenschutzklauseln enthalten und die Verantwortlichkeiten jeder Partei festhalten.
- Überprüfen Sie die Verfahren, wie Sie Daten transferieren: Analysieren Sie die Verfahren, die gelten, wenn Ihr Unternehmen personenbezogene Daten ins Ausland übermittelt, z.B. Standardvertragsklauseln oder verbindliche firmeninterne Vorschriften. Stellen Sie sicher, dass die Verfahren die Anforderungen des nDSG an die internationale Datenübermittlung erfüllen.
- Holen Sie die notwendigen Einwilligungen ein: Überprüfen Sie Ihre Verfahren für den Erhalt der Einwilligung und gewährleisten Sie, dass sie die erweiterten Anforderungen unter dem nDSG erfüllen. Holen Sie bei Bedarf neue Einwilligungen von Einzelpersonen ein.
«In Security-Schulungen lernen Ihre Mitarbeitenden, wie sie Bedrohungen wie einen Phishing-Angriff erkennen und angemessen darauf reagieren – was das Risiko eines erfolgreichen Angriffs deutlich senkt.» Tim Beutler |
|
Technische Massnahmen:
- Analysieren und verbessern Sie die Massnahmen für die Datensicherheit: Analysieren Sie die bestehenden Datensicherheitsmassnahmen in Ihrem Unternehmen von Grund auf. Ergreifen Sie bei Bedarf technische und organisatorische Massnahmen wie Verschlüsselung, Zugriffskontrolle und regelmässige Sicherheits-Audits, um personenbezogene Daten zu schützen.
Prozesse – definieren, implementieren und testen Sie zumindest die folgenden:
- Rechte der betroffenen Personen: Etablieren Sie einen Prozess, um Anfragen von betroffenen Personen rasch und effizient zu bearbeiten. Entwickeln Sie gezielte Verfahren, um Identitäten zu prüfen, und dokumentieren Sie alle Massnahmen.
- Notfallplan für Datenschutzverletzung: Erarbeiten Sie einen Notfallplan für Datenschutzverletzungen oder passen Sie den bestehenden an die neuen Anforderungen an. Definieren Sie klar die einzuleitenden Schritte, sollte es zu einer Datenschutzverletzung kommen, einschliesslich Berichterstattung über Vorfälle sowie Verfahren zur Beurteilung, Schadenminderung und Kommunikation. Unter dem neuen Gesetz sind Verstösse schnellstmöglich dem EDÖB zu melden. Nutzen Sie dazu den Online-Dienst des EDÖB: Online-Dienst zur Meldung von Datensicherheitsverletzungen (Art. 24 DSG)
- Datenminimierung: Wenn Sie personenbezogene Daten länger als nötig aufbewahren, steigt das Risiko für unberechtigte Zugriffe, Missbrauch oder Datenschutzverletzungen. Begegnen Sie diesem Risiko mit einem Prozess für die Datenaufbewahrung. Damit können Sie Daten systematisch prüfen und solche, die Sie nicht mehr benötigen, löschen oder anonymisieren. Die Menge der Daten, die Ihr Unternehmen aufbewahrt, reduziert sich so auf ein Minimum.
Seit 1. September 2023 ist das neue Datenschutzgesetz in Kraft.
Denken Sie daran:
Die Einhaltung der Datenschutzbestimmungen ist heute nicht nur ein Gütesiegel, sondern auch ein Schutz vor finanziellen Einbussen, Vertrauensverlust und Reputationsschäden.