Die Bearbeitung von Personendaten ist heute für viele Unternehmen und Behörden ein zentraler Bestandteil ihrer Tätigkeit. Ausgehend von Entwicklungen in Europa wie der EU-Datenschutzgrundverordnung (DSGVO), die im Jahr 2018 rechtsverbindlich wurde, hat auch die Schweiz ihren Rechtsrahmen rund um die Bearbeitung von Personendaten angepasst. So tritt das neue Datenschutzrecht bestehend aus Datenschutzgesetz (DSG) und Datenschutzverordnung (DSV) per 1. September 2023 in Kraft.
Wichtige Neuerungen betreffen folgende Punkte:
Informationspflicht
Betroffene müssen von den für die Datenbearbeitung Verantwortlichen über die Sammlung ihrer Personendaten angemessen informiert werden, auch wenn die Daten über Dritte beschafft werden.
Datenschutzfolgenabklärung (DSFA)
Eine DSFA ist verpflichtend durchzuführen, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt.
Bearbeitungsverzeichnis
Die Tätigkeiten der Personendatenbearbeitung müssen in einem Bearbeitungsverzeichnis dokumentiert sein.
Privacy by Design und Privacy by Default
Erweiterte Sorgfaltspflichten verlangen von den Verantwortlichen, bei der Planung und Entwicklung von Systemen datenschutzfreundliche Voreinstellungen und Technologie einzusetzen.
Datenportabilität
Betroffene haben das Recht ihre Daten herauszuverlangen und «mitzunehmen».
Meldepflicht
Verletzungen des Datenschutzes sind dem Eidgenössischen Datenschutz- und Öffentlichkeitbeauftragte (EDÖB) zu melden.
Unternehmen und Behörden sind von den Änderungen nicht gleichermassen betroffen. So sind bspw. für Unternehmen mit weniger als 250 Mitarbeitenden, deren Datenbearbeitung ein geringes Risiko von Persönlichkeitsverletzungen von Betroffenen aufweisen, Ausnahmen vorgesehen.
Dennoch müssen sämtliche Unternehmen und Behörden auf die Änderung der Rechtslage reagieren und werden mit folgenden Fragen zur Operationalisierung des neuen Datenschutzrechts konfrontiert: Welche Arbeitsprozesse und Datenbestände sind von den Vorschriften betroffen? Welche konkreten Anpassungen müssen zwingend umgesetzt werden, um den Anforderungen gerecht zu werden? Wie müssen Prozesse, Strukturen und technische Unterstützung angepasst werden, damit sie den neuen Bestimmungen entsprechen? Welche Änderungen sind notwendig, damit transparente und kundenbedürfnisorientierte Datenschutzstrukturen zu einem Wettbewerbsvorteil führen?
Die Operationalisierung der Datenschutzvorschriften bedarf spezialisierten Wissens. Als unabhängiges Schweizer Beratungsunternehmen unterstützen wir Sie bei der Operationalisierung der bevorstehenden Anpassung der Schweizer Datenschutzbestimmungen in folgenden Bereichen:
Unterstützung im Projektmanagement
Dank unserer breiten Erfahrung im Bereich Projektmanagement unterstützen oder übernehmen wir auf Wunsch die Projektleitung bei der Operationalisierung des neuen Datenschutzrechts. Hierbei agieren wir als Intermediär zwischen den Anspruchsgruppen Recht, IT und Business und gewährleisten so die Qualität der Projektumsetzung.
Aufnahme der bestehenden Datenbestände und Schutzmassnahmen
Wir analysieren den Zustand Ihrer bestehenden Prozesse, Richtlinien und Bestimmungen zum Schutz von Personendaten und erstellen ein Verzeichnis der vorhandenen Datenbestände. Auf Basis der Analyse stellen wir Ihren Handlungsbedarf zur Umsetzung der Datenschutzvorschriften zusammen.
Erarbeitung eines Massnahmenkonzepts
Ausgehend vom Handlungsbedarf zur Sicherstellung der ordnungsgemässen Umsetzung der Datenschutzvorschriften und unter Einbezug relevanter Stakeholder, erarbeiten wir ein auf Ihr Unternehmen zugeschnittenes Massnahmenkonzept. Dieses beinhaltet organisatorische und technische Lösungsvarianten und eine Lösungsempfehlung, welche den Rahmenbedingungen Ihrer Unternehmung entsprechen.
Ausarbeitung der Datenschutzprozesse
Wir unterstützen Sie dabei, den Zielzustand der Prozesse zum Schutz von Personendaten (Privacy-by-design, Auskunftsrecht, Informationspflicht, Löschung etc.) zu erheben, zu dokumentieren und diese zu implementieren.
Audit der Datenschutzmassnahmen
Wir führen für Sie ein Audit Ihrer umgesetzten Datenschutzmassnahmen durch und prüfen Ihre Datenschutz-Prozesse und -Bestimmungen auf Herz und Nieren.
Schulung und Training im Bereich Datenschutz
Wir unterstützen Sie dabei, ihre Mitarbeitenden betreffend Umgang mit Personendaten und den dazugehörigen Prozessen zu schulen sowie ihre internen Datenschutzbeauftragten auszubilden.
Haben wir Ihr Interesse geweckt? Dann setzten Sie sich mit uns in Verbindung.
