Neues Datenschutzgesetz
Diese Dokumente werden benötigt
5. Juni 2023 agvs-upsa.ch – Zum 1. September 2023 tritt die Revision des Schweizer Datenschutzgesetzes (nDSG) in Kraft, mit der auch wichtige Bestimmungen über die Dokumentation zur Bearbeitung von Personendaten angepasst werden. Unternehmer müssen in Zukunft mit persönlichen Bussgeldern rechnen und schärfere Pflichten beachten – weshalb Dokumentations-, Informations- und Sorgfaltspflichten auf Aktualität und Vollständigkeit bis zum Inkrafttreten geprüft und angepasst werden müssen. Dieser Beitrag zeigt die wesentlichen Dokumente auf, die für die Umsetzung von grosser Bedeutung sind.
Eine Frage der Vorbereitung: Das neue Datenschutzgesetz sollte man frühzeitig angehen. Foto: Istock.
tp. Zum Datenschutz gibt es einerseits gesetzliche Vorgaben, Sorgfaltaspflichten und organisatorische Empfehlungen. Andererseits kommen Importeure oder auch Finanzierungspartner mit eigenen Vorgaben auf die Garagisten zu. Die Dokumentation kann auch dazu beitragen, eine Person oder Garage zu entlasten, wenn sie sich gegen den Vorwurf verteidigen müssen, ihre Datenschutzpflichten vernachlässigt zu haben.
Tahir Pardhan, AGVS
Welche wesentlichen Dokumente gibt es im Datenschutz?
Zu Beginn Teil 1 mit denjenigen Dokumenten, bei deren Fehlen oder ihrer Unvollständigkeit eine Strafsanktion drohen kann, gefolgt von Teil 2 mit Dokumenten, die für die interne Organisation wichtig sind und zur Entlastung bei Vorkommnissen dienen können. In Teil 3 werden abschliessend die Verantwortlichkeiten und der Beizug eines Datenschutzberater vorgestellt
Teil 1
Datenschutzerklärung: Diese informiert in der Regel vor der Datenerhebung und Bearbeitung, in welchem Rahmen eine Datenbearbeitung stattfindet, d.h. wie die Daten erhoben, weiterbearbeitet, übermittelt usw. werden. Entsprechende Datenschutz-Dokumente müssen nicht nur auf Webseiten zu finden sein, sondern auch bei Überwachungskameras angebracht werden oder in Verträgen mit Lieferanten und Kunden enthalten sein. So sind die zumeist zusätzlichen Bestimmungen bei den Vertriebs- und Vertragsunterlagen beizufügen.
Datenschutzerklärung für Mitarbeiter: Mitarbeitende sind auch Betroffene im Datenschutz und müssen formal informiert werden, da der Arbeitgeber Personendaten, auch besonders schützenswerte und sensitive Daten, bearbeitet, z.B. als Bestandteil von Arbeitsverträgen. Die Information dient dazu sicherzustellen, dass die Bearbeitung von personenbezogenen Mitarbeiterdaten rechtmässig erfolgt. Ergänzend können weitere Vereinbarungen getroffen werden, die beispielsweise nur Mitarbeitende einer bestimmten Abteilung zu unterzeichnen haben.
Vereinbarungen zur Auftragsbearbeitung: Es gibt Unternehmen, die personenbezogene Daten von externen Partnern wie beispielsweise einer Marketingagentur bearbeiten lassen. Über solch einen Auftrag muss ein Vertrag geschlossen werden, der detailliert ausformuliert ist und unter anderem Verantwortlichkeiten klar definiert.
Datenschutzfolgeabschätzung: Eine vorhergehende dokumentierte Prüfung beabsichtigter Datenbearbeitungen, die ein hohes Risiko für die Freiheitsrechte zur Folge haben, insbesondere beim Einsatz neuer Technologien oder grosser Datenmengen.
Dokumentation technisch-organisatorischer Massnahmen (TOM): Es handelt sich dabei um ein umfassendes Dokument zur Dokumentation aller Massnahmen, die den Schutz der Bearbeitung personenbezogener Daten gewährleisten sollen. In Art. 8 iVm. Art. 1 ff. DSV sind die Mindestmassnahmen zur Datensicherheit festgehalten. Die schriftliche Dokumentation ausreichender Garantien (TOMs) ist im Rahmen der Überprüfung bei Auftragsbearbeitungen erforderlich.
Volker Dohr, Impunix
Teil 2
Verzeichnis von Bearbeitungstätigkeiten: Ab 250 Mitarbeitenden ist das Bearbeitungsverzeichnis (Art. 12) Pflicht. Bei weniger Mitarbeitenden ist es dringend empfohlen.
Hierbei handelt es sich um eine interne Auflistung aller Bearbeitungstätigkeiten personenbezogener Daten, die sowohl vom Verantwortlichen als auch vom Auftragsbearbeiter zu führen ist. Das Verzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und ist besonders für Datenschutzkontrollen ein wichtiges Instrument. Es ist auf Verlangen einer Aufsichtsbehörde vorzulegen.
Schulungsdokumentation: Ohne eine angemessene Schulung aller Mitarbeitenden, die mit Personendaten in Kontakt kommen, kann es Lücken im Datenschutz geben, die zu einer Verletzung der Grundprinzipien führen oder die eine Gefahr für die Datensicherheit sein können. Daher sollten Mitarbeitende regelmässig anhand von konkreten Beispielen geschult werden.
Datenschutzkonzept/-richtlinie: Ein sehr umfassendes Dokument, das eine Zusammenfassung aller Massnahmen und Pflichten zum Datenschutz eines Unternehmens darstellt und über die Beurteilung der Rechtmässigkeit der Datenbearbeitungen informiert. Es nimmt eine zentrale Rolle im Datenschutzmanagement ein und ist eines von mehreren bedeutsamen Dokumenten.
Für das Gesamtkonzept (Datenschutz-Managementsystem) ist essenziell, dass es je nach Unternehmen unterschiedlich ausgestaltet wird, da jedes Unternehmen individuelle Dienstleister, Importeure, Lieferanten und angeschlossenen Firmen hat. Nur so lässt sich eine vollständige Absicherung garantieren. Folglich empfiehlt es sich nicht, im Internet nach Beispielen, Vorlagen, Konzepten zu suchen oder gar diese zu kopieren.
Verpflichtung auf die Vertraulichkeit: Mitarbeitende, die im Rahmen ihrer Tätigkeit personenbezogene Daten bearbeiten, sollten auf Verschwiegenheit verpflichtet werden. Dies geschieht, indem sie eine Vertraulichkeitsvereinbarung unterzeichnen. Nicht zuletzt ist neu das strafbewehrte kleine Berufsgeheimnis eingeführt worden (Art. 62).
Teil 3
Wer ist für die Erstellung der Datenschutz-Dokumente verantwortlich?
In Anbetracht der vielen und zum Teil sehr verschiedenen Dokumente muss die Verantwortlichkeit nicht bei einer einzigen Person liegen, wenngleich der Verwaltungsrat bzw. der Geschäftsführer zunächst aus Sicht des Strafrechts die Hauptverantwortung trägt.
In der Praxis ist der interne oder externe Datenschutzberater bei der Erstellung von Datenschutz-Dokumenten intensiv eingebunden. Zahlreiche Dokumente erstellt er selbst oder arbeitet eng mit den Mitarbeitenden aus den einzelnen Bereichen zusammen, die die Informationen von ihren Kollegen einholen. Immer müssen aber der VR und die Geschäftsführung einbezogen werden, um Neuerungen und Auswirkungen des Datenschutzes auf die geschäftlichen Prozesse frühzeitig zu erkennen.
Was kann ein externer Datenschutzberater tun?
Zu Beginn der Datenschutzberatung besteht eine zentrale Aufgabe darin, das Datenschutzkonzept zu entwickeln. Hierbei ist der Datenschutzberatere in der Verantwortung und stellt mit dem internen Datenschutzkoordinator sicher, dass eine konsequente Umsetzung des Konzepts erfolgt. Ausserdem gewährleistet er, dass auf Änderungen (z.B. durch gesetzliche Einflüsse oder Gerichtsentscheide) reagiert wird und somit die Datensicherheit bestehen bleibt. Der interne Datenschutzkoordinator wird bei neuen Lieferanten und Dienstleistern, neuen Mitarbeitenden oder bei der Umstellung von Geschäftsprozessen auf den Datenschutz achten und mit der externen Stelle die Umsetzung des Konzepts bei Bedarf anpassen.
Ein externer Datenschutzberater hat derartige Projekte schon vielfach durchgeführt und ist daher mit der Vorgehensweise, dem Gesetz und den Behörden sehr vertraut. Als erfahrener Spezialist kennt er die Stolpersteine und befindet sich in der Lage, zuverlässige Lösungen zeitnah auszuarbeiten.
Eine Frage der Vorbereitung: Das neue Datenschutzgesetz sollte man frühzeitig angehen. Foto: Istock.
tp. Zum Datenschutz gibt es einerseits gesetzliche Vorgaben, Sorgfaltaspflichten und organisatorische Empfehlungen. Andererseits kommen Importeure oder auch Finanzierungspartner mit eigenen Vorgaben auf die Garagisten zu. Die Dokumentation kann auch dazu beitragen, eine Person oder Garage zu entlasten, wenn sie sich gegen den Vorwurf verteidigen müssen, ihre Datenschutzpflichten vernachlässigt zu haben.
Tahir Pardhan, AGVS
Welche wesentlichen Dokumente gibt es im Datenschutz?
Zu Beginn Teil 1 mit denjenigen Dokumenten, bei deren Fehlen oder ihrer Unvollständigkeit eine Strafsanktion drohen kann, gefolgt von Teil 2 mit Dokumenten, die für die interne Organisation wichtig sind und zur Entlastung bei Vorkommnissen dienen können. In Teil 3 werden abschliessend die Verantwortlichkeiten und der Beizug eines Datenschutzberater vorgestellt
Teil 1
Datenschutzerklärung: Diese informiert in der Regel vor der Datenerhebung und Bearbeitung, in welchem Rahmen eine Datenbearbeitung stattfindet, d.h. wie die Daten erhoben, weiterbearbeitet, übermittelt usw. werden. Entsprechende Datenschutz-Dokumente müssen nicht nur auf Webseiten zu finden sein, sondern auch bei Überwachungskameras angebracht werden oder in Verträgen mit Lieferanten und Kunden enthalten sein. So sind die zumeist zusätzlichen Bestimmungen bei den Vertriebs- und Vertragsunterlagen beizufügen.
Datenschutzerklärung für Mitarbeiter: Mitarbeitende sind auch Betroffene im Datenschutz und müssen formal informiert werden, da der Arbeitgeber Personendaten, auch besonders schützenswerte und sensitive Daten, bearbeitet, z.B. als Bestandteil von Arbeitsverträgen. Die Information dient dazu sicherzustellen, dass die Bearbeitung von personenbezogenen Mitarbeiterdaten rechtmässig erfolgt. Ergänzend können weitere Vereinbarungen getroffen werden, die beispielsweise nur Mitarbeitende einer bestimmten Abteilung zu unterzeichnen haben.
Vereinbarungen zur Auftragsbearbeitung: Es gibt Unternehmen, die personenbezogene Daten von externen Partnern wie beispielsweise einer Marketingagentur bearbeiten lassen. Über solch einen Auftrag muss ein Vertrag geschlossen werden, der detailliert ausformuliert ist und unter anderem Verantwortlichkeiten klar definiert.
Datenschutzfolgeabschätzung: Eine vorhergehende dokumentierte Prüfung beabsichtigter Datenbearbeitungen, die ein hohes Risiko für die Freiheitsrechte zur Folge haben, insbesondere beim Einsatz neuer Technologien oder grosser Datenmengen.
Dokumentation technisch-organisatorischer Massnahmen (TOM): Es handelt sich dabei um ein umfassendes Dokument zur Dokumentation aller Massnahmen, die den Schutz der Bearbeitung personenbezogener Daten gewährleisten sollen. In Art. 8 iVm. Art. 1 ff. DSV sind die Mindestmassnahmen zur Datensicherheit festgehalten. Die schriftliche Dokumentation ausreichender Garantien (TOMs) ist im Rahmen der Überprüfung bei Auftragsbearbeitungen erforderlich.
Volker Dohr, Impunix
Teil 2
Verzeichnis von Bearbeitungstätigkeiten: Ab 250 Mitarbeitenden ist das Bearbeitungsverzeichnis (Art. 12) Pflicht. Bei weniger Mitarbeitenden ist es dringend empfohlen.
Hierbei handelt es sich um eine interne Auflistung aller Bearbeitungstätigkeiten personenbezogener Daten, die sowohl vom Verantwortlichen als auch vom Auftragsbearbeiter zu führen ist. Das Verzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und ist besonders für Datenschutzkontrollen ein wichtiges Instrument. Es ist auf Verlangen einer Aufsichtsbehörde vorzulegen.
Schulungsdokumentation: Ohne eine angemessene Schulung aller Mitarbeitenden, die mit Personendaten in Kontakt kommen, kann es Lücken im Datenschutz geben, die zu einer Verletzung der Grundprinzipien führen oder die eine Gefahr für die Datensicherheit sein können. Daher sollten Mitarbeitende regelmässig anhand von konkreten Beispielen geschult werden.
Datenschutzkonzept/-richtlinie: Ein sehr umfassendes Dokument, das eine Zusammenfassung aller Massnahmen und Pflichten zum Datenschutz eines Unternehmens darstellt und über die Beurteilung der Rechtmässigkeit der Datenbearbeitungen informiert. Es nimmt eine zentrale Rolle im Datenschutzmanagement ein und ist eines von mehreren bedeutsamen Dokumenten.
Für das Gesamtkonzept (Datenschutz-Managementsystem) ist essenziell, dass es je nach Unternehmen unterschiedlich ausgestaltet wird, da jedes Unternehmen individuelle Dienstleister, Importeure, Lieferanten und angeschlossenen Firmen hat. Nur so lässt sich eine vollständige Absicherung garantieren. Folglich empfiehlt es sich nicht, im Internet nach Beispielen, Vorlagen, Konzepten zu suchen oder gar diese zu kopieren.
Verpflichtung auf die Vertraulichkeit: Mitarbeitende, die im Rahmen ihrer Tätigkeit personenbezogene Daten bearbeiten, sollten auf Verschwiegenheit verpflichtet werden. Dies geschieht, indem sie eine Vertraulichkeitsvereinbarung unterzeichnen. Nicht zuletzt ist neu das strafbewehrte kleine Berufsgeheimnis eingeführt worden (Art. 62).
Teil 3
Wer ist für die Erstellung der Datenschutz-Dokumente verantwortlich?
In Anbetracht der vielen und zum Teil sehr verschiedenen Dokumente muss die Verantwortlichkeit nicht bei einer einzigen Person liegen, wenngleich der Verwaltungsrat bzw. der Geschäftsführer zunächst aus Sicht des Strafrechts die Hauptverantwortung trägt.
In der Praxis ist der interne oder externe Datenschutzberater bei der Erstellung von Datenschutz-Dokumenten intensiv eingebunden. Zahlreiche Dokumente erstellt er selbst oder arbeitet eng mit den Mitarbeitenden aus den einzelnen Bereichen zusammen, die die Informationen von ihren Kollegen einholen. Immer müssen aber der VR und die Geschäftsführung einbezogen werden, um Neuerungen und Auswirkungen des Datenschutzes auf die geschäftlichen Prozesse frühzeitig zu erkennen.
Was kann ein externer Datenschutzberater tun?
Zu Beginn der Datenschutzberatung besteht eine zentrale Aufgabe darin, das Datenschutzkonzept zu entwickeln. Hierbei ist der Datenschutzberatere in der Verantwortung und stellt mit dem internen Datenschutzkoordinator sicher, dass eine konsequente Umsetzung des Konzepts erfolgt. Ausserdem gewährleistet er, dass auf Änderungen (z.B. durch gesetzliche Einflüsse oder Gerichtsentscheide) reagiert wird und somit die Datensicherheit bestehen bleibt. Der interne Datenschutzkoordinator wird bei neuen Lieferanten und Dienstleistern, neuen Mitarbeitenden oder bei der Umstellung von Geschäftsprozessen auf den Datenschutz achten und mit der externen Stelle die Umsetzung des Konzepts bei Bedarf anpassen.
Ein externer Datenschutzberater hat derartige Projekte schon vielfach durchgeführt und ist daher mit der Vorgehensweise, dem Gesetz und den Behörden sehr vertraut. Als erfahrener Spezialist kennt er die Stolpersteine und befindet sich in der Lage, zuverlässige Lösungen zeitnah auszuarbeiten.
Zum Thema Datenschutzgesetz führt der AGVS auch ein Webinar durch. Referenten sind Cornelia Stengel, Geschäftsführerin des Schweizerischen Leasingverbandes und Dozentin an verschiedenen Hochschulen, Luca Stäuble, Rechtsanwalt und Dozent an der Hochschule für Wirtschaft Zürich, sowie Gaspare Loderer, Rechtsanwalt im Bereich Datenschutz. Das Webinar dauert einen halben Tag. Alle weiteren Informationen finden Sie in der AGVS Business Academy
Kommentar hinzufügen
Kommentare