Stand bei der Umsetzung des revidierten Datenschutzgesetzes
In der letzten Follow-up-Ausgabe haben wir bereits Bezug auf das revidierte Datenschutzgesetz genommen, dabei hat uns Herr Elmar Hasler von der elleta AG einen vertieften Einblick in die Grundlagen über die Änderungen des Datenschutzgesetzes gegeben. Gerne geben wir Ihnen einen kurzen Einblick in unsere Umsetzungsarbeiten, welche wir bereits ergriffen haben und welche uns noch erwarten.
Das revidierte Datenschutzgesetz Schweiz soll am 1. September 2023 in Kraft gesetzt werden. Natürliche Personen haben Rechte, die die Transparenz der Datenverarbeitung und die Selbstbestimmung über ihre Daten stärken. Unternehmen erhalten Pflichten der Dokumentation, Information, Sicherung und Löschung gespeicherter Daten.
Eine Auseinandersetzung mit dem Datenschutzgesetz war notwendig, um die Auswirkungen für unser Unternehmen und unsere Tätigkeiten zu verstehen.
Zusammen mit unserer externen Partnerin, Gaby Schöni, s-tcs GmbH, haben wir in einem Projekt einen Vorgehensplan erstellt und in die Teilbereiche Bearbeitungsverzeichnis, Risikomanagement/Folgeabschätzung, Schulung Mitarbeiter, Informationspflicht, Auftragsverarbeiter/Partner und IT-Massnahmen gegliedert. Ebenso wurde ich als Datenschutzbeauftragter bestimmt.
Eine Pflicht für die Führung eines solchen Ver-zeichnisses besteht nur für Unternehmen und andere privatrechtliche Organisationen, welche mehr als 250 Mitarbeitende beschäftigen oder bei welchen ein hohes Risiko für die betroffenen Personen besteht. Obwohl wir diese Kriterien nicht erfüllen, haben wir uns entschieden, ein solches Verzeichnis zu erstellen. In der Analysephase dient es als Grundgerüst für das Projekt, um mittels Befragungen die aktuellen internen Abläufe und Ablagesysteme zu besprechen. Es beantwortet die Frage: «Welche Daten werden wo und zu welchem Zweck bearbeitet und gespeichert?». Ebenso ergab sich daraus die Chance, unsere dokumentierten internen Abläufe zu überprüfen und zu optimieren.
Es stehen uns noch zahlreiche Aufgaben bevor. Gerne geben wir Ihnen einen Einblick in einige noch zu erledigende Teilschritte:
In Bezug auf die Bearbeitung von Personendaten müssen wir die damit verbundenen Risiken einschätzen. Schon heute müssen Prozesse definiert werden, wie auf einen möglichen Datenverlust oder eine Datenschutzverletzung reagiert wird.
Alle Mitarbeitenden werden geschult, damit sie die Grundsätze des Gesetzes und deren Auswirkungen auf ihre Arbeit und ihr Verhalten kennen.
Unternehmen sind verpflichtet, die Personen über die von ihnen gespeicherten Daten zu informieren. In unserem Fall sind dies unsere Kunden und unsere Mitarbeitenden. In bestimmten Fällen, z.B. für die Speicherung und Verwendung der Mitarbeitenden-Fotos, müssen wir die ausdrückliche Einwilligung einholen.
Auftragsverarbeiter sind Dritte, die in unserem Auftrag Zugriff auf Daten haben oder diese bearbeiten (z.B. IT-Partner für Support). Alle Verträge mit unseren Partnern werden überprüft, um die Sicherheit der Daten zu gewährleisten.
Auch wir sind im Bereich Lohnbuchhaltung und Buchhaltung Auftragsverarbeiter. Wir werden gegenüber unseren Kunden, die diese Dienstleistungen beanspruchen, eine Bestätigung versenden, dass Mannhart & Fehr Treuhand AG ihre Daten gemäss Datenschutzgesetz bearbeitet und sichert.
Personendaten, für deren Bearbeitung kein Rechtfertigungsgrund nachgewiesen werden kann und die nicht mehr benötigt werden, müssen gelöscht werden. Dazu werden wir ein Löschkonzept entwickeln und die dementsprechenden Prozesse einleiten. Ebenfalls werden wir Richtlinien für die Datenbearbeitung innerhalb unseres Unternehmens erstellen und die Zugriffe und die Verschlüsselung von Daten neu regeln.
Die Auflistung der ergriffenen und uns noch bevorstehenden Arbeiten ist nicht abschliessend, es werden uns weitere Anpassungen und diverse Dokumentationen erwarten. Eine frühzeitige Auseinandersetzung mit dem revidierten Datenschutzgesetz ist zwingend notwendig, um eine gesetzeskonforme Umsetzung per 1. September 2023 zu garantieren. Ab diesem Zeitpunkt gelten die neuen Regelungen und eine Übergangsfrist gibt es nicht. Gerne teilen wir unsere Erfahrungen mit Ihnen und geben Ihnen entsprechende Tipps bei der Umsetzung.
