IT-Sicherheit & Datenschutz

Datenschutz auf dem neuesten Stand

In Zusammenarbeit mit  Logo Fercher Compliance GmbH

Datenschutz auf dem neuesten Stand

Aktualisiert am 01.09.2023

Datenschutz – das müssen Sie tun

Die Vorgaben im Bereich des Datenschutzes werden derzeit restriktiver. Da ist einmal die Datenschutzgrundverordnung der Europäischen Union (DSGVO), die nicht nur exportorientierte Unternehmen beachten müssen. Und auch das Schweizer Datenschutzgesetz (DSG) ist mit der aktuellen Revision deutlich strenger als bisher. Es lohnt sich, im Datenschutz up to date zu bleiben.

An die DSGVO halten müssen sich nicht nur Betriebe, die in die EU exportieren, sondern alle Schweizer Unternehmen, die Daten von Personen aus dem EU-/EFTA-Raum bearbeiten, beispielsweise durch Tracking mit Google Analytics. Ansonsten drohen Sanktionen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Gerade für KMU und Start-ups kann dies eine hohe Belastung darstellen. Das revidierte Schweizer Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist, hat in der Schweiz Bussen von bis zu 250'000 Franken eingeführt, der Fokus liegt auf der Bestrafung von Individuum.

Gut zu wissenDatenschutz ist ein vielfältiges Feld mit zahlreichen Anforderungen, insbesondere wenn Ihr Unternehmen auch ausserhalb der Schweiz tätig ist und wenn Sie mit besonders schützenswerten Daten arbeiten. Lassen Sie sich von Fachleuten beraten.

Bewerten Sie das Risiko «Datenschutzverstoss»

Zu Ihren Aufgaben als Unternehmer oder Unternehmerin gehört das Riskmanagement. Achten Sie darauf, dass auch Datenschutzverstösse als Risiken erfasst sind, und schätzen Sie mögliche Folgeschäden. Integrieren Sie den Prozess der Datenschutz-Folgenabschätzung in Ihre Risikoanalyse. So wissen Sie schon früh, welche datenschutzrechtlichen Risiken entstehen könnten, und können diesen vorbeugen oder sie sogar vermeiden.


Jetzt Anbieter von Datenschutz-Services finden

Nutzen Sie ganz einfach den Bedarfs-Check und unsere Einkaufsexperten finden für Sie bis zu drei passende Anbieter.

Welche Datenschutz-Services benötigen Sie?

Informieren Sie Kunden und Interessentinnen

Sie sind verpflichtet, Kunden, Interessentinnen, Geschäftspartner, Mitarbeitende und Website-Besuchende – kurz, alle, die Ihnen Personendaten anvertrauen (= Betroffene) – darauf hinzuweisen, dass und wann Sie deren Daten sammeln und bearbeiten. In Ihrer Datenschutzerklärung müssen Sie über die Erhebung, den Zweck und die Art der Bearbeitung der Personendaten (zum Beispiel Profiling) informieren. Tun Sie dies wenn möglich auch an anderen Stellen auf Ihrer Website, etwa dort, wo sich jemand bewirbt, wo eine Interessentin sich für eine Dienstleistung registriert oder ein Abonnement abschliesst.

Tipp Die Information über die Daten und die Datenbearbeitung muss transparent, klar und einfach verständlich formuliert sein. Es muss Betroffenen in dem Moment, da sie Ihnen ihre Personendaten geben, klar sein, was damit geschehen wird, zu welchem Zweck sie erhoben und bearbeitet und wem sie allenfalls bekannt gegeben werden.

Werden Personendaten ins Ausland gegeben, zum Beispiel wenn Sie Ihre Daten auf einem ausländischen Server speichern (Hosting), müssen Sie auch darüber informieren (wie solche Formulierungen aussehen können, sehen Sie in den Datenschutzbestimmungen von Gryps).

Achtung Insbesondere die Speicherung von Daten bei einem US-Anbieter kann datenschutzrechtlich problematisch sein. Wenn Ihr Unternehmen mit besonders schützenswerten Daten arbeitet und weltweit tätig ist, sollten Sie diesen Punkt genau abklären. Mit einem Cloud-Anbieter aus dem europäischen Raum sind Sie auf der sicheren Seite.

Die Betroffenenrechte

Sie sind verpflichtet, die Betroffenen über ihre Rechte zu informieren. In Ihren Datenschutzbestimmungen müssen Sie auf folgende Rechte in Bezug auf die Bearbeitung von Personendaten hinweisen:

  • Recht, Auskunft über die gesammelten Personendaten zu verlangen
  • Recht, die eigenen Personendaten berichtigen zu lassen
  • Recht, die eigenen Personendaten löschen zu lassen
  • Recht, die Bearbeitung der eigenen Personendaten einschränken zu lassen
  • Recht, eine erteilte Einwilligung zur Bearbeitung von Personendaten zu widerrufen
  • Recht, die Herausgabe der Personendaten in einem gängigen, lesbaren Format zu verlangen
  • Sie müssen den Betroffenen zudem zeigen, wie sie ihre Rechte wahrnehmen können und wen sie dafür kontaktieren müssen (beispielsweise via E-Mail oder Schreiben inkl. Kopie eines Identitätsausweises an eine angegebene E-Mail-Adresse respektive Postadresse).
Gut zu wissen Gemäss dem revidierten Schweizer Datenschutzgesetz müssen Sie neu auch das «Recht auf Datenportabilität» gewährleisten. Das heisst: Wenn Sie Personendaten erhalten und bearbeiten – etwa weil Sie mit einer Kundin einen Vertrag abschliessen, ein Geschäft abwickeln wollen oder weil Sie die Einwilligung zur Datenbearbeitung haben –, müssen Sie diese Daten auf Wunsch der Kundin jederzeit kostenlos in einem gängigen elektronischen Format herausgeben.

Sie müssen die Betroffenen auch informieren über sogenannte automatisierte Einzelentscheide – beispielsweise die Analyse von CVs durch künstliche Intelligenz oder eine onlinebasierte Bonitätsprüfung – und darüber, was diese bedeuten. Wird ein solcher automatisierter Einzelentscheid mit Rechtsfolgen komplett von einer Maschine gefällt, hat die betroffene Person das Recht, darüber informiert zu werden, und kann verlangen, dass der Entscheid von einem Menschen überprüft wird.

Wenn es die Einwilligung braucht

Bei gewissen Datenbearbeitungen – beispielsweise bei der Nutzung der Daten für einen Newsletter – reicht es nicht, bloss darüber zu informieren. Sie müssen bei möglichen Neukunden vorgängig eine Einwilligung einholen. Die Einwilligung muss der oder die Betroffene – nachdem vorher transparent informiert wurde – aus freien Stücken und aktiv geben, zum Beispiel durch das Setzen eines Häkchens. Auch muss man die Einwilligung jederzeit widerrufen können und der Widerruf darf nicht mit Nachteilen verbunden sein.

Rasch auf Kundenanfragen reagieren

Sie müssen einen internen Prozess aufstellen, der die Beantwortung von Anfragen der Kunden oder anderer Betroffener regelt, damit Sie die Betroffenenrechte wahrnehmen können. Dazu brauchen Sie den Überblick über die Datenbearbeitungen in Ihrem Unternehmen. Wenn etwa eine Kundin ein Auskunftsgesuch stellt, muss klar sein, in welchen «Datentöpfen» die gesammelten Personendaten liegen, und es muss ein interner Prozess bestehen, damit Sie rasch auf diese Töpfe zugreifen können.

Einen Überblick über die Datentöpfe und Datenbearbeitungen in Ihrem Unternehmen gibt Ihnen Ihr Verzeichnis der Bearbeitungstätigkeiten. Das ermöglicht Ihnen, rasch Auskunft über die gesammelten Personendaten zu geben und diese wenn nötig auch zu berichtigen und zu löschen.

Vorgehen bei Anfrage auf Datenlöschung

Erläutern Sie Ihren Mitarbeitenden, wie sie reagieren sollen, wenn Kundinnen oder Dritte Anfragen zur Datenlöschung, zur Datenberichtigung etc. an Ihre Firma stellen.

Wichtig: Sie müssen innerhalb von 30 Tagen auf eine Anfrage oder einen Antrag antworten.

Sie und Ihre Mitarbeitenden können so vorgehen:

  1. Prüfen Sie bei Erhalt eines Löschungsbegehrens, ob und welche Daten des oder der Betroffenen Sie in Ihrer Firma für welche Zwecke verarbeiten. 
  2. Klären Sie anschliessend, für welche Datenverarbeitungen durch das Löschungsbegehren der Verarbeitungszweck weggefallen ist beziehungsweise welche Daten nicht mehr benötigt werden. Nur diese Daten sind zu löschen. Daten, die weiterhin einen rechtmässigen Verarbeitungszweck haben, brauchen Sie nicht zu löschen. 
  3. Nennen Sie in Ihrem Antwortschreiben die Quellen, von denen die Daten stammen. Ihre Kundinnen und Kunden können dann dort weitere Auskunfts- und/oder Löschungsbegehren stellen. 
Gut zu wissen Die Bearbeitung eines Auskunftsbegehrens ist immer kostenlos. Sie dürfen als Unternehmen nur dann eine Gebühr verlangen, wenn die Auskunftserteilung enorm aufwendig ist oder wenn innerhalb der letzten zwölf Monate schon einmal ein Begehren an Sie gestellt wurde. 

Machen Sie Ihre Website datenschutzrechtlich wasserdicht

Erstellen Sie eine Datenschutzerklärung und laden Sie diese auf Ihrer Website so hoch, dass sie gut zu finden ist – zum Beispiel im Footer. Das ist notwendig, damit Sie offenlegen können, dass Sie sich an die Datenschutzgesetze halten. ie eine Datenschutzerklärung formuliert sein kann, sehen Sie am Beispiel von Gryps.

Tipps
  • Nutzen Sie zur Erstellung Ihrer professionellen Datenschutzerklärung ganz einfach das Online-Tool von Approovd.
  • Auf Cookiebot können Sie Ihre Website überprüfen und erhalten einen Rapport, ob diese datenschutzkonform ist oder unerlaubtes Tracking betreibt.

    Diese Fragen muss Ihre Datenschutzerklärung beantworten

    • Welche Personendaten werden zu welchem Zweck erhoben? Wie wird der Benutzer, die Benutzerin darüber informiert? Wie wird sein respektive ihr Einverständnis eingeholt?
    • Verwenden Sie die erhobenen Daten für Marketingmassnahmen – allenfalls durch dritte Trackinganbieter, insbesondere Google Analytics?
    • Wie lange werden die Daten wo gespeichert? Wie schützen Sie die Daten beim Speichern?
    • Werden die Daten weitergegeben? Wenn ja, an wen?
    • Wohin wendet man sich mit einer Anfrage für Auskunft, Löschung, Korrektur oder Herausgabe der Daten? Welche Angaben (insbesondere Identitätsnachweis) sind nötig?
    • Setzen Sie automatisierte Verfahren ein, um Benutzende zu identifizieren (Profiling) oder um aus den Daten rechtlich relevante Informationen abzuleiten (zum Beispiel Credit Score)?
    • Verwenden Sie auf Ihrer Website Vorlagen von Google oder haben Sie Google-Fonts eingebunden, die Google einen Zugriff ermöglichen (heruntergeladene Fonts sind unproblematisch)?

    Jetzt Anbieter von Datenschutz-Services finden

    Datenschutzdokumentation mit Datenschutz-Tool, Schulungen, Beratung – machen Sie Ihr Unternehmen fit in Sachen Datenschutz.

    Zum Bedarfs-Check

    Erstellen Sie ein Impressum

    Erstellen Sie ein Impressum mit Postadresse und Kontaktmöglichkeiten. Auf das Impressum sollten Sie am Ende jeder Seite verlinken, zum Beispiel im Footer (Fusszeile). Die Angaben darin sind nötig, damit Besucherinnen und Besucher Ihrer Website wissen, wer ihre Daten verarbeitet und an wen sie sich mit Problemen und Fragen wenden können.

    Wie ein Impressum oder eine solche Kontaktseite formuliert sein kann, sehen Sie beispielsweise bei Gryps, Ringier Medien Schweiz oder der Handelszeitung.

    Vorsicht bei Social-Media-Buttons

    Die Share-Buttons von Facebook, Twitter und anderen Netzwerken übertragen schon Daten, wenn eine Besucherin Ihre Website aufruft. Setzen Sie daher möglichst keine Social-Media-Buttons ein.

    Bitten Sie den Entwickler Ihrer Website oder eine Programmiererin, stattdessen einen sogenannten Shariff-Button einzubauen. Damit werden die Nutzerdaten Ihrer Website-Besuchenden nur dann an Facebook und Co. weitergeleitet, wenn jemand den Share-Button tatsächlich angeklickt hat.

    Gut zu wissen Falls Sie Social-Media-Buttons verwenden, müssen Sie in Ihrer Datenschutzerklärung darauf hinweisen. Wenn Sie Share-Buttons einsetzen, informieren Sie in der Datenschutzerklärung, dass beim Anklicken der Buttons Daten in ein nicht anerkanntes Drittland übermittelt werden können und keine vertragliche Vereinbarung mit den Anbietern besteht, um die Daten zu schützen.

    Überprüfen Sie Plug-ins, Tools und Dienstleister

    Moderne Webauftritte werden häufig mithilfe von baukastenartigen Systemen kreiert, die eine Vielzahl von Plug-ins und Tools zur Integration in die Website anbieten – zum Beispiel für Audio, Grafik, Fonts oder Video. Gehen Sie mit solchen Tools und Plug-ins sparsam um. Überprüfen Sie die Nutzungsbedingungen, um sicherzugehen, dass Sie nicht unwissentlich Daten weitergeben.

    Tipp Sie können dazu Ihre Website auf Cookiebot einer Analyse unterziehen.

    Nehmen Sie externe Leistungen in Anspruch, beispielsweise für den Versand Ihres Newsletters? Überprüfen Sie auch solche Anbieter auf Plug-ins und andere Tools, die Daten weitergeben; konsultieren Sie dazu deren Datenschutzerklärung. In Ihrer eigenen Datenschutzerklärung müssen Sie sowohl die Anbieter angeben als auch die Tatsache, dass Sie die Daten an diese weitergeben. Auch Provider, sei es Swisscom, Sunrise oder Wingo, speichern Daten. Fragen Sie direkt bei Ihrem Provider nach, welche Daten er speichert und wie er sie schützt, und weisen Sie in Ihrer Datenschutzerklärung darauf hin.

    Tipp Setzen Sie möglichst keine Plug-ins ein, die automatisch Daten an Dritte weitergeben. Wenn doch, müssen Sie in Ihrer Datenschutzerklärung ausdrücklich darauf hinweisen.

    Privacy by Desgin: Folgen Sie dem Grundsatz der Datensparsamkeit

    In allgemeinen Kontaktformularen sollten Sie nur die wirklich zwingenden Angaben als Pflicht-Eingabefelder definieren (siehe unten stehende Info-Box). Sie folgen damit dem Grundsatz der «Privacy by Design», der sowohl von der DSGVO der EU als auch vom schweizerischen Datenschutzgesetz (seit dem 1. September 2023) vorgeschrieben wird. Privacy by Design meint das Prinzip, IT-Systeme von Anfang an so zu bauen, dass möglichst wenig Personendaten erhoben und die erhobenen Daten geschützt werden. Das erhöht die Motivation von Kunden, Interessentinnen und weiteren Betroffenen, sich überhaupt zu melden. Zudem stellen Sie sicher, dass Sie nicht zur Datenkrake werden (als Datenkraken bezeichnet man Unternehmen, die Daten im grossen Stil sammeln, um sie dann auszuwerten und damit spezifische Werbung zu schalten oder um die Daten an Dritte weiterzuverkaufen).

    Wirklich notwendig sind meist nur wenige PflichtfelderName
    E-Mail-Adresse
    Nachricht
    Tipp In der unten stehenden Checkliste finden Sie alle wichtigen Punkte zum Schutz von Personendaten. Arbeiten Sie diese durch, dann wissen Sie sich auf der sicheren Seite. Die Checkliste basiert auf dem Ratgeber «IT-Sicherheit für KMU» der Beobachter-Edition.

    Führen Sie regelmässige Updates durch

    Teile Ihres Webauftritts – respektive die dahinterliegenden Plattformen, Tools, Plug-ins und Content-Management-Systeme – wurden vielleicht seit längerer Zeit nicht aktualisiert oder sie gehen vergessen, weil sie wenig genutzt werden. Achten Sie darauf, dass auf Ihrer Website regelmässig Sicherheitsupdates durchgeführt werden.

    Vor allem bei Content-Management-Systemen (CMS) sind in der Vergangenheit immer wieder Schwachstellen aufgetreten, die von böswilligen Akteuren ausgenutzt wurden. Im besten Fall benutzen Angreifende diese Schwachstellen, um eigene Inhalte auf Ihre Website hochzuladen (Defacement). Im schlimmsten Fall wird Ihr Webserver missbraucht, um Angriffe auf Dritte auszuführen. Etwa indem jemand Daten aus Ihrem CMS stiehlt und damit einen Betrug begeht (Identitätsdiebstahl). Oder indem Ihr System übernommen und davon ein Schadcode an User weitergegeben wird. Auf diese Weise können Sie ohne Ihr Wissen in Cyberkriminalität involviert werden und geraten in Erklärungsnot.

    Tipp Beauftragen Sie für die Wartung Ihrer Website eine Expertin oder schliessen Sie entsprechende Verträge mit Ihren Dienstleistern ab und lassen Sie die Sicherheit regelmässig überprüfen.

    Neues Datenschutz­gesetz in der Schweiz

    Hier finden Sie alles, was KMU brauchen

    Jetzt entdecken

    Personendaten auf Ihrem System

    Personendaten sind Daten, die sich auf eine bestimmte oder auf eine bestimmbare Person beziehen, typische Beispiele: Name, Telefonnummer, biometrische Daten, E-Mail-Adresse, IP-Adresse oder auch das Foto einer Person.

    Stellen Sie sicher, dass Sie Personendaten, die Sie erhoben haben, mit Ihren IT-Systemen ausfindig machen können. Sie müssen stets in der Lage sein, einzelnen Personen Auskunft über die zu ihnen erhobenen Daten zu geben und diese auf Verlangen zu korrigieren, zu löschen oder herauszugeben. Dafür brauchen Sie eine Übersicht, welche Systeme überhaupt Personendaten erheben und verarbeiten und wo diese Daten wie gespeichert werden. Typische Orte sind CMS-Systeme, E-Mails, Kundendatenbanken und CRM-Systeme sowie weitere Datenbanken.

    Sie als Betriebsinhaber oder Unternehmerin müssen zudem die Kontrolle über die Personendaten haben, die in Ihrem Unternehmen bearbeitet werden. Speziell bei besonders schützenswerten Personendaten – etwa Gesundheitsdaten, Daten über politische Ansichten oder Informationen über strafrechtliche Sanktionen – müssen Sie gewährleisten können, dass die datenschutzrechtlichen Vorgaben eingehalten werden.

    Daten müssen verschlüsselt werden

    Personendaten müssen sowohl bei der Übermittlung (Data-in-Transit) als auch bei der Speicherung (Data-at-Rest) geschützt werden. Ein bewährtes Mittel dazu ist das Verschlüsseln von Daten.

    Achten Sie also darauf, dass die Datenübermittlung verschlüsselt geschieht, etwa mittels Verwendung von HTTPS respektive SSL/TSL. Ihr Website-Anbieter hilft Ihnen dabei, Ihre Website zu verschlüsseln.

    Achten Sie ebenso darauf, dass Personendaten auf Ihren IT-Systemen nur verschlüsselt gespeichert werden (zum Beispiel in der Datenbank des CMS Ihrer Website).

    Verzeichnis der Bearbeitungstätigkeiten

    Das Datenschutzgesetz verpflichtet an sich die Unternehmen, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Beschäftigen Sie jedoch weniger als 250 Mitarbeitende, sind Sie von dieser Pflicht befreit – vorausgesetzt die Bearbeitung der durch Ihr Unternehmen gesammelten Personendaten stellt kein hohes Risiko für die betroffenen Personen dar. Das wäre beispielsweise bei Daten zur Gesundheit oder zu religiösen Ansichten der Fall.

    Gut zu wissen Beschäftigt Ihr Unternehmen mehr als 250 Mitarbeitende – oder werden Daten bearbeitet, die ein hohes Risiko für die Betroffenen darstellen –, sind Sie verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Daraus muss hervorgehen, wo welche Personendaten wie und von wem bearbeitet werden und wohin sie allenfalls fliessen. Wie ein solches Verzeichnis aussehen kann, sehen Sie in der unten stehenden Vorlage.

    Auch wenn Ihr Unternehmen nicht verpflichtet ist, ein solches Verzeichnis zu führen, kann es sinnvoll sein, festzuhalten, welche Systeme Personendaten erheben und verarbeiten und wo diese Daten wie gespeichert werden. So können Sie rasch auf Betroffenenanfragen reagieren. Von Datenschutzfachleuten dringend empfohlen ist zudem eine Übersicht, wer für welche Daten verantwortlich ist, damit Sie für eine allfällige Untersuchung oder bei Datenverlust gewappnet sind.

    Kontrolle über die Weitergabe von Personendaten

    Es reicht nicht, die Kontrolle darüber zu haben, welche Personendaten erfasst und bearbeitet werden. Sie müssen auch wissen, wohin diese Personendaten weitergegeben werden – sei das im Auftrag Ihrer Firma oder im Rahmen einer Zusammenarbeit, zum Beispiel mit einer Sponsorin oder einem Werbepartner. Denken Sie auch an die Daten, die Sie an Banken, Versicherungen, Treuhandfirma, Steuerbehörden etc. weitergeben. Erstellen Sie eine klare Übersicht darüber, welche Daten wohin fliessen und durch wen sie dort bearbeitet werden.

    Wichtig ist vor allem auch, dass Sie den Überblick über Datentransfers ins Ausland haben. Stellen Sie sicher, dass solche Datentransfers vertraglich geregelt sind und datenschutzkonform verlaufen. Dies gilt insbesondere dann, wenn die Daten in ein Land weitergegeben werden, das kein sogenanntes adäquates Datenschutzniveau bietet (etwa die USA oder Russland). Es gibt eine Staatenliste des Eidgenössischen Datenschutzbeauftragten, auf der die Staaten aufgeführt sind, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet.

    Tipp Betroffenendaten dürfen nicht ohne Information an Dritte weitergegeben oder verkauft werden. Listen Sie in Ihrer Datenschutzerklärung, auch Datenschutzbestimmungen genannt, die Kategorien der Empfänger auf, die von Ihnen Daten erhalten. So erhalten die Personen, deren Daten Sie bearbeiten, Klarheit, wohin die Daten gehen und durch wen sie bearbeitet werden.

    Ergänzen Sie auch die Arbeitsverträge Ihrer Mitarbeitenden und legen Sie darin offen, an wen Sie Personendaten übermitteln.

    Wer ist intern verantwortlich für den Datenschutz?

    Stellen Sie sicher, dass der Datenschutz in Ihrem Unternehmen eingehalten wird. Bestimmen – und schulen – Sie intern eine Person, die mit den wichtigsten Aufgaben betraut wird, für die nötigen Prozesse zuständig ist und als Ansprechperson für Ihre Mitarbeitenden und Dritte wirkt. Zu den Aufgaben dieser Person gehört etwa 

    Wichtig ist, dass Sie interne Prozesse aufstellen – etwa für die Bearbeitung von Betroffenenanfragen, die Meldung eines Datensicherheitsvorfalls, für die Sicherung aller Daten und für das Krisenmanagement nach einem Vorfall. Schliessen Sie zudem Verträge mit Drittanbietern (Marketing-Dienstleistern etc.), die ein datenschutzkonformes Arbeiten festschreiben. Achten Sie schon bei der Auswahl neuer Software darauf, dass diese die datenschutzrechtlichen Anforderungen erfüllt.

    Data Breach Notification

    Daten sind verloren gegangen oder wurden gestohlen? E-Mails wurden an falsche Adressaten geschickt? Klären Sie bei einem Datensicherheitsvorfall so schnell wie möglich ab, ob Sie eine Meldung – eine Data Breach Notification – an den eidgenössischen Datenschutzbeauftragten (EDÖB) machen müssen. Wann das nötig ist, sehen Sie in der Checkliste «Data Breach Notification».

    Um die Meldung rechtzeitig machen zu können, benötigen Sie einen internen Meldeprozess. Dieser soll sicherstellen, dass bei einem Datensicherheitsvorfall die zuständigen Personen – zum Beispiel der Datenschutzmanager oder die Informationsbeauftragte – rasch informiert wird und dass die nötigen Massnahmen getroffen werden, um den Sicherheitsvorfall schnellstmöglich zu beheben.

    Internes Meldeverfahren

    Setzen Sie einen internen Prozess auf, mit dem Ihre Mitarbeitenden Datenschutzverstösse und auch Graubereiche melden können. Schulen Sie alle Ihre Angestellten in diesem Prozess und erinnern Sie sie regelmässig daran, dass diese Möglichkeit offensteht, damit sie nicht in Vergessenheit gerät.

    Datenschutz-Folgenabschätzung

    Eine Datenschutz-Folgenabschätzung (DSFA) braucht es bei neuen grösseren Projekten, bei denen viele Daten bearbeitet werden. Mit der DSFA soll geprüft werden, ob heiklere Datenbearbeitungen – etwa die Bearbeitung von Gesundheitsdaten oder die Bearbeitung grosser Datenmengen – zu einem Risiko für die Persönlichkeit der Betroffenen führen können.

    • In einer Datenschutz-Folgenabschätzung muss ein Unternehmen zuerst beschreiben, welche Daten von wem wozu wie und wo bearbeitet und allenfalls weitergegeben werden.
    • Dann wird das Risiko für die betroffenen Personen beschrieben – also die möglichen negativen Folgen, die die Datenbearbeitung für sie haben könnte, beispielsweise falsche medizinische Behandlung aufgrund falscher Daten, Kreditkartenmissbrauch oder Rufschädigung.
    • Schliesslich wird in der DSFA dargelegt, mit welchen technischen und organisatorischen Massnahmen diese negativen Auswirkungen verhindert oder zumindest eingeschränkt werden sollen.

    Eine Datenschutz-Folgenabschätzung beantwortet vor allem die Frage, ob geplante Datenbearbeitungen trotz aller Schutzmassnahmen weiterhin ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringen oder eben nicht.

    Gut zu wissen Mit einer Datenschutz-Folgenabschätzung am Anfang eines Projekts können Sie bereits vor der Umsetzung prüfen, wie Sie die Datenschutzgrundsätze einhalten und die Rechte der betroffenen Personen schützen (Privacy by Design, Art. 25 Abs. 1 DSGVO) und ob Sie nur personenbezogene Daten verarbeiten, die für den jeweiligen Verarbeitungszweck zwingend erforderlich sind (Privacy by Default, Art. 25 Abs. 2 DSGVO).

    Schulen Sie Ihre Mitarbeitenden

    Ihre Angestellten sind bei der Einhaltung des Datenschutzes Ihre wichtigsten Verbündeten. Schulen Sie sie deshalb sorgfältig und sorgen Sie für einen einfachen, schnellen Zugang zum Thema Datenschutz. Erstellen Sie praxisorientierte interne Datenschutzrichtlinien und abteilungsspezifische Dos and Don'ts, die Ihren Mitarbeitenden die Einhaltung des Datenschutzes bei der täglichen Arbeit erleichtern.

    Mit regelmässigen (Online-)Trainings können Sie zudem dafür sorgen, dass das Thema Datenschutz präsent bleibt. So stellen Sie sicher, dass sich Ihre Mitarbeitenden im Umgang mit dem Thema kompetent fühlen. Zudem verhindern Sie ungewollte Verstösse gegen den Datenschutz, die zur Klage einer Privatperson oder im schlimmsten Fall sogar zu einer Busse führen können. Mehr zur Schulung Ihrer Angestellten – auch ganz allgemein im Bereich Cybersecurity – erfahren Sie unter «Mitarbeitende für Cybersecurity sensibilisieren».

    BuchtippBuchcover IT-Sicherheit für KMUIT-Sicherheit für KMU. So navigieren Sie Ihr Unternehme sicher durch Cyber-Turbulenzen

    Hackerangriffe, Datenverlust, Phishing, verschlüsselte Firmen-IT  – dieses Buch hilft Ihnen, IT-Sicherheitsrisiken zu verstehen, Mitarbeitende zu sensibilisieren und die nötigen Massnahmen zu treffen. Mit konkreten Fallstudien aus der KMU-Welt.

    Gryps-Kunden profitieren mit dem Code GRP15-1592 von 15% Rabatt. 
    Zum Buchshop