Datenschutz muss ganzheitlich betrachtet werden und speziell für KMU ist ein pragmatischer Ansatz zu wählen. Wir denken dabei an ein Projektvorgehen, das mit einer klassischen Ordnerstruktur arbeitet. Dies hat den Vorteil, dass alle notwendigen Themen mittels einer Liste abgearbeitet und laufend dokumentiert werden. Am Ende wird nichts vergessen und die Einhaltung der Datenschutzbestimmungen ist so dokumentiert, dass bei Problemen darauf zurückgegriffen werden kann. Folgende Themen sind abzuarbeiten
1. Die Unternehmensleitung bekennt sich zum Datenschutz.
Die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben liegt immer bei der Unternehmensleitung und ist nicht delegierbar. Neben der Benennung des Datenschutzbeauftragten bzw. des Datenschutzberaters ist ein unterstützendes Projektteam (intern/extern) zu benennen.
2. Erstellung einer Datenschutz-Governance-Erklärung
Nicht zu verwechseln mit der Datenschutzerklärung auf der Website. Alle Mitarbeitenden und externen Datenverarbeiter sollen in verständlicher Form über die Politik und den Umgang mit personenbezogenen Daten informiert werden und dieser zustimmen.
3. Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten
Dies ist ein zentraler Teil der Dokumentationspflicht und bildet die Grundlage für weitere Datenschutzaktivitäten. Erhoben und festgehalten werden Zweck, betroffene Personengruppen, Beschreibung und Rechtsgrundlage der Datenverarbeitung, Löschfristen.
4. Prüfung und Abschluss von Verträgen zur Auftragsdatenverarbeitung
Sofern ein Unternehmen Personendaten durch Dritte bearbeiten lässt (z.B. Webhosting, Cloud Storage, Google Analytics etc.), sind mit diesen Dritten grundsätzlich Verträge zur Auftragsdatenverarbeitung abzuschliessen und diese zu verpflichten, die bearbeiteten Daten angemessen zu schützen.
5. Verpflichtung der Mitarbeitenden auf das Datengeheimnis und den Datenschutz
Mitarbeitende, die mit Personendaten arbeiten, sind schriftlich auf die Einhaltung der Vertraulichkeit und des Datenschutzes zu verpflichten.
6. Umsetzung der technischen und organisatorischen Massnahmen (TOM)
Unternehmen sind verpflichtet, geeignete technische und organisatorische Massnahmen zu treffen, um die Sicherheit der Verarbeitung von personenbezogenen Daten nach dem Stand der Technik angemessen zu gewährleisten. Diese Massnahmen sind Bestandteil der Auftragsdatenverarbeitungsverträge.
7. Verfahren zur Geltendmachung von Betroffenenrechten
Machen Betroffene ihre Betroffenenrechte gegenüber dem Unternehmen geltend, ist diesen Anliegen innerhalb der gesetzlichen Fristen und vollständig nachzukommen. Die Festlegung eines Standardvorgehens je Betroffenenrecht ist zwingend erforderlich. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für die definierten Zwecke benötigt werden, wobei natürlich die gesetzlichen Aufbewahrungsfristen zu beachten sind.
8. Verfahren bei Datenschutzverletzungen festlegen
Kommt es im Rahmen der Verarbeitung personenbezogener Daten zu Datenschutzverletzungen, sind diese der zuständigen Aufsichtsbehörde und ggf. den Betroffenen zu melden. Ein Standardvorgehen (Plan B) für den Fall einer Datenschutzverletzung sollte bereitgehalten werden.
9. Datenschutz-Folgenabschätzung (DSFA)
Wenn im Rahmen einer beabsichtigten Datenverarbeitung ein hohes Risiko für die Freiheit und die Rechte der betroffenen natürlichen Person zu erwarten ist, muss eine DSFA durchgeführt werden. Geplante Abhilfemassnahmen zur Bewältigung der Risiken sind darin vorzusehen.
10. Beachtung und Umsetzung der Grundsätze „Privacy by Design“ und „Privacy by Default
«Privacy by Design» bedeutet Datenschutz durch Technikgestaltung. «Privacy by Default» bedeutet Datenschutz durch datenschutzfreundliche Voreinstellungen. Es soll also bereits bei der Entwicklung eines Datenverarbeitungsverfahrens technisch sichergestellt werden, dass datenschutzfreundliche Voreinstellungen unterstützt werden.
11. Angemessene Datenschutzschulungen durchführen
Die Schulung der Mitarbeitenden (auch der Unternehmensleitung) ist ein zentrales Element des Datenschutzes. Informierte Mitarbeitende sind die wirksamste Massnahme, um einen unsachgemässen Umgang mit Personendaten zu verhindern.
12. Datenschutzkonforme Unternehmens-Website + Datenschutzerklärung
Die Unternehmenswebsite wird datenschutzkonform gestaltet. Dazu gehören die Bereitstellung einer Datenschutzerklärung auf der Unternehmenswebsite, die Verschlüsselung der Website mittels TSL/SSL und die Umsetzung des Double-Opt-In-Verfahrens bei der Verwendung von Newslettern.
Zusammenfassung
Je nach Grösse und Branche des Unternehmens können die Massnahmen «schlanker» oder umfassender umgesetzt werden. Die Vielzahl der Themen kann auf den ersten Blick abschrecken und die Menge der Massnahmen scheint mit einem hohen Aufwand für die Umsetzung verbunden zu sein. Um den Aufwand – insbesondere für kleinere Unternehmen – überschaubar zu halten, empfiehlt sich ein einfaches, an die Bedürfnisse des jeweiligen Unternehmens anpassbares Vorgehen (inkl. Excel-Tool) in Form eines Projektes. Damit können die oben genannten Massnahmen adäquat umgesetzt und dokumentiert werden.
Fragen Sie uns! Buchen Sie Ihr unverbindliches 20 Minuten-Gespräch