Umsetzung des DSG

Q: Checkliste und Leitfaden

Checkliste auf Englisch Checkliste auf Deutsch Leitfaden auf Deutsch ↓ Leitfaden auf Englisch ↓

Q: Weiteres Material zur Umsetzung

Downloads VISCHER Privacy Score

Das Datenschutzrecht verlangt eine Reihe von Massnahmen. Einige davon werden im laufenden Betrieb erforderlich, bspw. eine Meldung einer Datensicherheitsverletzung oder eine Antwort auf ein Auskunftsbegehren. Das kann aber eine gewisse Vorbereitung verlangen, weshalb sich Unternehmen – jedenfalls grössere – proaktiv mit diesen Fragen befassen müssen. Andere Massnahmen müssen unabhängig von einem Einzelereignis im Vorfeld getroffen werden.

Das Datenschutzrecht verlangt deshalb eine “Umsetzung”, d.h. bestimmte Massnahmen, um das Risiko einer Datenschutzverletzung zu vermeiden, im Interesse der betroffenen Personen wie auch des Unternehmens und seiner Mitarbeitenden und Leitungsorgane.

Wie umzusetzen ist, ist stark vom Einzelfall abhängig. Sehr kleine Unternehmen können mit einer Datenschutzerklärung auskommen, grosse Unternehmen müssen einiges mehr tun.

Falle ich unter die DSGVO?

Falle ich unter die DSGVO? Die DSGVO (Datenschutz-Grundverordnung) gilt im Gebiet der EU und des restlichen EWR. Sie kann aber auch auf Unternehmen in der Schweiz anwendbar sein – unter bestimmten Voraussetzungen. Wenn Sie nicht sicher sind, ob das auch auf Sie zutrifft, können sie unseren Selbsttest machen.

Checkliste und Leitfaden

Für KMU:

Nicht nur grosse Unternehmen müssen das neue Datenschutzrecht umsetzen, sondern auch KMU. Ausnahmen für KMU gibt es im nDSG nur am Rande – die meisten Vorgaben gelten auch für sie. Die Erwartungen an den Standard der Umsetzung sind allerdings andere.

Wir haben deshalb eine Checkliste für KMU ausgearbeitet. Sie ist auf einfachere Verhältnisse und private Unternehmen ausgelegt (nicht für öffentliche Organe). Sie erhebt keinen Anspruch auf Vollständigkeit und stellt keine Rechtsberatung dar.

Wir stellen Checklisten für die Umsetzung des nDSG zur Verfügung, für KMU (nach schweizerischem Recht) und für grössere Unternehmen (mit Blick auch auf die DSGVO).

Für grössere Unternehmen mit DSGVO:

Bei grösseren oder international tätigen Unternehmen ist oft von einer Umsetzung der DSGVO auszugehen, soweit das möglich ist. Entsprechend fragen sich solche Unternehmen weniger, welche Anforderungen des neue DSG als vielmehr, wo Unterschiede zwischen der DSGVO und dem nDSG bestehen. Dafür stellen einen Leitfaden zur Verfügung:

Weiteres Material zur Umsetzung

Sie finden bei uns diverse Links und Downloads zum Datenschutzrecht:

Weitere Hinweise finden Sie auch bei rosenthal.ch und einen Selbsttest beim Vischer Privacy Score.

Anleitung zur Umsetzung

Eine Anleitung mit Informationen und konkreten Todos

Planung und Information

Bevor die Umsetzung selbst in Angriff genommen wird, sollte sie geplant werden. Dazu gehört zuerst einmal die Informationsbeschaffung – viele Unternehmen wissen nicht genau, in welchem Umfeld sie sich bewegen und welche Daten und Verträge sie haben.

Todos

Befindet sich das Unternehmen in einer Gruppenstruktur? Wenn ja, gibt es bestimmte Erwartungen aus der Gruppe zu beachten, bspw. zur Anwendung der DSGVO oder für die Verwendung gruppeneigener Vorlagen, Verträge, Datenschutzerklärungen usw.?
Erste Überlegungen zum Risiko des Unternehmens: Bewegt es sich in einem regulierten Bereich? Gibt es Berufsgeheimnisse zu beachten? Bearbeitet das Unternehmen heikle Daten wie z.B. Gesundheitsdaten, Finanzdaten usw. (ausserhalb des HR-Bereichs)? Haben Kunden oder andere Parteien in der Lieferkette bestimmte Anforderungen oder Erwartungen? Welche Erwartungen haben die betroffenen Personen?
Was gibt es bereits im Datenschutz? Gibt es interne Abläufe, Datenschutzerklärungen usw.?
Welche Verträge hat das Unternehmen? Welche AGB und Verträge verwendet es für seine Kunden? Welche Verträge hat es mit seinen Lieferanten und Providern? Sind diese Verträge bekannt und verfügbar?
Wie soll die Organisation im Datenschutz aussehen? Zumindest sollte klar sein, wo die operative Hauptverantwortung liegt (z.B. bei der Geschäftsleitung), wer für den Datenschutz im Tagesgeschäft zuständig sein soll und welche Verantwortung das Business hat (ein Datenowner, ein Verantwortlicher für einen bestimmten Bereich usw.). Diese Überlegungen können in eine Weisung einfliessen.

Datenschutzberater

Die Verantwortung für die Einhaltung des Datenschutzes liegt beim Unternehmen – vor allem beim Verantwortlichen, aber zu einem Teil auch beim Auftragsbearbeiter. Innerhalb des Unternehmens ist zuerst der Verwaltungsrat für die Compliance auch im Bereich des Datenschutzes zuständig. Die Umsetzungsverantwortung ist dabei häufig an eine Geschäftsleitung oder eine andere Funktion delegiert. Aber alle Mitarbeitenden haben eine Mitverantwortung, in ihrem jeweiligen Tätigkeitsbereich. Das Gesetz sieht aber vor, dass Unternehmen eine eigene und unabhängige Funktion einrichten können, die bei der Einhaltung des Datenschutzes hilt: Den Datenschutzberater (DSB). Der DSB muss unabhängig sein, d.h.

er kann nicht selbst entscheiden, wie Personendaten bearbeitet werden,
er ist weisungsfrei, im Rahmen seiner Aufgabe als Datenschutzberater, und
er hat ausreichende Ressourcen, um seine Aufgaben nicht nur reaktiv, sondern proaktiv wahrnehmen zu können.

Dadurch soll das Unternehmen eine gewisse Aussensicht habe, die den Datenschutz objektiv beurteilt und den Entscheidorganen dadurch eine Grundlage verschafft, ihre Businessentscheidungen en connaissance de cause zu fällen.

Ist das zwingend?

Nicht für private Unternehmen. Sie sind immer frei, ob sie einen Datenschutzberater bestellen wollen, selbst bei Hochrisikobearbeitungen.

Bundesorgane müssen dagegen einen Datenschutzberater bestellen und diesen dem EDÖB melden. Dafür stellt er ein Meldeportal zur Verfügung.

Risiken, wenn ich keinen DSB habe?

Private Personen haben kein besonderes Risiko, wenn sie auf die Bestellung eines Datenschutzberaters verzichten. Risiken erhöhen sich nur dadurch, dass ein korrekt bestellter DSB die Wahrscheinlichkeit sonstiger Datenschutzverletzungen reduziert.

Bundesorgane müssen einen Datenschutzberater bestellen. Sie können aber generell nicht strafbar werden. Der EDÖB oder eine Aufsichtsbehörde können also nur eine nachträgliche Bestellung verlangen.

Todos

Private Unternehmen sollten prüfen, ob sie freiwillig einen Datenschutzberater bestellen wollen.
Bundesorgane müssen einen Datenschutzberater bestellen. Dieser muss dem EDÖB gemeldet und im Internet angegeben werden.

Information

Das heutige DSG verlangt nur in Ausnahmefällen eine ausdrückliche Information über die Bearbeitung von Personendaten (wenn besonders schützenswerte Personendaten wie z.B. Gesundheitsdaten oder Persönlichkeitsprofile beschafft werden). In den meisten Fällen reicht es, wenn sich eine Bearbeitung von selbst versteht.

Das ändert sich mit dem revidierten Gesetz. Analog zur DSGVO verlangt das Gesetz bei allen Bearbeitungen eine Information, sofern nicht eine Ausnahme greift. Das gilt sogar bei selbstverständlichen und trivialen Bearbeitungen. Damit wird zwar niemandem geholfen, aber eine Verletzung dieser Pflicht kann sogar strafbar sein.

Unternehmen sollten deshalb über ihre Bearbeitungen informieren, meist in Form von Datenschutzerklärungen. Das sind Hinweise oder Dokumente, die sich zur Datenbearbeitung äussern – sie sind nicht Vertragsbestandteil und sollten in der Regel auch nicht Teil von AGB sein.

Weitere Angaben finden Sie nachstehend bei den weiterführenden Informationen.

Ist das zwingend?

Ja. Grundsätzlich müssen Unternehmen über alle Datenbeschaffungen informieren, d.h. immer, wenn sie Personendaten bewusst oder geplant erheben (aber nicht über zufällig anfallende Daten, die sie nicht unbedingt bearbeiten wollen und die für sie auch nicht wesentlich wären).

Das betrifft diverse Bearbeitungen, z.B.

von Endkunden
von Kontaktpersonen der Lieferanten, Kunden, Mitbewerber, Verbände, Organisationen usw.
von potentiellen Kunden
von Personen, die beworben werden sollen
von Stellenbewerbern
von Mitarbeitenden (wobei Einzelheiten hier noch offen sind)

Es gibt aber Ausnahmen, bei denen nicht informiert werden muss:

Das Unternehmen oder jemand anders hat bereits über die entsprechende Beschaffung informiert;
die Bearbeitung muss von Gesetzes wegen erfolgen (z.B. im Arbeitsbereich, im Bereich des GwG usw.)
Der Verantwortliche unterliegt einem Berufsgeheimnis, das der Information entgegensteht
Die Daten werden über einen Dritten beschafft, also nicht direkt von der betroffenen Person, und deren Information wäre unmöglich oder unverhältnismässig aufwendig.
Bei Medien gibt es weitere Ausnahmen.

Wie muss ich informieren?

Die Datenschutzinformation muss so präsentiert werden, dass sie für den betroffenen in zumutbarer Weise zugänglich ist. Dafür genügt im Normalfall eine Datenschutzerklärung im Internet (oder für Mitarbeitende im Intranet). Wer weiss, dass ein Unternehmen Personendaten bearbeitet, kann dort nachlesen.

Wenn eine Person nicht weiss, dass ein Unternehmen seine Daten bearbeitet, ist das anders. Dann sollte durch eine Mitteilung informiert werden, wenn das möglich, nicht unverhältnismässig aufwendig und nicht sogar durch ein Berufsgeheimnis verboten ist. Das betrifft bspw. Fälle, bei denen ein Unternehmen Personendaten von Drittpersonen erhält (Beneficial Owner bei Banken, Begünstige bei Pensionskassen, Angehörige bei Mitarbeitenden usw.). Hier kann die Informationspflicht derjenigen Person überbunden werden, die diese Drittdaten mitteilt.

Risiken, wenn ich nicht informiere?

Die Verletzung der Informationspflicht ist strafbar, auf Antrag und bei Vorsatz. Das ist vor allem deshalb ein Risiko, weil betroffene Personen das Strafantragsrecht im Streitfall als Waffe nutzen können.

Zudem sind fehlende, offensichtlich falsche oder unzureichende Datenschutzerklärungen gegen aussen sichtbar. Das ist nicht nur ein Reputationsthema, sondern zeigt auch, ob sich ein Unternehmen mit dem Datenschutz überhaupt auseinandergesetzt hat.

Gibt es Vorlagen?

Ja, es gibt Vorlagen. Hier sind einige Vorlagen abrufbar. Weitere können bei uns bezogen werden.

Todos

Redaktion einer allgemeinen Datenschutzerklärung
Redaktion einer Datenschutzerklärung für Mitarbeitende
allenfalls weitere Datenschutzerklärungen
Überlegungen zu Hinweisen auf die Datenschutzerklärungen bspw. in Verträgen und Musterkorrespondenz
allenfalls Überlegungen zu Anpassungen der Datenbearbeitungen, z.B. zur Ablösung oder Einstellung bestimmter Analysetools auf Websites.

Ausland

Das Datenschutzrecht will Schutz gewährleisten. Es kann eine Übermittlung in Staaten deshalb nicht schrankenlos zulassen, wenn dort der erforderliche Schutz fehlt. Wie die DSGVO und das heutige DSG erlaubt das revidierte DSG eine solche Übermittlung deshalb zunächst nur, wenn der Empfängerstaat einen angemessenen Datenschutz gewährleistet. Das gilt für alle Mitgliedstaaten der EU bzw. des EWR, aber auch für wenige weitere Staaten.

Mit den USA wird derzeit ein Abkommen verhandelt, das die Bekanntgabe an zertifizierte US-Unternehmen grundsätzlich erlaubt. Es ist erst zwischen der EU und den USA in Kraft, wird in Kürze aber auch für die Schweiz verfügbar sein.

Fehlt ein angemessenes Schutzniveau, kann die Übermittlung im Einzelfall, in bestimmten Konstellationen, gesetzlich erlaubt sein. Meist verlangt die Bekanntgabe in diesem Fall aber den Abschluss eines in der EU und in der Schweiz anerkannten Vertragswerks, der sog. Standardvertragsklauseln. Die aktuelle Fassung besteht aus vier Modulen, je nachdem, in welchen Rollen – als Verantwortliche oder Auftragsbearbeiter – die Parteien tätig sind. Dazu müssen die Anhänge der Klauseln für den konkreten Fall ergänzt werden. Für Exporte aus der Schweiz muss zudem ein Zusatz geschlossen werden, nach den Vorgaben des EDÖB.

Ist das zwingend?

Ja. Die Bekanntgabe in Staaten ohne angemessenen Schutz und ohne die notwendigen Vertragsklauseln ist verboten.

Risiken, wenn ich Daten ohne Absicherung ins Ausland übermittle?

Die Bekanntgabe in Staaten ohne angemessenen Schutz und ohne die notwendigen Vertragsklauseln kann strafbar sein, bei Vorsatz und auf Antrag. Je nachdem kann dies zudem eine Vertragsverletzung darstellen.

Todos

Bestandsaufnahme, wo Daten in Staaten übermittelt werden, die keinen angemessenen Schutz aufweisen
Prüfung, ob auf die entsprechende Bekanntgabe verzichtet bzw. ob ein Dienstleister durch einen CH/EU-Anbieter ersetzt werden könnte
Prüfung, ob mit dem Empfänger im entsprechenden unsicheren Staat eine Vereinbarung besteht, die die Standardvertragsklauseln einschliesst
falls dem so ist, Prüfung, ob die Standardvertragsklauseln auf dem aktuellen Stand sind und ob sie die notwendigen Anpassungen auf die Schweiz enthalten (z.B. in Form eines standardisierten Zusatzes, eines “Swiss Addendum”)
ggf. Abschluss weiterer Verträge (Standardvertragsklauseln)

Weisungen

Ist das zwingend?

Nein. Zwingend ist der Erlass einer Weisung nach schweizerischem Datenschutzrecht nicht.

Risiken, wenn ich keine Weisungen erlasse?

Ein direktes Risiko ergibt sich aus dem Fehlen einer Weisung nicht, aber indirekt entstehen Risiken. Ohne eine grundlegende Weisung fällt es dem Unternehmen schwerer nachzuweisen, dass es sich grundsätzlich um den Datenschutz bemüht. Das kann im Fall eines Strafverfahrens eine Rolle spielen, wenn auch nicht die Hauptrolle. Ohne Weisung ist aber auch die Organisation im Bereich des Datenschutzrechts nicht festgelegt. Das führt dazu, dass Mitarbeitende weniger klar wissen, was ihre Mitverantwortung ist. Das erhöht wiederum das Risiko der Leitungspersonen, im Fall einer Verletzung selbt einer Haftung ausgesetzt zu sein.

Todos

Ausarbeitung eines Entwurfs einer Weisung mit den wesentlichen Grundsätzen des Datenschutzes im Unternehmen. Dazu gehören meist die Grundzüge der Organisation (d.h. der Aufgaben und Verantwortlichkeiten der Leitungsorgane, der einzelnen Mitarbeitenden und ggf. einer Datenschutzstelle), die wichtigsten Grundsätze im Umgang mit Daten, grundlegende Anforderungen für die Datensicherheit und das Vorgehen bei wesentlichen Ereignissen. Sinnvoll ist auch eine Art Handout an Mitarbeitende, das die wichtigsten Verhaltensregeln enthält, als eigenes Dokument oder als Anhang zu einer Weisung.
Abstimmung mit den internen betroffenen Personen – wer eine Aufgabe erhält, muss sie akzeptieren und dafür entsprechend vorbereitet werden (und die erforderlichen Ressourcen haben)
Überlegungen, ob weitere Policies oder Anweisungen sinnvoll sind, z.B. für die Verwendung von IT-Mitteln des Unternehmens, für die Datenlöschung oder für den Umgang mit Sicherheitsverletzungen
ggf. Ausarbeitung weiterer Policies oder Anweisungen, besonders bei grösseren Unternehmen, bspw. Anleitungen für das HR oder Marketing

Verträge

Ist das zwingend?

Nein. Zwingend ist der Erlass einer Weisung nach schweizerischem Datenschutzrecht nicht.

Risiken, wenn ich keine Weisungen erlasse?

Todos

Ausarbeitung eines Entwurfs einer Weisung mit den wesentlichen Grundsätzen des Datenschutzes im Unternehmen. Dazu gehören meist die Grundzüge der Organisation (d.h. der Aufgaben und Verantwortlichkeiten der Leitungsorgane, der einzelnen Mitarbeitenden und ggf. einer Datenschutzstelle), die wichtigsten Grundsätze im Umgang mit Daten, grundlegende Anforderungen für die Datensicherheit und das Vorgehen bei wesentlichen Ereignissen. Sinnvoll ist auch eine Art Handout an Mitarbeitende, das die wichtigsten Verhaltensregeln enthält, als eigenes Dokument oder als Anhang zu einer Weisung.
Abstimmung mit den internen betroffenen Personen – wer eine Aufgabe erhält, muss sie akzeptieren und dafür entsprechend vorbereitet werden (und die erforderlichen Ressourcen haben)
Überlegungen, ob weitere Policies oder Anweisungen sinnvoll sind, z.B. für die Verwendung von IT-Mitteln des Unternehmens, für die Datenlöschung oder für den Umgang mit Sicherheitsverletzungen
ggf. Ausarbeitung weiterer Policies oder Anweisungen, besonders bei grösseren Unternehmen, bspw. Anleitungen für das HR oder Marketing

Das revidierte DSG verlangt in bestimmten Fällen den Abschluss von Verträgen. Das ergibt sich daraus, dass das DSG verschiedene Rollen von Unternehmen unterscheidet:

Verantwortliche sind diejenigen Unternehmen, die die Bearbeitung veranlassen und die wesentlichen Rahmenbedingungen bestimmen. Das sind bspw. Unternehmen für die Daten ihrer Kunden und Mitarbeitenden. Dazu finden Sie auch beim Bearbeitungsverzeichnis weitere Hinweise.
Auftragsbearbeiter sind Unternehmen, die Daten auf Instruktion und nach den Vorgaben des Verantwortlichen bearbeiten. Hauptbeispiele sind IT-Dienstleister. Andere Dienstleister sind u.U. auch Verantwortliche, bspw. Berater, Banken, Anwälte, Inkassounternehmen usw.

Wenn ein Verantwortlicher Personendaten einem Auftragsbearbeiter bekanntgibt, ist das grundsätzlich zulässig. Es verlangt aber den Abschluss einer entsprechenden Vereinbarung.

Die Bekanntgabe an andere Verantwortliche kann je nachdem heikel oder problemlos sein. Das hängt von der Art der Daten und dem Zweck der Bekanntgabe ab.

In der Datenschutzerklärung müssen aber beide genannt werden, d.h. die Kategorien (Arten) von Verantwortlichen und auch von Auftragsbearbeitern, denen Personendaten bekanntgegeben werden.

Ist das zwingend?

Ja. Die Bekanntgabe von Personendaten an Auftragsbearbeiter ohne entsprechende Vereinbarung kann im Extremfall strafbar sein, auf Antrag und bei Vorsatz. Bei der Bekanntgabe an Verantwortliche ist ein eigener Vertrag nicht unbedingt zwingend, sehr oft aber sinnvoll.

Risiken, wenn ich nicht informiere?

Bei einer Auftragsbearbeitung ohne ausreichenden Vertrag besteht ein Strafbarkeitsrisiko. Allerdings dürften die meisten Verträge die mindestens notwendigen Bestimmungen enthalten.

Wenn es um Daten geht, die einem Berufsgeheimnis unterliegen, muss die Bekanntgabe separat geprüft werden.

Todos

Prüfung der Vertragsbeziehungen: Wo und wofür werden Dienstleister beigezogen? Wo gibt es Zusammenarbeitsformen, die eine gemeinsame Verantwortung darstellen?
Prüfung der bestehenden Verträge: Gibt es sie? Sind sie halbwegs aktuell? Enthalten sie bereits die notwendigen Datenschutzbestimmungen?
Anpassung oder Neuabschluss von Verträgen, soweit die erforderlichen Datenschutzbestimmungen fehlen oder unzureichend sind
ggf. Ausarbeitung von eigenen Vorlagen für den obigen Schritt
bei Dienstleistern: Prüfung, ob die erforderlichen Garantien eingehalten werden, v.a. ob die Datensicherheit bekannt und ausreichend ist – allenfalls braucht es hier eine erneute Prüfung

Bearbeitungsverzeichnis

Das revidierte Recht verzichtet an sich bewusst auf eine eigene, allgemeine Pflicht, Bearbeitungen oder die damit zusammenhängenden Entscheidungen zu dokumentieren. Punktuell sieht der Gesetzgeber aber trotzdem sogenannte Accountability-Pflichten um. Dazu gehören auch etwa die Aufbewahrungspflicht bei der Datenschutz-Folgenabschätzung oder die Protokollierung, vor allem aber die Pflicht, ein Bearbeitungsverzeichnis zu führen.

Ein Bearbeitungsverzeichnis ist eine Liste der Art und Weise, wie ein Unternehmen Personendaten bearbeitet. Es muss die wesentlichen Rahmenbedingungen der Bearbeitung enthalten, die teilweise auch bei der Informationspflicht oder beim Auskunftsrecht zu beachten sind. Es sind auch diese Rahmenbedingungen, die entscheiden, wer überhaupt der Verantwortliche ist: Diejenige Person, die die Bearbeitung veranlasst und diese Rahmenbedingungen bestimmt

Weitere Angaben finden Sie anschliessend bei den weiterführenden Informationen.

Was muss das Verzeichnis des Verantwortlichen enthalten?

Wer ist der Verantwortliche für die Bearbeitung?
Welchen Zweck hat die Bearbeitung?
Welche Kategorien von Personen betrifft sie, und welche Arten von Personendaten?
An welche Arten von Empfängern werden Personendaten bekanntgegeben?
Wie lange oder nach welcher Logik werden Personendaten aufbewahrt?
Welche Sicherheitsmassnahmen kommen für sie zur Anwendung?
Falls Personendaten ins Ausland bekanntgegeben werden: In welche Staaten und ggf. auf welcher Grundlage?

Was muss das Verzeichnis des Auftragsbearbeiters enthalten?

Wer ist der Auftragsbearbeiter?
Für welche Verantwortlichen ist er tätig?
Welche Arten von Bearbeitungen nimmt er für diese vor?
Welche Sicherheitsmassnahmen kommen für sie zur Anwendung?
Falls Personendaten ins Ausland bekanntgegeben werden: In welche Staaten und ggf. auf welcher Grundlage?

Ist das zwingend?

Ein Bearbeitungsverzeichnis zu führen, ist nur für Unternehmen zwingend, die jeweils zu Jahresbeginn 250 oder mehr Mitarbeitende (nach Anzahl, nicht nach FTE) beschäftigen.
Kleinere Unternehmen müssen nur Bearbeitungen erfassen, die besonders schützenswerte Personendaten in grossem Umfang betreffen (was “grosser Umfang” heisst, ist offen – wir schlagen eine Grenze von 1’000 vor) oder bei denen ein Profiling mit hohem Risio erfolgt. Letzteres kann bspw. bei sehr ausgefeilten Personalisierungen von Inhalten der Fall sein.
Bundesorgane – das sind auch bspw. Pensionskassen und privatrechtlich organisierte Organisationen, die eine Bundesaufgabe erfüllen – müssen ein Bearbeitungsverzeichnis führen. Sie müssen es zudem dem EDÖB melden und dafür ein Benutzeraccount eröffnen. Man kann das Verzeichnis dem EDÖB aber auch so schicken. Die Verzeichnisse der Bundesorgane werden veröffentlicht.

Risiken, wenn ich kein Verzeichnis führe?

Es ist nicht strafbar, kein Bearbeitungsverzeichnis zu führen (weder für Private noch für Bundesorgane). Im Fall einer Untersuchung wird der EDÖB aber zuerst nach dem Verzeichnis fragen – besteht es trotz einer Pflicht nicht, wird das Fragen zum Umgang mit Personendaten generell aufwerfen.

Gibt es Vorlagen?

Ja, es gibt diverse Vorlagen. Eine Vorlage für ein einfaches Verzeichnis für Verantwortliche und Auftragsbearbeiter finden Sie hier bei uns.

Todos

Private Unternehmen: Prüfung, ob die Ausnahme für KMU greift – wenn ja, ob dennoch ein Verzeichnis geführt werden soll
Bestimmung des Formats – einfacher ist meistens besser (z.B. eine Excel-Liste oder eine Liste in einem bestehenden Tool wie Confluence, Google Sheets, Notion usw.), aber es können auch weitere Angaben erfasst weden, wenn diese Angaben anschliessend in einer bestimmten Weise verwendet werden sollen
Ausarbeitung einer Vorlage des Verzeichnisses (das kann man von uns auch beziehen) und ggf. einer kurzen Anleitung dazu (für diejenigen Mitarbeitenden, die das Verzeichnis befüllen und à jour halten sollen)
Bestimmung des Vorgehens für die initiale Befüllung und spätere Aktualisierung des Verzeichnisses (wer ist zuständig, wie ist sichergestellt, dass neue Bearbeitungen erfasst werden)
Aufnahme des Verzeichnisses, d.h. der Bearbeitungstätigkeiten – das verlangt meist den Einbezug des Business, des HR und der IT, z.B. in einem Workshop

Weitere Punkte

Neben den genannten Punkten sind natürlich weitere Punkte zu bedenken. Ohne Anspruch auf Vollständigkeit: zwei der wichtigsten Punkte sind sicher die Datenlöschung und die Datensicherheit.

Todos

Wo mit Gewissheit veraltete Daten liegen: Beginn einer Aufräumaktion (z.B. bei geteilten Ordnern, die alte Bewerberdossiers enthalten)
Abklärung der wesentlichen Aufbewahrungsfristen (eine Mischung aus Aufbewahrungspflichten und Verjährungsfristen), am besten in einer Lösch-Policy
Definition von Regeln für das händische Löschen (ebenfalls in der Lösch-Policy)
Konfiguration von Applikationen zur automatischen Löschung, soweit möglich und sinnvoll
Sofern die Sicherheitsmassnahmen nicht auf dem aktuellen Stand sind: entsprechende Prüfung der eigenen Systeme und Schnittstellen
Schulung der Mitarbeitenden in einem geeigneten Mass und Turnus

Umset­zung des DSG

Anlei­tung zur Umsetzung

Umsetzung des DSG

Anleitung zur Umsetzung