Eine Anleitung zur Umsetzung des DSG mit Informationen und konkreten Todos
Planung und Information
Bevor die Umsetzung selbst in Angriff genommen wird, sollte sie geplant werden. Dazu gehört zuerst einmal die Informationsbeschaffung – viele Unternehmen wissen nicht genau, in welchem Umfeld sie sich bewegen und welche Daten und Verträge sie haben.
- Befindet sich das Unternehmen in einer Gruppenstruktur? Wenn ja, gibt es bestimmte Erwartungen aus der Gruppe zu beachten, bspw. zur Anwendung der DSGVO oder für die Verwendung gruppeneigener Vorlagen, Verträge, Datenschutzerklärungen usw.?
- Erste Überlegungen zum Risiko des Unternehmens: Bewegt es sich in einem regulierten Bereich? Gibt es Berufsgeheimnisse zu beachten? Bearbeitet das Unternehmen heikle Daten wie z.B. Gesundheitsdaten, Finanzdaten usw. (ausserhalb des HR-Bereichs)? Haben Kunden oder andere Parteien in der Lieferkette bestimmte Anforderungen oder Erwartungen? Welche Erwartungen haben die betroffenen Personen?
- Was gibt es bereits im Datenschutz? Gibt es interne Abläufe, Datenschutzerklärungen usw.?
- Welche Verträge hat das Unternehmen? Welche AGB und Verträge verwendet es für seine Kunden? Welche Verträge hat es mit seinen Lieferanten und Providern? Sind diese Verträge bekannt und verfügbar?
- Wie soll die Organisation im Datenschutz aussehen? Zumindest sollte klar sein, wo die operative Hauptverantwortung liegt (z.B. bei der Geschäftsleitung), wer für den Datenschutz im Tagesgeschäft zuständig sein soll und welche Verantwortung das Business hat (ein Datenowner, ein Verantwortlicher für einen bestimmten Bereich usw.). Diese Überlegungen können in eine Weisung einfliessen.
Datenschutzberater
- er kann nicht selbst entscheiden, wie Personendaten bearbeitet werden,
- er ist weisungsfrei, im Rahmen seiner Aufgabe als Datenschutzberater, und
- er hat ausreichende Ressourcen, um seine Aufgaben nicht nur reaktiv, sondern proaktiv wahrnehmen zu können.
Nicht für private Unternehmen. Sie sind immer frei, ob sie einen Datenschutzberater bestellen wollen, selbst bei Hochrisikobearbeitungen.
Bundesorgane müssen dagegen einen Datenschutzberater bestellen und diesen dem EDÖB melden. Dafür stellt er ein Meldeportal zur Verfügung.
Private Personen haben kein besonderes Risiko, wenn sie auf die Bestellung eines Datenschutzberaters verzichten. Risiken erhöhen sich nur dadurch, dass ein korrekt bestellter DSB die Wahrscheinlichkeit sonstiger Datenschutzverletzungen reduziert.
Bundesorgane müssen einen Datenschutzberater bestellen. Sie können aber generell nicht strafbar werden. Der EDÖB oder eine Aufsichtsbehörde können also nur eine nachträgliche Bestellung verlangen.
- Private Unternehmen sollten prüfen, ob sie freiwillig einen Datenschutzberater bestellen wollen.
- Bundesorgane müssen einen Datenschutzberater bestellen. Dieser muss dem EDÖB gemeldet und im Internet angegeben werden.
Information
Das heutige DSG verlangt nur in Ausnahmefällen eine ausdrückliche Information über die Bearbeitung von Personendaten (wenn besonders schützenswerte Personendaten wie z.B. Gesundheitsdaten oder Persönlichkeitsprofile beschafft werden). In den meisten Fällen reicht es, wenn sich eine Bearbeitung von selbst versteht.
Das ändert sich mit dem revidierten Gesetz. Analog zur DSGVO verlangt das Gesetz bei allen Bearbeitungen eine Information, sofern nicht eine Ausnahme greift. Das gilt sogar bei selbstverständlichen und trivialen Bearbeitungen. Damit wird zwar niemandem geholfen, aber eine Verletzung dieser Pflicht kann sogar strafbar sein.
Unternehmen sollten deshalb über ihre Bearbeitungen informieren, meist in Form von Datenschutzerklärungen. Das sind Hinweise oder Dokumente, die sich zur Datenbearbeitung äussern – sie sind nicht Vertragsbestandteil und sollten in der Regel auch nicht Teil von AGB sein.
Weitere Angaben finden Sie nachstehend bei den weiterführenden Informationen.
Ja. Grundsätzlich müssen Unternehmen über alle Datenbeschaffungen informieren, d.h. immer, wenn sie Personendaten bewusst oder geplant erheben (aber nicht über zufällig anfallende Daten, die sie nicht unbedingt bearbeiten wollen und die für sie auch nicht wesentlich wären).
Das betrifft diverse Bearbeitungen, z.B.
- von Endkunden
- von Kontaktpersonen der Lieferanten, Kunden, Mitbewerber, Verbände, Organisationen usw.
- von potentiellen Kunden
- von Personen, die beworben werden sollen
- von Stellenbewerbern
- von Mitarbeitenden (wobei Einzelheiten hier noch offen sind)
Es gibt aber Ausnahmen, bei denen nicht informiert werden muss:
- Das Unternehmen oder jemand anders hat bereits über die entsprechende Beschaffung informiert;
- die Bearbeitung muss von Gesetzes wegen erfolgen (z.B. im Arbeitsbereich, im Bereich des GwG usw.)
- Der Verantwortliche unterliegt einem Berufsgeheimnis, das der Information entgegensteht
- Die Daten werden über einen Dritten beschafft, also nicht direkt von der betroffenen Person, und deren Information wäre unmöglich oder unverhältnismässig aufwendig.
- Bei Medien gibt es weitere Ausnahmen.
Die Datenschutzinformation muss so präsentiert werden, dass sie für den betroffenen in zumutbarer Weise zugänglich ist. Dafür genügt im Normalfall eine Datenschutzerklärung im Internet (oder für Mitarbeitende im Intranet). Wer weiss, dass ein Unternehmen Personendaten bearbeitet, kann dort nachlesen.
Wenn eine Person nicht weiss, dass ein Unternehmen seine Daten bearbeitet, ist das anders. Dann sollte durch eine Mitteilung informiert werden, wenn das möglich, nicht unverhältnismässig aufwendig und nicht sogar durch ein Berufsgeheimnis verboten ist. Das betrifft bspw. Fälle, bei denen ein Unternehmen Personendaten von Drittpersonen erhält (Beneficial Owner bei Banken, Begünstige bei Pensionskassen, Angehörige bei Mitarbeitenden usw.). Hier kann die Informationspflicht derjenigen Person überbunden werden, die diese Drittdaten mitteilt.
Die Verletzung der Informationspflicht ist strafbar, auf Antrag und bei Vorsatz. Das ist vor allem deshalb ein Risiko, weil betroffene Personen das Strafantragsrecht im Streitfall als Waffe nutzen können.
Zudem sind fehlende, offensichtlich falsche oder unzureichende Datenschutzerklärungen gegen aussen sichtbar. Das ist nicht nur ein Reputationsthema, sondern zeigt auch, ob sich ein Unternehmen mit dem Datenschutz überhaupt auseinandergesetzt hat.
- Redaktion einer allgemeinen Datenschutzerklärung
- Redaktion einer Datenschutzerklärung für Mitarbeitende
- allenfalls weitere Datenschutzerklärungen
- Überlegungen zu Hinweisen auf die Datenschutzerklärungen bspw. in Verträgen und Musterkorrespondenz
- allenfalls Überlegungen zu Anpassungen der Datenbearbeitungen, z.B. zur Ablösung oder Einstellung bestimmter Analysetools auf Websites.
Ausland
Das Datenschutzrecht will Schutz gewährleisten. Es kann eine Übermittlung in Staaten deshalb nicht schrankenlos zulassen, wenn dort der erforderliche Schutz fehlt. Wie die DSGVO und das heutige DSG erlaubt das revidierte DSG eine solche Übermittlung deshalb zunächst nur, wenn der Empfängerstaat einen angemessenen Datenschutz gewährleistet. Das gilt für alle Mitgliedstaaten der EU bzw. des EWR, aber auch für wenige weitere Staaten.
Mit den USA wird derzeit ein Abkommen verhandelt, das die Bekanntgabe an zertifizierte US-Unternehmen grundsätzlich erlaubt. Es ist erst zwischen der EU und den USA in Kraft, wird in Kürze aber auch für die Schweiz verfügbar sein.
Fehlt ein angemessenes Schutzniveau, kann die Übermittlung im Einzelfall, in bestimmten Konstellationen, gesetzlich erlaubt sein. Meist verlangt die Bekanntgabe in diesem Fall aber den Abschluss eines in der EU und in der Schweiz anerkannten Vertragswerks, der sog. Standardvertragsklauseln. Die aktuelle Fassung besteht aus vier Modulen, je nachdem, in welchen Rollen – als Verantwortliche oder Auftragsbearbeiter – die Parteien tätig sind. Dazu müssen die Anhänge der Klauseln für den konkreten Fall ergänzt werden. Für Exporte aus der Schweiz muss zudem ein Zusatz geschlossen werden, nach den Vorgaben des EDÖB.
Ja. Die Bekanntgabe in Staaten ohne angemessenen Schutz und ohne die notwendigen Vertragsklauseln ist verboten.
Die Bekanntgabe in Staaten ohne angemessenen Schutz und ohne die notwendigen Vertragsklauseln kann strafbar sein, bei Vorsatz und auf Antrag. Je nachdem kann dies zudem eine Vertragsverletzung darstellen.
- Bestandsaufnahme, wo Daten in Staaten übermittelt werden, die keinen angemessenen Schutz aufweisen
- Prüfung, ob auf die entsprechende Bekanntgabe verzichtet bzw. ob ein Dienstleister durch einen CH/EU-Anbieter ersetzt werden könnte
- Prüfung, ob mit dem Empfänger im entsprechenden unsicheren Staat eine Vereinbarung besteht, die die Standardvertragsklauseln einschliesst
- falls dem so ist, Prüfung, ob die Standardvertragsklauseln auf dem aktuellen Stand sind und ob sie die notwendigen Anpassungen auf die Schweiz enthalten (z.B. in Form eines standardisierten Zusatzes, eines “Swiss Addendum”)
- ggf. Abschluss weiterer Verträge (Standardvertragsklauseln)
Weisungen
Das Datenschutzrecht will Schutz gewährleisten. Es kann eine Übermittlung in Staaten deshalb nicht schrankenlos zulassen, wenn dort der erforderliche Schutz fehlt. Wie die DSGVO und das heutige DSG erlaubt das revidierte DSG eine solche Übermittlung deshalb zunächst nur, wenn der Empfängerstaat einen angemessenen Datenschutz gewährleistet. Das gilt für alle Mitgliedstaaten der EU bzw. des EWR, aber auch für wenige weitere Staaten.
Mit den USA wird derzeit ein Abkommen verhandelt, das die Bekanntgabe an zertifizierte US-Unternehmen grundsätzlich erlaubt. Es ist erst zwischen der EU und den USA in Kraft, wird in Kürze aber auch für die Schweiz verfügbar sein.
Fehlt ein angemessenes Schutzniveau, kann die Übermittlung im Einzelfall, in bestimmten Konstellationen, gesetzlich erlaubt sein. Meist verlangt die Bekanntgabe in diesem Fall aber den Abschluss eines in der EU und in der Schweiz anerkannten Vertragswerks, der sog. Standardvertragsklauseln. Die aktuelle Fassung besteht aus vier Modulen, je nachdem, in welchen Rollen – als Verantwortliche oder Auftragsbearbeiter – die Parteien tätig sind. Dazu müssen die Anhänge der Klauseln für den konkreten Fall ergänzt werden. Für Exporte aus der Schweiz muss zudem ein Zusatz geschlossen werden, nach den Vorgaben des EDÖB.
Nein. Zwingend ist der Erlass einer Weisung nach schweizerischem Datenschutzrecht nicht.
Ein direktes Risiko ergibt sich aus dem Fehlen einer Weisung nicht, aber indirekt entstehen Risiken. Ohne eine grundlegende Weisung fällt es dem Unternehmen schwerer nachzuweisen, dass es sich grundsätzlich um den Datenschutz bemüht. Das kann im Fall eines Strafverfahrens eine Rolle spielen, wenn auch nicht die Hauptrolle. Ohne Weisung ist aber auch die Organisation im Bereich des Datenschutzrechts nicht festgelegt. Das führt dazu, dass Mitarbeitende weniger klar wissen, was ihre Mitverantwortung ist. Das erhöht wiederum das Risiko der Leitungspersonen, im Fall einer Verletzung selbt einer Haftung ausgesetzt zu sein.
- Ausarbeitung eines Entwurfs einer Weisung mit den wesentlichen Grundsätzen des Datenschutzes im Unternehmen. Dazu gehören meist die Grundzüge der Organisation (d.h. der Aufgaben und Verantwortlichkeiten der Leitungsorgane, der einzelnen Mitarbeitenden und ggf. einer Datenschutzstelle), die wichtigsten Grundsätze im Umgang mit Daten, grundlegende Anforderungen für die Datensicherheit und das Vorgehen bei wesentlichen Ereignissen. Sinnvoll ist auch eine Art Handout an Mitarbeitende, das die wichtigsten Verhaltensregeln enthält, als eigenes Dokument oder als Anhang zu einer Weisung.
- Abstimmung mit den internen betroffenen Personen – wer eine Aufgabe erhält, muss sie akzeptieren und dafür entsprechend vorbereitet werden (und die erforderlichen Ressourcen haben)
- Überlegungen, ob weitere Policies oder Anweisungen sinnvoll sind, z.B. für die Verwendung von IT-Mitteln des Unternehmens, für die Datenlöschung oder für den Umgang mit Sicherheitsverletzungen
- ggf. Ausarbeitung weiterer Policies oder Anweisungen, besonders bei grösseren Unternehmen, bspw. Anleitungen für das HR oder Marketing
Verträge
Das Datenschutzrecht will Schutz gewährleisten. Es kann eine Übermittlung in Staaten deshalb nicht schrankenlos zulassen, wenn dort der erforderliche Schutz fehlt. Wie die DSGVO und das heutige DSG erlaubt das revidierte DSG eine solche Übermittlung deshalb zunächst nur, wenn der Empfängerstaat einen angemessenen Datenschutz gewährleistet. Das gilt für alle Mitgliedstaaten der EU bzw. des EWR, aber auch für wenige weitere Staaten.
Mit den USA wird derzeit ein Abkommen verhandelt, das die Bekanntgabe an zertifizierte US-Unternehmen grundsätzlich erlaubt. Es ist erst zwischen der EU und den USA in Kraft, wird in Kürze aber auch für die Schweiz verfügbar sein.
Fehlt ein angemessenes Schutzniveau, kann die Übermittlung im Einzelfall, in bestimmten Konstellationen, gesetzlich erlaubt sein. Meist verlangt die Bekanntgabe in diesem Fall aber den Abschluss eines in der EU und in der Schweiz anerkannten Vertragswerks, der sog. Standardvertragsklauseln. Die aktuelle Fassung besteht aus vier Modulen, je nachdem, in welchen Rollen – als Verantwortliche oder Auftragsbearbeiter – die Parteien tätig sind. Dazu müssen die Anhänge der Klauseln für den konkreten Fall ergänzt werden. Für Exporte aus der Schweiz muss zudem ein Zusatz geschlossen werden, nach den Vorgaben des EDÖB.
Nein. Zwingend ist der Erlass einer Weisung nach schweizerischem Datenschutzrecht nicht.
Ein direktes Risiko ergibt sich aus dem Fehlen einer Weisung nicht, aber indirekt entstehen Risiken. Ohne eine grundlegende Weisung fällt es dem Unternehmen schwerer nachzuweisen, dass es sich grundsätzlich um den Datenschutz bemüht. Das kann im Fall eines Strafverfahrens eine Rolle spielen, wenn auch nicht die Hauptrolle. Ohne Weisung ist aber auch die Organisation im Bereich des Datenschutzrechts nicht festgelegt. Das führt dazu, dass Mitarbeitende weniger klar wissen, was ihre Mitverantwortung ist. Das erhöht wiederum das Risiko der Leitungspersonen, im Fall einer Verletzung selbt einer Haftung ausgesetzt zu sein.
- Ausarbeitung eines Entwurfs einer Weisung mit den wesentlichen Grundsätzen des Datenschutzes im Unternehmen. Dazu gehören meist die Grundzüge der Organisation (d.h. der Aufgaben und Verantwortlichkeiten der Leitungsorgane, der einzelnen Mitarbeitenden und ggf. einer Datenschutzstelle), die wichtigsten Grundsätze im Umgang mit Daten, grundlegende Anforderungen für die Datensicherheit und das Vorgehen bei wesentlichen Ereignissen. Sinnvoll ist auch eine Art Handout an Mitarbeitende, das die wichtigsten Verhaltensregeln enthält, als eigenes Dokument oder als Anhang zu einer Weisung.
- Abstimmung mit den internen betroffenen Personen – wer eine Aufgabe erhält, muss sie akzeptieren und dafür entsprechend vorbereitet werden (und die erforderlichen Ressourcen haben)
- Überlegungen, ob weitere Policies oder Anweisungen sinnvoll sind, z.B. für die Verwendung von IT-Mitteln des Unternehmens, für die Datenlöschung oder für den Umgang mit Sicherheitsverletzungen
- ggf. Ausarbeitung weiterer Policies oder Anweisungen, besonders bei grösseren Unternehmen, bspw. Anleitungen für das HR oder Marketing
Das revidierte DSG verlangt in bestimmten Fällen den Abschluss von Verträgen. Das ergibt sich daraus, dass das DSG verschiedene Rollen von Unternehmen unterscheidet:
- Verantwortliche sind diejenigen Unternehmen, die die Bearbeitung veranlassen und die wesentlichen Rahmenbedingungen bestimmen. Das sind bspw. Unternehmen für die Daten ihrer Kunden und Mitarbeitenden. Dazu finden Sie auch beim Bearbeitungsverzeichnis weitere Hinweise.
- Auftragsbearbeiter sind Unternehmen, die Daten auf Instruktion und nach den Vorgaben des Verantwortlichen bearbeiten. Hauptbeispiele sind IT-Dienstleister. Andere Dienstleister sind u.U. auch Verantwortliche, bspw. Berater, Banken, Anwälte, Inkassounternehmen usw.
Wenn ein Verantwortlicher Personendaten einem Auftragsbearbeiter bekanntgibt, ist das grundsätzlich zulässig. Es verlangt aber den Abschluss einer entsprechenden Vereinbarung.
Die Bekanntgabe an andere Verantwortliche kann je nachdem heikel oder problemlos sein. Das hängt von der Art der Daten und dem Zweck der Bekanntgabe ab.
In der Datenschutzerklärung müssen aber beide genannt werden, d.h. die Kategorien (Arten) von Verantwortlichen und auch von Auftragsbearbeitern, denen Personendaten bekanntgegeben werden.
Ja. Die Bekanntgabe von Personendaten an Auftragsbearbeiter ohne entsprechende Vereinbarung kann im Extremfall strafbar sein, auf Antrag und bei Vorsatz. Bei der Bekanntgabe an Verantwortliche ist ein eigener Vertrag nicht unbedingt zwingend, sehr oft aber sinnvoll.
Bei einer Auftragsbearbeitung ohne ausreichenden Vertrag besteht ein Strafbarkeitsrisiko. Allerdings dürften die meisten Verträge die mindestens notwendigen Bestimmungen enthalten.
Wenn es um Daten geht, die einem Berufsgeheimnis unterliegen, muss die Bekanntgabe separat geprüft werden.
- Prüfung der Vertragsbeziehungen: Wo und wofür werden Dienstleister beigezogen? Wo gibt es Zusammenarbeitsformen, die eine gemeinsame Verantwortung darstellen?
- Prüfung der bestehenden Verträge: Gibt es sie? Sind sie halbwegs aktuell? Enthalten sie bereits die notwendigen Datenschutzbestimmungen?
- Anpassung oder Neuabschluss von Verträgen, soweit die erforderlichen Datenschutzbestimmungen fehlen oder unzureichend sind
- ggf. Ausarbeitung von eigenen Vorlagen für den obigen Schritt
- bei Dienstleistern: Prüfung, ob die erforderlichen Garantien eingehalten werden, v.a. ob die Datensicherheit bekannt und ausreichend ist – allenfalls braucht es hier eine erneute Prüfung
Bearbeitungsverzeichnis
Das revidierte Recht verzichtet an sich bewusst auf eine eigene, allgemeine Pflicht, Bearbeitungen oder die damit zusammenhängenden Entscheidungen zu dokumentieren. Punktuell sieht der Gesetzgeber aber trotzdem sogenannte Accountability-Pflichten um. Dazu gehören auch etwa die Aufbewahrungspflicht bei der Datenschutz-Folgenabschätzung oder die Protokollierung, vor allem aber die Pflicht, ein Bearbeitungsverzeichnis zu führen.
Ein Bearbeitungsverzeichnis ist eine Liste der Art und Weise, wie ein Unternehmen Personendaten bearbeitet. Es muss die wesentlichen Rahmenbedingungen der Bearbeitung enthalten, die teilweise auch bei der Informationspflicht oder beim Auskunftsrecht zu beachten sind. Es sind auch diese Rahmenbedingungen, die entscheiden, wer überhaupt der Verantwortliche ist: Diejenige Person, die die Bearbeitung veranlasst und diese Rahmenbedingungen bestimmt
Weitere Angaben finden Sie anschliessend bei den weiterführenden Informationen.
- Wer ist der Verantwortliche für die Bearbeitung?
- Welchen Zweck hat die Bearbeitung?
- Welche Kategorien von Personen betrifft sie, und welche Arten von Personendaten?
- An welche Arten von Empfängern werden Personendaten bekanntgegeben?
- Wie lange oder nach welcher Logik werden Personendaten aufbewahrt?
- Welche Sicherheitsmassnahmen kommen für sie zur Anwendung?
- Falls Personendaten ins Ausland bekanntgegeben werden: In welche Staaten und ggf. auf welcher Grundlage?
- Wer ist der Auftragsbearbeiter?
- Für welche Verantwortlichen ist er tätig?
- Welche Arten von Bearbeitungen nimmt er für diese vor?
- Welche Sicherheitsmassnahmen kommen für sie zur Anwendung?
- Falls Personendaten ins Ausland bekanntgegeben werden: In welche Staaten und ggf. auf welcher Grundlage?
- Ein Bearbeitungsverzeichnis zu führen, ist nur für Unternehmen zwingend, die jeweils zu Jahresbeginn 250 oder mehr Mitarbeitende (nach Anzahl, nicht nach FTE) beschäftigen.
- Kleinere Unternehmen müssen nur Bearbeitungen erfassen, die besonders schützenswerte Personendaten in grossem Umfang betreffen (was “grosser Umfang” heisst, ist offen – wir schlagen eine Grenze von 1’000 vor) oder bei denen ein Profiling mit hohem Risio erfolgt. Letzteres kann bspw. bei sehr ausgefeilten Personalisierungen von Inhalten der Fall sein.
- Bundesorgane – das sind auch bspw. Pensionskassen und privatrechtlich organisierte Organisationen, die eine Bundesaufgabe erfüllen – müssen ein Bearbeitungsverzeichnis führen. Sie müssen es zudem dem EDÖB melden und dafür ein Benutzeraccount eröffnen. Man kann das Verzeichnis dem EDÖB aber auch so schicken. Die Verzeichnisse der Bundesorgane werden veröffentlicht.
Es ist nicht strafbar, kein Bearbeitungsverzeichnis zu führen (weder für Private noch für Bundesorgane). Im Fall einer Untersuchung wird der EDÖB aber zuerst nach dem Verzeichnis fragen – besteht es trotz einer Pflicht nicht, wird das Fragen zum Umgang mit Personendaten generell aufwerfen.
Ja, es gibt diverse Vorlagen. Eine Vorlage für ein einfaches Verzeichnis für Verantwortliche und Auftragsbearbeiter finden Sie hier bei uns.
- Private Unternehmen: Prüfung, ob die Ausnahme für KMU greift – wenn ja, ob dennoch ein Verzeichnis geführt werden soll
- Bestimmung des Formats – einfacher ist meistens besser (z.B. eine Excel-Liste oder eine Liste in einem bestehenden Tool wie Confluence, Google Sheets, Notion usw.), aber es können auch weitere Angaben erfasst weden, wenn diese Angaben anschliessend in einer bestimmten Weise verwendet werden sollen
- Ausarbeitung einer Vorlage des Verzeichnisses (das kann man von uns auch beziehen) und ggf. einer kurzen Anleitung dazu (für diejenigen Mitarbeitenden, die das Verzeichnis befüllen und à jour halten sollen)
- Bestimmung des Vorgehens für die initiale Befüllung und spätere Aktualisierung des Verzeichnisses (wer ist zuständig, wie ist sichergestellt, dass neue Bearbeitungen erfasst werden)
- Aufnahme des Verzeichnisses, d.h. der Bearbeitungstätigkeiten – das verlangt meist den Einbezug des Business, des HR und der IT, z.B. in einem Workshop
Weitere Punkte
Neben den genannten Punkten sind natürlich weitere Punkte zu bedenken. Ohne Anspruch auf Vollständigkeit: zwei der wichtigsten Punkte sind sicher die Datenlöschung und die Datensicherheit.
- Wo mit Gewissheit veraltete Daten liegen: Beginn einer Aufräumaktion (z.B. bei geteilten Ordnern, die alte Bewerberdossiers enthalten)
- Abklärung der wesentlichen Aufbewahrungsfristen (eine Mischung aus Aufbewahrungspflichten und Verjährungsfristen), am besten in einer Lösch-Policy
- Definition von Regeln für das händische Löschen (ebenfalls in der Lösch-Policy)
- Konfiguration von Applikationen zur automatischen Löschung, soweit möglich und sinnvoll
- Sofern die Sicherheitsmassnahmen nicht auf dem aktuellen Stand sind: entsprechende Prüfung der eigenen Systeme und Schnittstellen
- Schulung der Mitarbeitenden in einem geeigneten Mass und Turnus