Das Datenschutzrecht verlangt eine Reihe von Massnahmen. Einige davon werden im laufenden Betrieb erforderlich, bspw. eine Meldung einer Datensicherheitsverletzung oder eine Antwort auf ein Auskunftsbegehren. Das kann aber eine gewisse Vorbereitung verlangen, weshalb sich Unternehmen – jedenfalls grössere – proaktiv mit diesen Fragen befassen müssen. Andere Massnahmen müssen unabhängig von einem Einzelereignis im Vorfeld getroffen werden.
Das Datenschutzrecht verlangt deshalb eine „Umsetzung“, d.h. bestimmte Massnahmen, um das Risiko einer Datenschutzverletzung zu vermeiden, im Interesse der betroffenen Personen wie auch des Unternehmens und seiner Mitarbeitenden und Leitungsorgane.
Wie umzusetzen ist, ist stark vom Einzelfall abhängig. Sehr kleine Unternehmen können mit einer Datenschutzerklärung auskommen, grosse Unternehmen müssen einiges mehr tun.
Falle ich unter die DSGVO? Die DSGVO (Datenschutz-Grundverordnung) gilt im Gebiet der EU und des restlichen EWR. Sie kann aber auch auf Unternehmen in der Schweiz anwendbar sein – unter bestimmten Voraussetzungen. Wenn Sie nicht sicher sind, ob das auch auf Sie zutrifft, können sie unseren Selbsttest machen.
Wir stellen Checklisten für die Umsetzung des nDSG zur Verfügung, für KMU (nach schweizerischem Recht) und für grössere Unternehmen (mit Blick auch auf die DSGVO).
Für KMU:
Nicht nur grosse Unternehmen müssen das neue Datenschutzrecht umsetzen, sondern auch KMU. Ausnahmen für KMU gibt es im nDSG nur am Rande – die meisten Vorgaben gelten auch für sie. Die Erwartungen an den Standard der Umsetzung sind allerdings andere.
Wir haben deshalb eine Checkliste für KMU ausgearbeitet. Sie ist auf einfachere Verhältnisse und private Unternehmen ausgelegt (nicht für öffentliche Organe). Sie erhebt keinen Anspruch auf Vollständigkeit und stellt keine Rechtsberatung dar.
Für grössere Unternehmen mit DSGVO:
Bei grösseren oder international tätigen Unternehmen ist oft von einer Umsetzung der DSGVO auszugehen, soweit das möglich ist. Entsprechend fragen sich solche Unternehmen weniger, welche Anforderungen des neue DSG als vielmehr, wo Unterschiede zwischen der DSGVO und dem nDSG bestehen. Dafür stellen einen Leitfaden zur Verfügung:
Wie soll ich bei der Umsetzung vorgehen? Die Umsetzung des revidierten DSG kann, muss aber nicht aufwendig sein. Je nach Grösse des Unternehmens, nach Komplexität seiner Prozesse und nach Umfang und Sensitivität seiner Daten und Bearbeitungen variiert der Aufwand erheblich. Im Extremfall genügt schon eine Datenschutzerklärung auf der Website. Meistens sind aber einige weitere Punkte zu beachten.
Der Leitfaden ist entsprechend nicht abschliessend, aber auch nicht alles ist zwingend. Er enthält deshalb auch Merkpunkte und Überlegungen, die ein Unternehmen anstellen sollte.
Sie finden bei uns diverse Links und Downloads zum Datenschutzrecht:
Weitere Hinweise finden Sie auch bei rosenthal.ch und einen Selbsttest beim Vischer Privacy Score.