Sicherheit für Ihre Daten und IT-Systeme

IT Sicherheit und Datenschutzgesetz

Ist Ihr Unternehmen bereit für das angepasste Datenschutzrecht?

Mit dem neuen Datenschutzgesetz sind Unternehmen noch stärker verpflichtet, ihre Kunden-, Mitarbeiter-, Finanz- und andere sensible Daten bestmöglich zu schützen. 

Fast jedes Unternehmen erfasst und bearbeitet Daten, die vom Datenschutzgesetz betroffen sind. Das kann die Newsletterregistrierung sein, das Kontakt- oder Terminbuchungsformular auf Ihrer Webseite oder die Rechnungsdaten Ihrer Kunden im System. Seit 1. September 2023 ist das neue Datenschutzgesetz in Kraft. Die folgenden Unterlagen unterstützen Sie bei der korrekten Umsetzung der Vorgaben.

Die wichtigsten Vorgaben

Brauchen Sie eine Datenschutzerklärung für Ihre Webseite oder für die Kundenverträge? Ja, denn sobald Sie Personendaten bearbeiten, haben Sie eine Informationspflicht. Mit Blick auf das neue Gesetz ist das Ausarbeiten einer Datenschutzerklärung daher eine Hauptaufgabe.

Schauen Sie sich zum Beispiel unsere Datenschutzerklärung an. Das gibt Ihnen einige Ideen, wie Sie eine auf Ihre Bedürfnisse abgestimmte Datenschutzerklärung erstellen könnten.

Wenn Sie Ihre Standards für die Datenbearbeitung festlegen, hilft Ihnen das intern, aber auch extern (behördliche Anfragen, Rechtsverfahren). Sie klären damit relevante Fragen wie

  • Welche Daten sammeln wir?
  • Wer hat Zugriff auf welche Daten?
  • Wo müssen die Daten gespeichert werden?
  • Welche Daten dürfen nur verschlüsselt verschickt werden?

Führen Sie ein Verzeichnis der Datenbearbeitungen, damit sich nachverfolgen lässt, welche Datenkategorien, wann, von wem und wie bearbeitet wurden.

Mehr dazu finden Sie in der Checkliste Verzeichnis Bearbeitungstätigkeiten
 

Besonders schützenswerte Daten
Es gibt eine Reihe von Datenarten, die besonders heikel sind. Hierzu gehören Angaben zu Gesundheit, Religion, strafrechtlicher Verfolgung, Gewerkschaftszugehörigkeit, sexueller Orientierung, biometrische Daten. Sie müssen speziell geschützt werden.


Wann müssen Daten gelöscht werden?
Personendaten, die nicht mehr benötigt werden und für deren Bearbeitung kein Rechterftigungsgrund nachgewiesen werden kann, müssen vom Unternehmen gelöscht werden. Dies müssen Sie in Ihren Prozessen vorsehen.

Betroffene Personen (Kunden, Websitenutzer) können ein Auskunfts- oder Löschbegehren stellen. Weil die Fristen kurz sind, empfiehlt es sich, eine Vorlage bereitzuhalten. 

Über welche Daten Sie Auskunft geben müssen, finden Sie in der "Checkliste Auskunftspflichten Datenschutzgesetz"

Eine Datenschutzverletzung liegt vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. 

Es gibt in diesem Zusammenhang Meldepflichten, auf die man organisatorisch und technisch vorbereitet sein sollte. Die Verletzung der Datensicherheit ist dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden.

Für viele Funktionen (E-Mail und Newsletter-Versand, Software in der Cloud, Videokonferenzen u.a.) werden Dienste von Dritten eingesetzt. Die meisten dieser Anbieter haben Server ausserhalb der Schweiz. 

Auf der Website des Eidgenössischen Datnschutzbeauftragten finden Sie eine Liste der "sicheren Drittstaaten", die unproblematisch sind. Bei allen anderen und auch bei den USA benötigt es zusätzliche und spezifische Vertragsklauseln.

Lassen Sie Ihre IT-Infrastruktur überprüfen. Wo sind im Hinblick auf das neue Datenschutzgesetz zusätzliche Vorkehrungen nötig? Vergessen Sie aber nicht: Die Technik allein wird es nicht richten, die Schwachstelle beim Thema Cyberkriminalität ist oft der Mensch. Hier müssen Sie mit Information und organisatorischen Massnahmen (z.B. Passwortverwaltung) ansetzen.

Checklisten

Die Checklisten fassen die wichtigsten datenschutzrechtlichen Grundlagen sowie die (neuen) Pflichten bei der Datenbearbeitung zusammen.

Werden Sie jetzt Mitglied  Bitte loggen Sie sich ein

Beratungsangebot

Das ist Ihnen alles viel zu kompliziert? Dann nutzen Sie das Beratungsangebot von Impunix, unserem Partner für Datenschutz und Datensicherheit im Autogewerbe. 

mehr über das Beratungsangebot von Impunix erfahren

Weiterführende Informationen

www.fedlex.admin.ch
Bundesgesetz über den Datenschutz

www.kmu.admin.ch 
Bundesportal für Unternehmen (Suchbegriff "revDSG")

www.edoeb.admin.ch 
Offizielle Seite des eidg. Datenschutzbeauftragten

www.economiesuisse.ch 
Ratgeber für Unternehmen (Suchbegriff "Datenschutzgesetz")

 

Rechtsecke im Carrossier zum Thema Datenschutz

Webinar Informationssicherheit – 10 Sofort-Massnahmen für Carrossiers

Im Webinar des Datenschutz-Service-Anbieters Impunix erfahren Sie aus erster Hand von einem Hackerangriff auf die Aarauer Carrosserie Werke AG, bei dem Daten verschlüsselt und Lösegeld gefordert wurde. Dazu gibt's zehn Sofortmassnahmen zur Erhöhung der Cybersicherheit von Impunix.

Werden Sie jetzt Mitglied Bitte loggen Sie sich ein

Interessiert an exklusiven Informationen rund um die Carrosserie- und Fahrzeugbranche?