IT Sicherheit und Datenschutzgesetz

Brauchen Sie eine Datenschutzerklärung für Ihre Webseite oder für die Kundenverträge? Ja, denn sobald Sie Personendaten bearbeiten, haben Sie eine Informationspflicht. Mit Blick auf das neue Gesetz ist das Ausarbeiten einer Datenschutzerklärung daher eine Hauptaufgabe.

Schauen Sie sich zum Beispiel unsere Datenschutzerklärung an. Das gibt Ihnen einige Ideen, wie Sie eine auf Ihre Bedürfnisse abgestimmte Datenschutzerklärung erstellen könnten.

Wenn Sie Ihre Standards für die Datenbearbeitung festlegen, hilft Ihnen das intern, aber auch extern (behördliche Anfragen, Rechtsverfahren). Sie klären damit relevante Fragen wie

• Welche Daten sammeln wir?
• Wer hat Zugriff auf welche Daten?
• Wo müssen die Daten gespeichert werden?
• Welche Daten dürfen nur verschlüsselt verschickt werden?

Führen Sie ein Verzeichnis der Datenbearbeitungen, damit sich nachverfolgen lässt, welche Datenkategorien, wann, von wem und wie bearbeitet wurden.

Mehr dazu finden Sie in der Checkliste Verzeichnis Bearbeitungstätigkeiten
 

Besonders schützenswerte Daten
Es gibt eine Reihe von Datenarten, die besonders heikel sind. Hierzu gehören Angaben zu Gesundheit, Religion, strafrechtlicher Verfolgung, Gewerkschaftszugehörigkeit, sexueller Orientierung, biometrische Daten. Sie müssen speziell geschützt werden.

Wann müssen Daten gelöscht werden?
Personendaten, die nicht mehr benötigt werden und für deren Bearbeitung kein Rechterftigungsgrund nachgewiesen werden kann, müssen vom Unternehmen gelöscht werden. Dies müssen Sie in Ihren Prozessen vorsehen.

Betroffene Personen (Kunden, Websitenutzer) können ein Auskunfts- oder Löschbegehren stellen. Weil die Fristen kurz sind, empfiehlt es sich, eine Vorlage bereitzuhalten. 

Über welche Daten Sie Auskunft geben müssen, finden Sie in der "Checkliste Auskunftspflichten Datenschutzgesetz"

Eine Datenschutzverletzung liegt vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. 

Es gibt in diesem Zusammenhang Meldepflichten, auf die man organisatorisch und technisch vorbereitet sein sollte. Die Verletzung der Datensicherheit ist dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden.

Für viele Funktionen (E-Mail und Newsletter-Versand, Software in der Cloud, Videokonferenzen u.a.) werden Dienste von Dritten eingesetzt. Die meisten dieser Anbieter haben Server ausserhalb der Schweiz. 

Auf der Website des Eidgenössischen Datnschutzbeauftragten finden Sie eine Liste der "sicheren Drittstaaten", die unproblematisch sind. Bei allen anderen und auch bei den USA benötigt es zusätzliche und spezifische Vertragsklauseln.

Lassen Sie Ihre IT-Infrastruktur überprüfen. Wo sind im Hinblick auf das neue Datenschutzgesetz zusätzliche Vorkehrungen nötig? Vergessen Sie aber nicht: Die Technik allein wird es nicht richten, die Schwachstelle beim Thema Cyberkriminalität ist oft der Mensch. Hier müssen Sie mit Information und organisatorischen Massnahmen (z.B. Passwortverwaltung) ansetzen.