Aktuell

Handlungsbedarf (nicht abschliessend)

Die Unternehmen müssen eine verantwortliche Person für den Datenschutz bezeichnen.

Unverändert geblieben sind die datenschutzrechtlichen Grundsätze: Rechtmässigkeit einer Datenerhebung, Treu und Glauben, Erkennbarkeit der Beschaffung und des Zwecks, Zweckbindung, Verhältnismässigkeit, Richtigkeit der Daten und Datensicherheit.

Zu den neuen Pflichten zählt u.a. die Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten, des sogenannten Dateninventars. Im Unternehmen muss – einfach ausgedrückt – ermittelt werden, wer welche Daten zu welchem Zweck verarbeitet. Unternehmen mit weniger als 250 Mitarbeitenden sind von diesem aufwändigen Prozess befreit, wenn sie nicht besonders schützenswerte Personaldaten in grossem Umfange bearbeiten.

Weiter besteht eine Meldepflicht bei Verletzung der Datensicherheit (z.B. Offenlegung für Unbefugte, Datenverlust, Cyberangriff etc.). Die für den Datenschutz verantwortliche Person im Betrieb muss dem Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) «so rasch als möglich» (im Sinn zeitnah) entsprechend Meldung erstatten. Eine Meldung ist etwa erforderlich, wenn unverschlüsselte Mitarbeiterdaten (Personaldossier mit Qualifikationen und Lohnangaben) verloren gehen.

Wo erhalte ich Informationen und Vorlagen?

www.sgv-usam.ch/datenschutz (mit Vorlagen)

www.economiesuisse.ch (Q&A)

www.edoeb.admin.ch (Website des eidg. Datenschutzbeauftragen und Öffentlichkeitsbeauftragter)