Was bedeutet das Gesetz für Unternehmen?

Neues Datenschutzgesetz

Was bedeutet das Gesetz für Unternehmen?

6. Februar 2023 agvs-upsa.ch – Das neue Datenschutzgesetz will sicherstellen, dass sich Unternehmen ihrer Verantwortung bewusst werden und Daten sorgfältig bearbeiten. Cornelia Stengel, Geschäftsführerin des Schweizerischen Leasingverbandes, empfiehlt den Betrieben, eine Bestandesaufnahme zu machen und das Thema jetzt rasch anzugehen. 

inhaltsbild_datenschutz_920x500px.png
Foto: Istock

kro. Frau Stengel, in acht Monaten tritt das neue Datenschutzgesetz in Kraft. Reicht die verbleibende Zeit für eine seriöse Vorbereitung, wenn ein Betrieb in dieser Sache noch gar nichts gemacht hat?
Cornelia Stengel: Die verbleibende Zeit wird für die allermeisten AGVS-Mitglieder noch reichen, wenn sie die Thematik nun mit einer gewissen Seriosität angehen, da in den meisten Fällen keine komplexen Verhältnisse bestehen, die Daten einer begrenzten Anzahl von Mitarbeitenden, Lieferanten und der Kundschaft bearbeitet werden und kaum besonders schützenswerte Daten betroffen sein dürften. Ausserdem können selbst jene, die sich bis jetzt noch nicht vertieft mit der Totalrevision des Datenschutzgesetzes befasst haben, vielfach auf gewisse bestehende Strukturen zurückgreifen, denn viele Regeln galten auch bisher schon und vieles wurde zudem von Geschäftspartnern, zum Beispiel Importeuren, Leasinggesellschaften etc., bereits zusammen mit den Garagisten aufgenommen.

Wie bereitet sich ein Betrieb idealerweise dafür vor? Was sind die ersten nötigen Schritte?
Die wichtigste Grundlage, um sich auf das Inkrafttreten des neuen Gesetzes vorzubereiten, ist eine Bestandsaufnahme der Bearbeitungen von Personendaten, ein sogenanntes Bearbeitungsverzeichnis. In einem solchen wird insbesondere aufgelistet, welche Personendaten im Betrieb zu welchen Zwecken erhoben, gespeichert, geändert, weitergeleitet, gelöscht oder sonst irgendwie bearbeitet werden. Ein solches Verzeichnis ist zwar nicht für jeden Betrieb zwingend vorgeschrieben, erleichtert aber die Beurteilung der Risiken und die Festlegung der notwendigen Massnahmen. Auf dieser Grundlage kann beispielsweise eine Datenschutzerklärung formuliert oder überprüft werden. Zudem zeigt ein solches Verzeichnis auch auf, mit welchen Dritten gegebenenfalls noch Auftragsbearbeitungsverträge abzuschliessen sind.

Kann der neu geregelte Umgang mit ­Kundendaten auch organisatorische Massnahmen, also interne Prozesse in einem Unternehmen, zur Folge haben?
Ja, der Umgang mit Kunden- und anderen Personendaten kann organisatorische Massnahmen in einem Unternehmen zur Folge haben – insbesondere, wenn dem Datenschutz bislang zu wenig Beachtung geschenkt worden sein sollte. Es hängt stark von den Umständen des Unternehmens ab, welche organisatorischen und technischen Massnahmen erforderlich sind, um einen angemessenen Datenschutz gewährleisten zu können. Beispiele für solche Massnahmen sind die Einführung einer ordentlichen IT-Infrastruktur mit sicherer Aufbewahrung von Daten und Zugangskontrollen zu Bereichen, in welchen Personendaten bearbeitet werden.

Die Devise gilt: Vom Lernenden bis hin zum Geschäftsführer müssen alle Mitarbeitenden für das Thema Datenschutz sensibilisiert werden. Wie geht man da am besten vor?
Eine Möglichkeit, alle Mitarbeitenden für das Thema Datenschutz zu sensibilisieren, ist die Durchführung von Schulungen und Workshops, wie sie die AGVS Business Academy anbietet. Dabei können die Mitarbeitenden lernen, wie sie den Datenschutz im Unternehmen gewährleisten und welche Verantwortung sie in diesem Zusammenhang haben. Es ist auch hilfreich, regelmässig über das Thema Datenschutz zu informieren und auf aktuelle Entwicklungen und Veränderungen im Bereich des Datenschutzes hinzuweisen. Zudem kann es sinnvoll sein, eine Datenschutzrichtlinie zu erstellen und sicherzustellen, dass alle Mitarbeitenden sie kennen und sich daranhalten. Ein weiterer wichtiger – wenn nicht der wichtigste – Aspekt ist, dass die Führungskräfte des Unternehmens das Thema Datenschutz als wichtig ansehen und sich selbst als Vorbild verhalten. Wenn die Führungskräfte das Thema ernst nehmen und sich an die geltenden Vorschriften halten, wird dies auch auf die restlichen Mitarbeitenden abfärben.

Eine der Herausforderung im Umgang mit Daten ist die Frage, wie viele davon überhaupt gebraucht werden. Wie findet das ein Unternehmen heraus?
Im Datenschutzrecht gilt das Verhältnismässigkeitsprinzip, welches besagt, dass nur diejenigen Personendaten bearbeitet werden dürfen, die benötigt werden und geeignet sind, den vorgesehenen Zweck zu erfüllen. Das ist für jede Bearbeitungstätigkeit separat und konkret zu prüfen und auf die Erhebung bzw. Bearbeitung von nicht benötigten Daten ist zu verzichten. Als Beispiel: Für einen Newsletterversand wäre häufig nur eine E-Mail-Adresse nötig. Weitere Angaben wie die Anrede oder der Name sind nicht erforderlich, damit der Versand durchgeführt werden kann und müssten entsprechend gar nicht erhoben werden. Ein anderer Aspekt, welcher diese Thematik betrifft, ist die Frage, wie lange man Personendaten aufbewahren muss. Auch hier verlangt das Datenschutzrecht, dass Personendaten zu löschen sind, sobald sie zur Erfüllung des Zwecks der Bearbeitung nicht mehr erforderlich sind. Diesen Löschpflichten können jedoch Beweiszwecke, sonstige überwiegende private Interessen oder gesetzliche Aufbewahrungspflichten entgegenstehen. Hier empfiehlt es sich unter Umständen, eine Richtlinie zur Aufbewahrungsdauer von Personendaten auszuarbeiten. 





«Die verbleibende Zeit reicht zur Vorbereitung, wenn man die Thematik nun mit einer gewissen Seriosität angeht»

Cornelia Stengel, Geschäftsführerin des Schweizerischen Leasingverbandes.














 
Feld für switchen des Galerietyps
Bildergalerie

Kommentar hinzufügen

2 + 3 =
Lösen Sie diese einfache mathematische Aufgabe und geben das Ergebnis ein. z.B. Geben Sie für 1+3 eine 4 ein.

Kommentare