Caution: JavaScript execution is disabled in your browser or for this website. You may not be able to answer all questions in this survey. Please, verify your browser parameters.

DSG Quick Check Schweiz - AIM

There are 45 questions in this survey.
Test 1
Kategorie der Organisation
Wie viele  Mitarbeitende (nach Köpfen; nicht nach Vollzeitangestellten) hat Ihre Organisation?
Gewisse Verpflichtungen treffen nur Unternehmen mit mehr als 250 Mitarbeitenden.
Datenschutzorganisation
Wurden die Verantwortlichkeiten in Bezug auf Datenschutz innerhalb der Organisation definiert und dokumentiert? Sind die spezifischen Aufgaben in den jeweiligen Stellenprofilen oder Pflichtenheften dokumentiert? Sind entsprechende Budgets vorgesehen? Werden Führungsgremien regelmässig über die Massnahmen informiert?
Oberstes Organ ist z.B. in einer Aktiengesellschaft der Verwaltungsrat (VR). Die VR-Mitglieder tragen die Verantwortung für einen genügenden Datenschutz. Sie können sich in dieser Aufgabe etwas entlasten, indem sie den Datenschutz delegieren, die beauftragte Person mit genügend Ressourcen ausstatten und sicherstellen, dass diese Person fachkundig und unabhängig ist. Zudem hat sich das oberste Organ regelmässig über den Status der Umsetzung berichten zu lassen und über empfohlene Massnahmen im Datenschutz zu entscheiden. Die Umsetzung der Entscheide ist zu überprüfen und die Datenschutzorganisation kontinuierlich zu verbessern. Die Dokumentation ist entscheidend, um sich später entlasten zu können.
SStatus:Das ist ausgezeichnet. Durch regelmässiges Reporting in datenschutzrechtlichen Belangen an die obersten Führungsgremien haben Sie sichergestellt, dass diese angemessene Massnahmen treffen können und die nötigen Ressourcen zur Umsetzung vorhanden sind. Durch entsprechende Pflichtenhefte und Budgets sind die Verantwortlichkeiten definiert und die Umsetzung der neuen Vorgaben wird ermöglicht. Nächste Schritte:Stellen Sie sicher, dass die regelmässigen Reportings dokumentiert sind und Entscheide über die empfohlenen Massnahmen getroffen werden. Die Umsetzung und Wirksamkeit der Massnahmen sollte überwacht und regelmässig überprüft werden.

Status:
Das ist ausgezeichnet. Durch regelmässiges Reporting in datenschutzrechtlichen Belangen an die obersten Führungsgremien haben Sie sichergestellt, dass diese angemessene Massnahmen treffen können und die nötigen Ressourcen zur Umsetzung vorhanden sind. Durch entsprechende Pflichtenhefte und Budgets sind die Verantwortlichkeiten definiert und die Umsetzung der neuen Vorgaben wird ermöglicht.

Nächste Schritte:
Stellen Sie sicher, dass die regelmässigen Reportings dokumentiert sind und Entscheide über die empfohlenen Massnahmen getroffen werden. Die Umsetzung und Wirksamkeit der Massnahmen sollte überwacht und regelmässig überprüft werden.

Status:
Ihre Unternehmensführung sollte darauf hingewiesen werden, dass ihr unter neuem Datenschutzrecht strafrechtliche Sanktionen drohen, sollte dem Datenschutz weiterhin ungenügende Bedeutung zugemessen und im Unternehmen keine Datenschutzorganisation sichergestellt werden.


Nächste Schritte:

  • Die Verantwortlichkeiten im Bereich Datenschutz sollten von den Führungsgremien dringend festgelegt werden.
  • Die Führung hat über die internen oder externen Ressourcen zu entscheiden, die Fachkompetenz sicherzustellen und hierzu eventuell einen externen Datenschutzberater einzusetzen.
  • Die Datenschutzorganisation ist vollständig zu dokumentieren und die Aufgaben sind in Pflichtenheften festzuhalten.
  • Es sollte eine Bestandsaufnahme (Evaluation des Ist-Soll-Zustandes) vorgenommen und basierend darauf ein Massnahmenplan ausgearbeitet werden.
  • Von zentraler Bedeutung ist, dass die Geschäftsleitung und das oberste Führungsgremium (z.B. der Verwaltungsrat in einer Aktiengesellschaft) regelmässig über den Stand des Datenschutzes informiert werden und dies protokolliert wird. Dafür sollte ein institutionalisierter Prozess vorhanden sein.
  • Kontrollen sind einzurichten, um die Aktualität der Evaluation weiterhin sicherzustellen.
  • Die korrekte Implementierung von Massnahmen und deren fortdauernder Bestand ist laufend zu überprüfen und die Resultate sind an die Führungsgremien dokumentiert zu rapportieren.
  • In diesem Zusammenhang ist von Bedeutung, dass ein ausreichendes Budget zur Wahrnehmung der Datenschutzaufgaben zur Verfügung gestellt wird.

 

PLATZ FÜR IHREN KOMMENTAR:

Status:
Der erste Schritt ist gemacht. Sie haben sich überlegt, wie die Datenschutzorganisation in Ihrem Unternehmen aufgebaut werden könnte.

Nächste Schritte:
Nun geht es an die Umsetzung und Festlegung der Verantwortlichkeiten sowie Abläufe. Hierbei gilt es, einen internen oder externen Datenschutzberater zu ernennen.

Verfahrensverzeichnis
Verfügen Sie über ein aktuelles Verzeichnis aller Bearbeitungstätigkeiten, d.h. ein Inventar der Verfahren, Prozesse und Systeme in Ihrem Unternehmen, mit welchen Personendaten bearbeitet oder gespeichert werden?

Das Verfahrensverzeichnis ist Ihr Inventar der Verfahren/Prozesse, mit welchen Personendaten in Ihrem Unternehmen bearbeitet werden. Das Verfahrensverzeichnis ist ein wichtiges Hilfsmittel in der Datenschutzorganisation und Grundlage, um verschiedene notwendige Massnahmen zu planen. 

Bei Organisationen mit weniger als 250 Mitarbeitenden kann es Ausnahmen von der Verpflichtung geben, ein formelles Verfahrensverzeichnis zu führen. Dennoch haben Sie die Pflicht, einen Überblick über die von Ihrem Unternehmen bearbeiteten Personendaten zu haben.

Wir empfehlen dringend, in jedem Fall zeitnah ein Verfahrensverzeichnis zu erstellen, um daraus frühzeitig und vor Inkrafttreten des neuen Datenschutzgesetzes die nötigen Massnahem ableiten und einleiten zu können.

Status:
Bei Organisationen mit weniger als 250 Mitarbeitenden kann es Ausnahmen von der Verpflichtung geben, ein formelles Verfahrensverzeichnis zu führen. Dennoch haben Sie die Pflicht, einen Überblick über die von Ihrem Unternehmen bearbeiteten Personendaten zu haben.

Nächste Schritte:
Wenn Sie kein Verfahrensverzeichnis führen, stellen Sie auf andere Weise sicher, dass Sie den Überblick haben und dokumentieren Sie dies.
Sollten Sie mehr als 250 Mitarbeitende haben, empfehlen wir Ihnen, zeitnah mit der Erstellung eines Verfahrensverzeichnisse zu beginnen.

Status:
Sehr gut. Das Verfahrensverzeichnis ist notwendig, um einen Überblick über Ihre Datenbearbeitungen zu haben und die entsprechenden datenschutzrechtlichen Massnahmen abzuleiten.

Nächste Schritte:
Stellen Sie sicher, dass das Verfahrensverzeichnis laufend aktualisiert wird.

Inhalte Verfahrensverzeichnis

Sind die neuen Anforderungen im Verfahrensverzeichnis bereits berücksichtigt; sind insbesondere die sieben zwingenden Mindestangaben pro Verfahren gemäß Schweizer Datenschutzgesetz enthalten?

1. Identität des Verantwortlichen
2. Bearbeitungszweck
3. Kategorien betroffener Personen und bearbeiteter Personendaten
4. Kategorien der Empfänger
5. Aufbewahrungsdauer
6. Maßnahmen der Datensciherheit
7. Garantien bei Transfers in unsichere Drittstaaten und die Nennung der Staaten

 

Status:
Gut. Das Verfahrensverzeichnis ist notwendig, um einen Überblick über Ihre Datenbearbeitungen zu haben und die entsprechenden datenschutzrechtlichen Massnahmen abzuleiten.

Nächste Schritte:

  • Das Verfahrensverzeichnis ist zu vervollständigen. Es sind alle Verfahren, bei denen Personendaten von Ihrer Organisation bearbeitet werden, aufzunehmen.
  • Stellen Sie sicher, dass Sie das Verfahrensverzeichnis komplettieren können und danach laufend aktualisieren.

Status:
Sehr gut. Durch ein vollständiges Verfahrensverzeichnis haben Sie eine gute Grundlage für Ihre weiteren Arbeiten.

Nächste Schritte:
Neue Verfahren sollten zeitnah in das Verfahrensverzeichnis aufgenommen werden. Die Aktualität des Verzeichnisses ist regelmässig zu überprüfen. Die im Verfahrensverzeichnis aufgeführten Punkte (wie z.B. Datensicherheit und Aufbewahrungsdauer) sollten in der Praxis entsprechend beachtet und so umgesetzt sein.

Status:
Das neue Datenschutzgesetz gibt für ein Verfahrensverzeichnis zwingend sieben Punkte vor, die erhoben werden müssen. Damit Sie in Zukunft effizient arbeiten können, empfiehlt es sich, ein paar weitere Punkte gleich mitaufzunehmen.

Nächste Schritte:
Die Inhalte des Verfahrensverzeichnisses sind für alle Verfahren noch vollständig aufzunehmen. Ein vollständiges Verfahrensverzeichnis ist eine unabdingbare Grundlage für Ihre weiteren Arbeiten (siehe ausführlicher Report für weiterführende Instruktionen).

Status:
Gut, dass Sie bereits mit dem Verzeichnis begonnen haben. Der erste wichtige Schritt ist gemacht. Es ist wichtig, das Verzeichnis zu vervollständigen, um daraus die weiteren Massnahmen im Bereich Datenschutz vollständig ableiten zu können.

Nächste Schritte:
Die Inhalte des Verfahrensverzeichnisses sind für alle Verfahren zu vervollständigen. Ein vollständiges Verfahrensverzeichnis ist eine wichtige Grundlage für Ihre weiteren Arbeiten (siehe ausführlicher Report für weiterführende Instruktionen).

Risikobewertung
Wurde jedes Verfahren mittels einer Risikoabschätzung bewertet und das Resultat dokumentiert?

Das konkrete Risiko ist in einer Abschätzung von Eintrittswahrscheinlichkeit und Auswirkungen basierend auf geeigneten Kriterien nachvollziehbar und dokumentiert festzulegen.

Status:
Nur eine Risikoabschätzung pro einzelnes Verfahren, bei dem Personendaten bearbeitet werden, kann einen Überblick über den Stand des Datenschutzes und die nächsten zu treffenden Massnahmen geben.

Nächste Schritte:
Nachdem Sie das Verfahrensverzeichnis vollständig ausgefüllt haben, gilt es, pro Verfahren eine Risikoabschätzung durchzuführen. Das konkrete Risiko ist in einer Abschätzung von Eintrittswahrscheinlichkeit und Auswirkungen basierend auf geeigneten Kriterien nachvollziehbar und dokumentiert festzulegen. Überprüfen Sie die Risikoabschätzung anschliessend regelmässig auf Aktualität.

Status:
Sehr gut, durch die vorgenommene Risikoabschätzung können Sie die geeigneten Massnahmen zur Begegnung des entsprechenden Risikos treffen.

Nächste Schritte:
Überprüfen Sie die Angaben im Verfahrensverzeichnis und die diesbezüglich vorgenommene Risikobewertung in regelmässigen Abständen.

Status:
Eine bloss teilweise Durchführung der Risikoabschätzung gibt kein genügendes Bild über die Gesamtsituation der Risiken des Unternehmens im Bereich Datenschutz ab.

Nächste Schritte:
Es gilt, für jedes einzelne Verfahren die Risikoabschätzung durchzuführen. Stellen Sie sicher, dass diese für alle Verfahren durchgeführt wird.

Technische und organisatorische Massnahmen
Sind dem Risiko angemessene technische und organisatorische Massnahmen festgelegt und dokumentiert worden?

Die technischen und organisatorischen Massnahmen (TOM) haben eine dem Risiko angemessene Datensicherheit zu gewährleisten, insbesondere die Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität der Personendaten.

Die Massnahmen sind für die geforderten Bereiche zu dokumentieren, darunter fallen beispielsweise:

  • physische Zugangskontrolle
  • logische Zugangskontrolle
  • Verschlüsselung/Pseudonomysierung
  • Datensicherung
  • etc.

Status:
Gemäss neuem Schweizer Datenschutzgesetz haben der Verantwortliche und der Auftragsbearbeiter durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten. Sie sind demnach gesetzlich verpflichtet, solche technischen und organisatorischen Massnahmen vorzusehen und umzusetzen. Wenn die Mindestanforderungen an die Datensicherheit, die der Bundesrat vorgibt, nicht eingehalten sind, droht eine Busse von bis zu CHF 250'000.

Nächste Schritte:
Durch die Bestimmung und Umsetzung von geeigneten technischen und organisatorischen Massnahmen haben Sie eine dem Risiko angemessene Datensicherheit zu gewährleisten. Beispiele für technische und organisatorische Massnahmen sind:

  • physische Zugangskontrolle
  • elektronische Zugangskontrolle
  • interne Berechtigungen
  • Verschlüsselung
  • Datensicherung

Status:
Sehr gut. Der für die Datenbearbeitung Verantwortliche hat durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten.

Nächste Schritte:
Die Anforderungen an die Datensicherheit ändern laufend und schnell, stellen Sie durch geeignete Dispositive sicher, dass die technischen und organisatorischen Massnahmen regelmässig in kurzen Intervallen überprüft und implementiert werden.

Status:
Gut. Der für die Datenbearbeitung Verantwortliche hat durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten. Diesen gesetzlichen Anforderungen sind Sie zu einem grossen Teil nachgekommen.

Nächste Schritte:
In Zusammenarbeit mit Ihren IT-Verantwortlichen sollten nun alle technischen und organisatorischen Massnahmen festgehalten und dokumentiert werden.

Vertragliche Regelung der Bearbeitung durch Auftragsbearbeiter (Service Provider)
Ist bei allen Verfahren, bei welchen Dritte (Service Provider) Personendaten im Auftrag Ihres Unternehmens bearbeiten oder auf die Daten Zugriff haben, eine Vereinbarung abgeschlossen worden, die den rechtlichen Vorgaben entspricht?

Geben Sie Dritten Zugriff auf die Personendaten Ihres Unternehmens – sei es auch nur potenziell - sind Sie verpflichtet, den Umgang mit den Personendaten durch den Dritten vertraglich zu regeln (soweit Sie keine gesetzliche Pflicht zur Weitergabe haben). Die Vereinbarung muss zwingend gewisse Mindestregelungen enthalten und regelt sinnvollerweise noch einige weitere Punkte im Bereich Datenschutz/Datensicherheit.

Status:
Wenn Ihr Unternehmen Auftragsbearbeiter (Service Provider) zur Bearbeitung von Personendaten hinzuzieht, ist mit dem Service Provider eine vertragliche Regelung zu treffen, auch wenn der Service Provider nur potenziell auf die Daten zugreifen könnte. Ausgenommen sind Fälle, in welchen die Weitergabe der Daten gesetzlich vorgeschrieben ist. Die vertraglichen Regelungen müssen die notwendig zu treffenden Abmachungen und Weisungen dokumentieren.

Nächste Schritte:

  • Stellen Sie sicher, dass Ihre Vertragsmuster vollständig sind, d.h. alle gesetzlich verlangten sowie sinnvollerweise notwendigen Regelungen abdecken.
  • Schliessen Sie solche Verträge mit allen Service Providern, auch wenn diese nur potenziell auf Personendaten zugreifen können.
  • Kontrollieren Sie regelmässig die Einhaltung der vertraglich zugesicherten Abmachungen bei Ihren Service Providern.

Status:
Sehr gut. Somit können Sie die notwendigen vertraglichen Abmachungen und Weisungen in allen Fällen dokumentieren, in welchen Auftragsbearbeiter (Service Provider) Ihre Personendaten bearbeiten oder potenziell darauf zugreifen können.

Nächste Schritte:
Kontrollieren Sie regelmässig die Einhaltung der vertraglich zugesicherten Abmachungen bei Ihren Auftragsbearbeitern.

Status:
Gut. Sie haben bereits mit einigen Ihrer Auftragsbearbeiter (Service Provider) vertragliche Regelungen geschlossen, welche die notwendigen Abmachungen und Weisungen dokumentieren. Sorgen Sie dafür, dass Sie die notwendigen Punkte mit allen Service Providern vereinbaren können, damit Sie vorbereitet sind, sollte es z.B. zu einem Datenschutzvorfall kommen oder ein Löschbegehren gestellt werden. Zudem stellt erst dies sicher, dass Sie Ihre gesetzlichen Verpflichtungen erfüllen.

Nächste Schritte:

  • Stellen Sie sicher, dass Ihre Vertragsmuster vollständig sind, d.h. alle gesetzlich verlangten sowie sinnvollerweise notwendigen Regelungen abdecken.
  • Schliessen Sie solche Verträge mit allen Service Providern, auch wenn diese nur potenziell auf Personendaten zugreifen können.
  • Kontrollieren Sie regelmässig die Einhaltung der vertraglich zugesicherten Abmachungen bei Ihren Service Providern.
Meldung von Datenschutzvorfällen
Besteht eine effiziente Organisation, welche Verletzungen der Datensicherheit (Datenschutzvorfälle) erkennt und die Meldung von Verletzungen so rasch als möglich (im Normalfall innert rund 72 Stunden) sicherstellt?
Ein Datenschutzvorfall ist eine Verletzung der Sicherheit, die ungeachtet der Absicht oder der Widerrechtlichkeit dazu führt, dass Personendaten verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden.

Status:
Sehr gut. Die frühzeitige Identifizierung und Meldung der Verletzung einer Datensicherheit (Datenschutzvorfall) ist durch ein Unternehmensdispositiv gewährleistet. Die Prozesse sind dokumentiert, die Mitarbeitenden geschult und der Prozess wurde getestet.

Nächste Schritte:

  • Stellen Sie durch regelmässige Tests sicher, dass das Unternehmensdispositiv zur Erkennung und Meldung eines Datenschutzvorfalles funktioniert.
  • Schulen Sie die Mitarbeitenden regelmässig über den Umgang mit Datenschutzvorfällen.
  • Dokumentieren Sie die Datenschutzvorfälle in geeigneter Weise.

Status:
Das neue Schweizer Datenschutzgesetz sieht vor, dass Verletzungen der Datensicherheit dem EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) zu melden sind. Dies soll so rasch als möglich (etwa innert 72 Stunden) passieren. Datenschutzverletzungen sind Verletzungen der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt.

Nächste Schritte:

  • Bauen Sie die unternehmensinterne oder -externe Organisation auf, damit Datenschutzvorfälle möglichst innert 72 Stunden dem EDÖB gemeldet werden können.
  • Schulen Sie Ihre Mitarbeitenden entsprechend.
  • Testen Sie den Aufbau, die Dokumentation und die Prozesse.

Status:
Sie haben schon erste Schritte unternommen, damit eine frühzeitige Identifizierung und Meldung der Verletzung einer Datensicherheit (Datenschutzvorfall) durch ein Unternehmensdispositiv gewährleistet ist. Vervollständigen Sie nun die Dokumentation der Prozesse, schulen Sie Ihre Mitarbeitenden und testen Sie den Prozess.

Nächste Schritte:

  • Der Implementierung des Prozesses für Datenschutzvorfälle sollte grosse Aufmerksamkeit geschenkt werden.
  • Stellen Sie durch regelmässige Tests sicher, dass das Unternehmensdispositiv zur Erkennung und Meldung eines Datenschutzvorfalles funktioniert.
  • Schulen Sie die Mitarbeitenden regelmässig über den Umgang mit Datenschutzvorfällen.
  • Dokumentieren Sie die Datenschutzvorfälle in geeigneter Weise.

Status:
Sehr gut. Sie haben in Ihrem Unternehmen Prozesse installiert, die gewährleisten, dass die Auskunftsbegehren behandelt und beantwortet werden.

Nächste Schritte:

  • Stellen Sie durch regelmässige Tests sicher, dass der Prozess für Auskunftsrechte tatsächlich funktioniert.
  • Die Schulung der Mitarbeitenden hat sicherzustellen, dass bei der Auskunftspflicht keine Rechte Dritter verletzt werden.
  • Beachten Sie eine Antwortfrist von 30 Tagen.

Status:
ede Person kann von einem Unternehmen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Dabei erhält die Person eine vollständige Auskunft und dies in der Regel innerhalb von 30 Tagen. Sie sollten das Thema bald angehen, denn es sind diverse Massnahmen zu treffen, um die Beantwortung von Auskunftsbegehren sicherstellen zu können. In der Praxis kann das Zusammentragen der relevanten Informationen innert einer Frist von 30 Tagen zu einer Herausforderung werden. Die herauszugebenden Informationen sind zu sichten und es ist zu kontrollieren, dass dadurch nicht Rechte Dritter verletzt werden.

Nächste Schritte:

  • Führen Sie Ihre Massnahmen zur raschen und korrekten Beantwortung von Auskunftsbegehren zu Ende.
  • Stellen Sie durch regelmässige Tests sicher, dass der Prozess für Auskunftsrechte tatsächlich funktioniert.
  • Die Schulung der Mitarbeitenden hat sicherzustellen, dass bei der Auskunftspflicht keine Rechte Dritter verletzt werden.
  • Beachten Sie eine Antwortfrist von 30 Tagen.

Status:
Gut. Sie haben schon viele Massnahmen unternommen, um die Beantwortung von Auskunftsbegehren sicherstellen zu können. In der Praxis kann das Zusammentragen der relevanten Informationen innert einer Frist von 30 Tagen zu einer Herausforderung werden. Die herauszugebenden Informationen sind zu sichten und es ist zu kontrollieren, dass dadurch nicht Rechte Dritter verletzt werden.

Nächste Schritte:

  • Führen Sie Ihre Massnahmen zur raschen und korrekten Beantwortung von Auskunftsbegehren zu Ende. • Stellen Sie durch regelmässige Tests sicher, dass der Prozess für Auskunftsrechte tatsächlich funktioniert.
  • Die Schulung der Mitarbeitenden hat sicherzustellen, dass bei der Auskunftspflicht keine Rechte Dritter verletzt werden.
  • Beachten Sie eine Antwortfrist von 30 Tagen.
Ist die fristgerechte und vollständige Beantwortung von Auskunftsbegehren von Datensubjekten sichergestellt?
Jede Person kann vom Verantwortlichen kostenlos Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Die anfragende Person hat ein Anrecht darauf, vollständig und in der Regel innert 30 Tagen, Auskunft zu erhalten.
Die Mitarbeitenden wurden stufengerecht im Datenschutz geschult und eine Ausbildungskontrolle wird geführt.?
Mitarbeitenden sind stufengerecht durch den Arbeitgebenden in deren Aufgaben und Verpflichtungen im Zusammenhang mit dem Datenschutz zu schulen und die Abläufe (z.B. bei Datenschutz-Vorfällen) sind zu erläutern.

Status:
Sehr gut. Die Festlegung und Dokumentation von technischen und organisatorischen Massnahmen, wie die Schulung von Mitarbeitenden in Bezug auf den Datenschutz, sind Voraussetzung zur Einhaltung des Datenschutzes und für eine angemessene Datensicherheit.

Nächste Schritte:
Stellen Sie nun sicher, dass eine regelmässige Schulung und Sensibilisierung der Mitarbeitenden im Bereich Datenschutz in der Praxis erfolgt.

Status:
Die Festlegung und Dokumentation von technischen und organisatorischen Massnahmen, wie die Schulung von Mitarbeitenden in Bezug auf den Datenschutz, sind Voraussetzung zur Einhaltung des Datenschutzes und für eine angemessene Datensicherheit.

Nächste Schritte:
Um die Einhaltung der Datenschutzgrundsätze und Prozesse im Zusammenhang mit dem Datenschutz sicherzustellen, sind die Mitarbeitenden entsprechend zu schulen und zu instruieren.

Status:
Die Festlegung und Dokumentation von technischen und organisatorischen Massnahmen, wie die Schulung von Mitarbeitenden in Bezug auf den Datenschutz, sind unabdingbare Voraussetzung zur Einhaltung des Datenschutzes und für eine angemessene Datensicherheit.

Nächste Schritte:
Stellen Sie sicher, dass diese tatsächlich in der Praxis umgesetzt sind. Um die Einhaltung der Datenschutzgrundsätze und Prozesse im Zusammenhang mit dem Datenschutz sicherzustellen, sind die Mitarbeitenden entsprechend zu schulen und zu instruieren.

Status:
Durch die Festlegung von Löschfristen wird insbesondere dem Grundsatz Rechnung getragen, dass Personendaten nur solange aufbewahrt werden, wie ein Zweck für die Bearbeitung besteht.

Nächste Schritte:

  • Legen Sie für neue Datenkategorien (i) den Beginn und (ii) die Dauer der Aufbewahrungsfrist fest.
  • Überprüfen Sie regelmässig die Löschung der Daten gemäss der gesetzten Fristen.

Status:
Das Datenschutzrecht legt fest, dass Personendaten nur so lange bearbeitet (aufbewahrt) werden dürfen, wie ein rechtmässiger Zweck für die Bearbeitung besteht. Es muss daher für jedes Verfahren (i) der Beginn der Aufbewahrungsfrist und (ii) die Dauer definiert werden.

Nächste Schritte:

  • Definieren Sie Aufbewahrungs- und Löschfristen und kontrollieren Sie, dass für alle Verfahren (i) der Beginn und (ii) die Dauer der Aufbewahrungsfrist festgelegt ist
  • Stellen Sie für neue Datenkategorien einen Prozess sicher, der (i) den Beginn und (ii) die Dauer der Aufbewahrungsfrist festlegt.
  • Überprüfen Sie regelmässig die Löschung der Daten gemäss der gesetzten Fristen.

Status:
Das Datenschutzrecht legt fest, dass Personendaten nur so lange bearbeitet (aufbewahrt) werden dürfen, wie ein rechtmässiger Zweck für die Bearbeitung besteht. Es muss daher für jedes Verfahren (i) der Beginn der Aufbewahrungsfrist und (ii) die Dauer definiert werden.

Nächste Schritte:

  • Treiben Sie Ihre Arbeiten voran und kontrollieren Sie, dass für alle Verfahren (i) der Beginn und (ii) die Dauer der Aufbewahrungsfrist festgelegt ist
  • Stellen Sie für neue Datenkategorien einen Prozess sicher, der (i) den Beginn und (ii) die Dauer der Aufbewahrungsfrist festlegt.
  • Überprüfen Sie regelmässig die Löschung der Daten gemäss der gesetzten Fristen.
Sind die Fristen für die Löschung von Datenkategorien festgelegt und dokumentiert?
Für die bearbeiteten Personendaten ist (i) der Beginn der Aufbewahrungsfrist und (ii) die Dauer der Aufbewahrungsfrist festzulegen.
Garantien für Datentransfer in Drittländer
Werden Personendaten in Länder ohne gleichwertiges Datenschutzniveau bekanntgegeben, so sind geeignete Garantien vorzusehen.

Status:
Sehr gut. Sie haben Garantien vorgesehen bei Ihrem Transfer von Personendaten in Drittländer (Länder ohne geeignetes Datenschutzniveau). Dadurch wird dem Datenschutz bei dieser Datenbearbeitung genügend Rechnung getragen.

Nächste Schritte:

  • Stellen Sie sicher, dass bei jedem neuen Transfer von Personendaten in Drittländer solche Garantien vorgesehen werden. Hierfür ist ein entsprechender Prozess zu etablieren.
  • Überprüfen Sie die Garantien und Länder von Zeit zu Zeit auf Aktualität.
  • Dokumentieren Sie diese Transfers und die dazugehörigen Garantien.
Status:
Gemäss Schweizer Datenschutzgesetz dürfen Personendaten an Staaten, bei denen ein angemessenes Datenschutzniveau nicht gewährleistet ist (Drittstaaten), nur bekanntgegeben werden, wenn Garantien einen angemessenen Datenschutz gewährleisten. Sie haben Ihre Datenbearbeitungen, bei denen ein Transfer von Personendaten in Drittstaaten stattfindet, zu identifizieren bzw. sicherzustellen, dass die notwendigen Garantien bei einem solchen Transfer von Personendaten in unsichere Drittländer (Länder ohne geeignetes Datenschutzniveau) gewährleistet werden. Dies können sein:
  • völkerrechtliche Verträge, die den Datenschutz regeln
  • Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen und dem Auftragsbearbeiter
  • Standarddatenschutzklauseln, die der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) genehmigt hat
  • verbindliche unternehmensinterne Datenschutzvorschriften, die vom EDÖB genehmigt wurden
Nächste Schritte:
  • Es gilt, alle Datenbearbeitungen, bei denen ein Transfer von Personendaten in Drittstaaten stattfindet, zu identifizieren.
  • Für jeden dieser Datentransfers sind geeignete Garantien vorzusehen und zu dokumentieren.
  • Stellen Sie sicher, dass bei jedem neuen Transfer von Personendaten in Drittländer solche Garantien vorgesehen werden. Hierfür ist ein entsprechender Prozess zu etablieren.
  • Überprüfen Sie die Garantien und Länder von Zeit zu Zeit auf Aktualität.
  • Dokumentieren Sie diese Transfers und die dazugehörigen Garantien.

 

PLATZ FÜR IHREN KOMMENTAR:

PLATZ FÜR IHREN KOMMENTAR:

Status:
Sie haben Ihre Datenbearbeitungen, bei denen ein Transfer von Personendaten in Drittstaaten stattfindet, teilweise identifiziert bzw. sichergestellt, dass die notwendigen Garantien bei einem solchen Transfer von Personendaten in unsichere Drittländer (Länder ohne geeignetes Datenschutzniveau) gewährleistet werden. Dadurch wird dem Datenschutz bei dieser Datenbearbeitung genügend Rechnung getragen.

Nächste Schritte:

  • Nun gilt es, auch für die restlichen Verfahren und/oder Transfers geeignete datenschutzrechtliche Garantien vorzusehen und zu dokumentieren.
  • Stellen Sie sicher, dass bei jedem neuen Transfer von Personendaten in Drittländer solche Garantien vorgesehen werden. Hierfür ist ein entsprechender Prozess zu etablieren.
  • Überprüfen Sie die Garantien und Länder von Zeit zu Zeit auf Aktualität. • Dokumentieren Sie diese Transfers und die dazugehörigen Garantien.
 
Close