Was muss ich für die revDSG beachten?

Per 1. September 2023 tritt das neue Datenschutzgesetz in Kraft (revDSG). Wer sich noch nicht mit dem Thema auseinandergesetzt hat, sollte dies nun machen.

Wir haben nachfolgend ToDos sowie Informationsmaterial und -Seiten zusammengestellt, um Ihnen den Einstieg zu erleichtern. 

Checklisten, Hilfsmittel und Vorlagen

Um die KMU bei der bevorstehenden Anpassung zu unterstützen hat der Thurgauer Gewerbeverband einen Leitfaden zur Erfüllung der neuen Anforderungen erstellt. Den Leitfaden sowie wichtige Informationen, Hilfsmittel und Vorlagen finden Sie hier. 
Ebenfalls hat der Schweizerische Gewerbeverband sgv Musterdokumente und Checklisten veröffentlicht, welche Sie von der Seite herunterladen und verwenden können.

Neues DSG - die 7 ToDos

Um das neue DSG zu erfüllen sollten die nachfolgenden 7 Punkte beachtet, respektive in der Unternehmung umgesetzt werden.
Auch für Unternehmen under 250 Mitarbeitenden lohnt sich die Erstellung eines Bearbeitungsverzeichnisses um sich einen ersten Überblick zu verschaffen und anschliessende Massnahmen zu treffen. 

1. Erstellen Sie ein Bearbeitungsverzeichnis - es wird Ihnen helfen sich einen Überblick zu verschaffen
   Welche Personendaten bearbeitet ihr Unternehmen zu welchem Zweck mit welchem Programm? Von wem erhalten Sie die Personendaten? Wie lange speichern Sie die Personendaten und wie sind diese geschützt?
   Muster Datenbearbeitungsverzeichnis - TGV (Excel)
   
   
2. Erstellen Sie eine Datenschutzerklärung für Ihre Kundinnen und andere Kontakte
   Erfüllen Sie Ihre Informationspflicht gegenüber Kunden (B2C), Mitarbeitenden von Kundinnen (B2B) und weiteren Kontakten (inkl. Website-Nutzende).
   Muster Datenschutzerklärung für Kundinnen - TGV (Word)
   
   
3. Erstellen Sie eine Datenschutzerklärung für Mitarbeitende
   Erfüllen Sie Ihre Informationsplficht gegenüber Mitarbeitenden.
   
   
4. Organisieren Sie sich, um rasch auf fragen antworten zu können
   Erstellen Sie eine interne Datenschutzrichtlinie mit Prozessbeschribung (z.B. Umgang mit Betroffenenbegehren, Musterschreiben für Beantwortung Betroffenenbegehren, Löschungsbegehren, Ablauf intern, Ansprechpartner etc.)
   Muster Datenschutzrichtlinie - TGV (Word)
   
   
5. Datensicherheit
   Definieren Sie klare Aufgaben, Zuständigkeiten und Kompetenzen, Implementieren Sie technische und organisatorische Sicherheitsmassnahmen (TOM).
   dp-services.ch: Beschreibung technischer und organisatorischer Massnahmen (TOM)
   Organisieren Sie sich, um rasch auf Datensicherheitsverletzungen reagieren zu können (Prozessbeschreibung betreffend Umgang mit Datensicherheitsverletzungen).
   
   
6. Verschriftlichen Sie Verträge mit Ihren Dienstleistenden
   Prüfen Sie bestehende Verträge oder schliessen Sie Vereinbarungen über die Auftragsverarbeitung (ADV) mit Ihren Dienstleistenden ab. Prüfen Sie, ob Sie eine eigene Vereinbarung benötigen. 
   Muster Auftragsdatenbearbeitungsvertrag - TGV (Word)
   
   
7. Dokumenterien Sie ausreichende Sicherheitsmassnahmen, bevor Sie Personendaten ins Ausland übermitteln (Bekanntgabe ins Ausland)
   Konsultieren Sie die Liste der Staaten mit Adäquanzbeschluss des Bundesrates
   Prüfen Sie bestehende oder erstellen Sie eine Standarddatenschutzklausel für die Verschriftlichung mit Dienstleistenden im Ausland. 

Reicht eine Datenschutzerklärung auf der Webseite?

Kurz: Nein.
Grundsätzlich ist jedes Unternehmen und jede Organisation verpflichtet sich mit den neuen Anforderungen des revDSG auseinanderzusetzen und allfällig notwendige Massnahmen zu ergreifen. Die blosse Aufschaltung einer Datenschutzerklärung auf der Webseite ist daher nicht ausreichend. Zumal diese auch inhaltlich individuell auf Ihr Unternehmen und dessen Umgang mit Daten massgeschneidert sein muss. Beachten Sie, dass im Rahmen der Revision wesentlich strengere Sanktionen eingeführt wurden. Deshalb kann auch kein Dritter (z.B. Ihre Webagentur) eine Datenschutzerklärung für Sie pfannenfertig erstellen. Nur Sie kennen die Abläufe und Schutzmassnahmen sowie die zuständigen Personen in Ihrem Unternehmen. 

Schlussbemerkung

Eine Auseinandersetzung mit dem Thema ist nicht einfach, es gibt allerdings genügend Informationsmaterial, Unterlagen, Vorlagen etc. welche einem dabei unterstützen die revDSG im eigenen Unternehmen umzusetzen. Wir empfehlen Ihnen im Bedarfsfall und insbesondere bei Fragen einen auf Datenschutz-Recht spezialisierten Anwalt zu konsultieren. Gerne empfehlen wir Ihnen unseren Anwalt dafür weiter.

Tools und Wissensdatenbank

• dp/Services die smarte Datenschutzlösung für Ihr Unternehmen
• dp/Services Knowledge Base - Wissensdatenbank

Weitere Artikel zum Thema

• Ist ein Cookie-Banner für die Erfüllung der revDSG erforderlich?
• Impressumspflicht für Gewerbetreibende

Quellen

• sgv-usam.ch: Revidiertes Datenschutzrecht DSG
• tgv.ch: Das neue Datenschutzgesetz tritt am 01. September 2023 in Kraft!
• admin.ch: Bundesgesetz über den Datenschutz
• admin.ch: Verordnung über den Datenschutz

Rechtlicher Hinweis

Dieser Blogbeitrag gibt allgemeine Auskünfte zur Thematik und ersetzt keine individuelle Rechtsberatung. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.