Geschätzte Kundinnen und Kunden
Die Änderungen des neuen Datenschutzgesetztes sind per 1. September 2023 in Kraft getreten. Dieser Beitrag soll als Umsetzungshilfe dienen, um dem revidierten Datenschutz gerecht zu werden.
Das Wichtigste in Kürze
Seit dem 1. September sind erweiterte Verpflichtungen einzuhalten, weshalb einige Prozesse überarbeitet werden müssen. Grundsätzlich geht es um die Datenschutzverletzung, also der Verletzung der Sicherheit von Personendaten. Personendaten sind alle Angaben, welche sich auf eine bestimmte natürliche Person beziehen. Dazu gehört beispielsweise:
- Name, Adresse, Geburtstag, Sozialversicherungsnummer, Lohn
- Daten über die Gesundheit (Krankheiten)
- Daten über die Verwaltungs- und strafrechtlichen Sanktionen (Betreibungen, Straftaten)
- Daten über die religiösen, politischen oder gewerkschaftlichen Ansichten.
Folgend werden die wichtigsten Vorkehrungen als Unternehmen gegenüber Kunden, Mitarbeitenden sowie dem eigenen Unternehmen aufgeführt.
Notwendige Vorkehrungen als Unternehmen
Website
Es muss ein Cookie-Banner eingerichtet werden, welcher die Einwilligung des Websitesbesuchers einholt, um die Daten zu bearbeiten.
Interne Dokumentation
Technische und organisatorische Massnahmen (TOM) werden eingesetzt, um die Sicherheit von personenbezogenen Daten zu gewährleisten, welche vom Unternehmen verarbeitet werden. Diese Massnahmen müssen dokumentiert werden, um sie bei Bedarf dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorzulegen.
Löschkonzept
Personendaten müssen gelöscht oder anonymisiert werden, sobald sie nicht mehr gebraucht werden oder keine gesetzliche Aufbewahrungspflicht besteht.
Sicherstellung der Dienstleister
Gemäss dem Datenschutzgesetz muss die Unternehmung sicherstellen, dass die Dienstleister (IT-Support, Cloudprovider, Serverprovider, Schnittstellenlösungen…) die Daten nur so bearbeiten, wie der Treuhänder selbst dies tun dürfte. Befinden sich die Dienstleister im Ausland, müssen zusätzliche Vorkehrungen getroffen werden. Informieren Sie sich dazu bitte zusätzlich.
Notwendige Vorkehrungen gegenüber den Mitarbeitenden
Zugriff Personaldossier
Der Zugriff auf Personaldossiers der eigenen Mitarbeiter muss geschützt werden. Sowohl der räumliche als auch der virtuelle Zugriffsbereich sollten deshalb v.a. auf das HR und die Geschäftsleitung beschränkt sein.
Versand Lohnabrechnung
Die Zustellung von Lohnabrechnungen geschützt erfolgen oder der betroffene Mitarbeiter muss das Einverständnis für eine ungeschützte Zustellung geben.
Konkrete Beispiele:
Datenschutzkonform: passwortgeschütztes Portal, verschlüsselt auf private Emailadresse, per Post versenden, persönlich in geschlossenem Couvert übergeben
Nicht Datenschutzkonform*: in Couvert auf Schreibtisch legen, unverschlüsselt auf private Emailadresse
*Einwilligung für dieses Vorgehen kann von jedem Mitarbeitenden eingeholt werden.
Notwendige Vorkehrungen gegenüber Kunden
Informationspflicht
Der Kunde muss bei der ersten Beschaffung der Personendaten darüber informiert werden, zu welchem Zweck diese beschafft werden, wem sie bekanntgegeben werden und ob sie allenfalls auch ins Ausland bekanntgegeben werden. Dieser Informationspflicht kommt man mit der sogenannten Datenschutzerklärung nach.
Die d. studer treuhand gmbh verfolgt einen konsequenten Ansatz, um die gesetzlichen Vorschriften einzuhalten und Informationen gesetzmäßig zu pflegen und zu schützen.
Vielen Dank für Ihr Vertrauen.
Damian Studer und Team
d. studer treuhand gmbh
Werkstrasse 4
CH-9542 Münchwilen
info@studer-treuhand.ch
www.studer-treuhand.ch