Ohne auf die einzelnen technischen, rechtlichen und IT-Aspekte zur Einhaltung des nDSG einzugehen, sollte ein pragmatischer Aktionsplan mindestens die folgenden Massnahmen beinhalten:
1. Verantwortlichkeiten und Funktionen festlegen
Für die Projektplanung ist es wichtig, vorgängig die Verantwortlichkeiten festzulegen und Funktionen zu vergeben. Es sollte eine zentrale Datenschutzstelle (Koordinator, Ansprechperson) geschaffen werden.
In diesem Zusammenhang kann sogleich geprüft werden, ob ein Datenschutzberater ernannt werden muss oder soll (im Gegensatz zur DSGVO ist dies unter dem nDSG für Private freiwillig – nur Bundesorgane sind gesetzlich dazu verpflichtet, Art. 10 nDSG und Art. 23 DSV)
2. Eine umfassende Bestandsaufnahme ist zentral
Unternehmen müssen unter dem nDSG bestimmte Informationspflichten erfüllen, d.h. sie müssen bei der Beschaffung von Personendaten über die Identität des Verantwortlichen, den Bearbeitungszweck, allfällige Datenempfänger usw. informieren (Art. 19 ff. nDSG und Art. 13 DSV). Zudem müssen sie in der Lage sein, die Betroffenenrechten zu erfüllen, etwa einer betroffenen Person Auskünfte zur Bearbeitung ihrer Personendaten zu erteilen (Art. 25 ff. nDSG und Art. 16 ff. DSV). Das alles setzt voraus, dass Unternehmen wissen, welche Personendaten zu welchen Zwecken bearbeitet werden, ob die Daten in andere Länder und an weitere Personen transferiert werden etc.
Demzufolge sollten Unternehmen zunächst eine Bestandsaufnahme aller Datenbearbeitungen durchzuführen. Dabei kann das gesetzlich neu vorgeschriebene Verzeichnis (sog. Bearbeitungsverzeichnis) als Vorlage dienen. Damit wird nicht nur eine gute Ausgangslage für die Erarbeitung weiterer (zwingender) datenschutzrechtlicher Dokumente (z.B. Datenschutzerklärung, ADVs etc.) geschaffen, sondern es kann zugleich die (allfällige) Pflicht zur Führung eines Bearbeitungsverzeichnisses wahrgenommen werden. Eine solche Bestandsaufnahme ist eine kollektive Anstrengung, die alle Mitarbeiter, die in die Bearbeitung von Personendaten involviert sind, einbeziehen muss.
3. GAP-Analyse und Abschätzung der Risiken
Mittels Gap-Analyse (Vergleich Ist- und Sollzustand) können die erforderlichen Umsetzungsarbeiten identifiziert und anschliessend dokumentiert werden. Für diese Zwecke kann ebenfalls auf Vorlagen für Bearbeitungsverzeichnisse zurückgegriffen werden.
Einige Pflichten des nDSG, wie bspw. die Anforderungen an die Datensicherheit, die Pflicht von KMU zur Führung von Bearbeitungsverzeichnissen oder die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung sind abhängig vom Risiko, welches die Datenbearbeitungen des Unternehmens mit sich bringen. Aus diesem Grund ist eine vorgängige Risikobewertung erforderlich, um die konkreten Umsetzungsmassnahmen zu bestimmen. Zur Gewährleistung einer angemessenen Datensicherheit müssen der Schutzbedarf der Personendaten bestimmt und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegt werden. Für die Kriterien zur Bestimmung des Schutzbedarfs der Personendaten kann auf die Kriterien von Art. 1 Abs. 2 DSV, für diejenigen zur Beurteilung des Risikos für die Persönlichkeit oder die Grundrechte der betroffenen Person auf die Kriterien in Art. 1 Abs. 3 DSV abgestellt werden. Bei der Festlegung der technischen und organisatorischen Massnahmen sind zudem der Stand der Technik sowie die Implementierungskosten zu berücksichtigen (Art. 1 Abs. 4 DSV).
Erhöhte Risiken und damit höhere Anforderungen an die Datenschutz-Compliance (insb. Datensicherheit) können bspw. vorliegen, wenn:
- Unternehmen eine grosse Menge an Personendaten bearbeiten. Z.B. haben Unternehmen, die sich auf Online-Verkäufe oder Import/Export spezialisiert haben, einen grossen Kundenstamm, der eine beträchtliche Menge an Personendaten generiert.
- Unternehmen besonders schützenswerte Personendaten (wie in Art. 5 lit. c nDSG definiert) bearbeiten. Betroffen sind z.B. Unternehmen, die Personendaten über politische oder religiöse Meinungen, Gesundheit, genetische oder rassische Daten, Sozialhilfe, Strafverfolgung usw. bearbeiten.
- Unternehmen ein Profiling mit hohem Risiko durchführen.
- Unternehmen automatisierte Einzelentscheidungen durchführen.
In diesen Fällen sind die Anforderungen an den Datenschutz und insbesondere an die Datensicherheit höher als beispielsweise bei Unternehmen, die Daten einer begrenzten Anzahl Mitarbeiter, Lieferanten, Kunden etc. bearbeiten.
Die Datenschutz-Compliance-Arbeit erfordert je nach Art und Umfang der bearbeiteten Personendaten die Entwicklung oder Beiziehung von Datenschutz-Knowhow sowie regelmässig die Einrichtung interner Prozesse, um die Anforderungen des neuen Gesetzes zu erfüllen. Nicht zu unterschätzen sind die materiellen Ressourcen (Datenverwaltungssoftware etc.), die personellen Ressourcen (Data Protection Officer bzw. für den Datenschutz zuständige Mitarbeiter etc.) und die Zeit, die dafür aufgewendet werden muss.
Je nach Umfang der Compliance-Anforderungen wird den Unternehmen dringend empfohlen, die Dienste von IT-Experten und Anwälten in Anspruch zu nehmen.
4. Bewusstsein wecken
Sowohl für kleine als auch grosse Unternehmen gilt: alle Mitarbeiter, vom Lehrling bis zum Geschäftsführer, müssen für das Thema Datenschutz sensibilisiert werden. Empfangsmitarbeiter, Projektleiter, Personalleiter, Berater, Freiberufler, Geschäftsführer – Mitarbeiter auf allen Ebenen eines Unternehmens bearbeiten regelmässig Personendaten und tragen hierfür ggf. sogar eine strafbewehrte Verantwortung.
Zwar wird weder im nDSG noch in der DSGVO explizit verlangt, dass Schulungen durchgeführt werden, faktisch sind diese aber oft notwendig (und können sich bei einem strafrechtlich relevanten Verstoss allenfalls haftungsreduzierend auswirken), um im Unternehmen die erforderliche Sensibilität für das Thema zu schaffen.
Beispiel: Eine Empfangsdame führt ein Register der Besucher eines Unternehmens. Indem sie den Vor- und Nachnamen von Personen, die das Unternehmen besuchen, erfasst und archiviert, bearbeitet sie bereits Personendaten.
5. Transparenz und Information
Transparenz bei der Datenbearbeitung ist auch unter dem neuen DSG nach wie vor ein wichtiger Grundsatz. Hinzu kommt die Informationspflicht bei der Datenbeschaffung. Der Verantwortliche muss die betroffenen Personen über verschiedene Aspekte der Datenbearbeitung(en) zwingend informieren. Deshalb ist die Erstellung bzw. Aktualisierung von Datenschutzerklärungen mit Blick auf das Inkrafttreten des nDSG unerlässlich (auf der Unternehmenswebsite, aber auch in der physischen Korrespondenz).
6. IT-Sicherheit
Unter dem Stichwort Datensicherheit müssen Unternehmen sicherstellen, dass die Sicherheit ihrer IT-Systeme und Software-Anwendungen den Vorgaben des neuen Gesetzes entspricht. Dazu gehören insbesondere technische und organisatorische Massnahmen (sog. TOMs, z.B. Zugriffsrechte, Pseudonymisierung) zur Verhinderung von Cyberattacken, Datenmanipulation, Datendiebstahl und anderweitigen Datenverlust. Mit den TOMs soll auf die Schutzziele der Datensicherheit nach Art. 2 DSV hingewirkt werden (Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit).
In diesem Zusammenhang ist zu erwähnen, dass «über die gesamte Bearbeitungsdauer» eine Pflicht zur Überprüfung und gegebenenfalls Anpassung der getroffenen Massnahmen besteht und ein vorsätzlicher Verstoss gegen die Mindestanforderungen an die Datensicherheit sanktionsbewehrt ist (Art. 61 lit. c nDSG).
7. Interne Organisation und Abläufe
Um auf Betroffenenanfragen (z.B. Auskunfts- oder Löschbegehren eines Kunden) oder auf eine Verletzung der Datensicherheit («Datenpannen»), bei denen Personendaten verloren gehen, gestohlen oder missbraucht werden, gesetzeskonform reagieren zu können, müssen klare interne Prozesse festgelegt und entsprechende Reglemente oder Weisungen ausgearbeitet werden. Diese sollten je nach Vorfall insbesondere definieren, welcher Mitarbeiter (inkl. Vertretung) welche Massnahmen innert welcher Frist treffen muss.
Beispiel: Verletzung der Datensicherheit: Überblick von Fallbeispielen bzw. Kriterien, nach denen zu beurteilen ist, ob ein Vorfall einer Behörde gemeldet werden muss. Klare Ausführungen dazu, welcher Mitarbeiter diese Meldung innert welcher First und in welcher Form an welche Behörde vornehmen muss (Checklisten).
8. Erstellung und Führung eines Verzeichnisses der Bearbeitungstätigkeiten
Das nDSG sieht vor, dass sowohl der Verantwortliche als auch der Auftragsbearbeiter je ein Verzeichnis über ihre Bearbeitungstätigkeiten führen muss. Diese Pflicht gilt grundsätzlich für alle Unternehmen. Der Bundesrat kann jedoch Ausnahmen vorsehen für Unternehmen mit weniger als 250 Mitarbeitern (Art 12 Abs. 2 nDSG und Art. 24 DSV).
Das Erstellen solcher Verzeichnisse setzt voraus, dass sämtliche Bearbeitungen von Personendaten innerhalb eines Unternehmens identifiziert und systematisch zusammengetragen werden. Gerade in Fällen, wo noch keine entsprechenden Verzeichnisse geführt werden und viele verschiedene Bearbeitungen durchgeführt werden, ist dieser Prozess mit einem beträchtlichen Aufwand verbunden und sollte daher frühzeitig angegangen werden.
9. Überprüfung von Verträgen
Bis zum Inkrafttreten des neuen Gesetzes sollten Unternehmen ihre Verträge mit Kunden, Lieferanten und Dienstleistern sowie Arbeitnehmern mit Blick auf die Neuerungen überprüfen und ggf. anpassen. Dies setzt frühzeitige Vorkehrungen voraus. Eine rasche Umsetzung ist auch deshalb angezeigt, weil damit gerechnet werden muss, dass viele Vertragspartner ihrerseits Verträge bzw. Vertragsanpassungen verlangen werden, um ihrerseits Datenschutz-Compliance sicherzustellen.
10. Informiert bleiben
Um sich dem Thema Datenschutz-Compliance unter dem nDSG bewusst zu werden, muss man in der Lage sein, die konkreten Auswirkungen des neuen Gesetzes auf die eigenen Bearbeitungsprozesse zu verstehen. Informieren Sie sich auf den Internetseiten der Datenschutzbehörde (EDÖB), auf einschlägigen Blogs, in Fachzeitschriften und nehmen Sie an den verschiedenen Schulungen teil.
Zu beachten ist, dass die Sicherstellung der Datenschutz-Compliance keine einmalige Übung ist. Vielmehr sollte diese u.a. aufgrund der technischen (z.B. neue IT-Systeme), rechtlichen (z.B. Gesetzesanpassungen oder Behördenpraxis) und unternehmerischen (z.B. neue Dienstleistungen, Niederlassungen in anderen Ländern) Entwicklung regelmässig überprüft und gegebenenfalls angepasst werden. Mit Blick auf die Datensicherheit schreibt Art. 1 Abs. 5 DSV explizit vor, dass der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen über die gesamte Bearbeitungsdauer hinweg zu überprüfen und die Massnahmen nötigenfalls anzupassen sind. Es bietet sich an, entsprechende Verfahren und Verantwortlichkeiten für diese Überprüfungen festzulegen.