Datenschutzkonforme Organisation

Unternehmen müssen nicht nur mit technischen, sondern auch mit organisatorischen und rechtlichen Massnahmen das datenschutzrechtliche Risiko reduzieren, welches aus der Bearbeitung von Kunden-, Mitarbeiter- und Lieferantendaten entspringt.

Die datenschutzrechtlichen Vorgaben sind "Muss-Zielsetzungen", die einerseits beim Design und Betrieb der IT-Systeme und Bearbeitungsprozesse im Unternehmen, anderseits ebenso in organisatorischer Hinsicht zu berücksichtigen sind. Die Organisation, die Aufgaben, die Prozessabläufe und die damit verbundenen Datenflüsse im Unternehmen müssen datenschutzkonform ausgestaltet sein. Es muss klar festgelegt werden, welcher Mitarbeiter, welche Abteilung und Unternehmenseinheit für welche Aufgabe die vorhandenen Personendaten im Unternehmen nutzen darf.

Zu regeln ist gleichermassen, wer welche kundenbezogene Daten und Kundenprofile auf Basis einer Zusammenarbeit mit Geschäftspartnern im Supplier Relationship Management oder für andere Kontakte zur Aussenwelt, wie z. B. für die Vermarktung von Produkten und Dienstleistungen (Cross-Selling) rechtmässig verwenden darf.

Ferner ist zu fixieren, aus welchen betriebsinternen und betriebsexternen Quellen (öffentliche Register, Web, Datenhändler, Partnerunternehmen) die Kundendaten stammen und wie, wann und von wem diese Datenbestände in die unternehmenseigenen Datenbanken überführt, gepflegt und für welche vordefinierten Zwecke sie bereitgestellt werden. Zudem müssen auch die gesetzeskonforme Aufbewahrung und die fristgerechte Löschung der Daten organisiert werden. Zu regeln ist weiter eine datenschutz-konforme Entsorgung von Papierabfällen und alten elektronischen Datenträgern.

Zum Ausdruck kommen sollten diese und andere Datenbearbeitungsabläufe in einem ständig aktualisierten Bearbeitungsreglement, welches für die notwendige  Transparenz bei der Gestaltung und beim Betrieb von IT-Systemen und bei der Bearbeitung von Personendaten sorgt.

Weiter müssen Unternehmen Datensammlungen beim EDÖB anmelden, wenn regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden. Dies ist auch der Fall, wenn regelmässig Personendaten an Dritte bekannt gegeben werden. Hingegen müssen Bundes- sorgane stets sämtliche Datensammlungen anmelden. Diese sind nur einige von vielen anderen organisatorischen Aufgaben, die sich im Bereich des Datenschutzes für Unternehmen und öffentliche Verwaltungen stellen.

Im Bereich des Organisationsrechts bieten wir die folgenden datenschutzrechtlichen Dienstleistungen an:

Datenschutzplanungen

Am Anfang jedes IT-Projekts steht eine Planung. Dazu gehört auch eine Datenschutzplanung. Es stellt sich dabei die Frage, welche rechtlichen, organisatorischen und technischen Massnahmen getroffen werden müssen, um das Projekt datenschutzkonform umsetzen zu können. Wir übernehmen für Sie die Datenschutzplanung und begleiten Sie gerne bis zur erfolgreichen Realisierung Ihres Projekts.

Erarbeitung / Überprüfung von Datenschutzreglementen

  • Bearbeitungsreglemente
  • Videoüberwachungsreglemente
  • E-Mail-Überwachungsreglemente
  • Aktenaufbewahrungsreglemente
  • Auswertungsreglemente
  • Datennutzungsreglemente
  • Reglemente für Kundenbindungs- und Bonusprogramme
  • Reglemente bezüglich der Gebäudesicherheit 

Erarbeitung / Überprüfung von Datenschutzweisungen

  • Weisungen für den Umgang mit Personendaten
  • Ablageweisungen
  • Weisungen für den Umgang mit mobilen Datenträgern
  • Weisungen für den Umgang mit Passwörtern
  • Weisungen zur privaten Nutzung von E-Mail, Internet und Telefon

Überprüfung der betriebsinternen Schnittstellen

In der Praxis besteht oft der Wunsch, Personendaten  abteilungsübergreifend und möglichst unbeschränkt zu nutzen. Für die Datenweitergabe von einer Organisationseinheit zu einer anderen im Unternehmen (oder in der öffentlichen Verwaltung) gelten jedoch auch verschiedene rechtliche Voraussetzungen, die man beachten muss. Beispielsweise darf der betriebsinterne Vertrauensärztliche Dienst (VAD) einer Krankenkasse die Gesundheitsdaten, die nur für ihn bestimmt sind und unter seiner Obhut stehen müssen, nur in bestimmten Fällen und in begrenztem Umfang an die Administration der Krankenkasse weiterleiten (Art. 57 Abs. 7 KVG). Übermittelt der Vertrauensärztliche Dienst Daten über den im Krankenversicherungsgesetz erlaubten Umfang hinaus an eine Abteilung der Administration, kann er die Schweigepflicht gemäss Art. 33 ATSG und seine besondere ärztliche Geheimhaltungspflicht (Art. 321 StGB) verletzen. Auch die gewöhnliche Nutzung von Kunden- und Mitarbeiterdaten untersteht bestimmten rechtlichen Bedingungen. Es müssen z. B. technische und organisatorische Massnahmen getroffen werden, um den Zugriff der berechtigten Mitarbeitenden auf diejenigen Personendaten zu beschränken, die sie für Erfüllung ihrer vertraglich und gesetzlich vorgesehenen Aufgaben und Funktionen tatsächlich benötigen.

Wir klären für Sie den zulässigen Datenaustausch zwischen Ihren verschiedenen Abteilungen und Organisationseinheiten ab, insbesondere wie und in welchem erlaubten Umfang Sie Daten abteilungsübergreifend nutzen und auswerten können. Zudem erarbeiten wir Ihnen auch Lösungen, damit Sie Ihre Unternehmensdaten möglichst unbeschränkt und in legitimer Weise verwenden können.

Überprüfung der betriebsexternen Schnittstellen

Unternehmen haben oft zahlreiche betriebsexterne Schnittstellen, sei es zu Gesellschaften innerhalb einer Konzerngruppe, zu anderen Drittfirmen und manchmal auch zu öffentlichen Institutionen. Typische Schnittstellen bestehen meistens zu beauftragten Outsourcingnehmern,  Lieferanten und Vertriebspartnern. Wir überprüfen, ob der Datenaustausch, der über diese betriebsexternen Schnittstellen stattfindet, datenschutzkonform ist. 

Führung von Verzeichnissen der Datensammlungen

Auf Wunsch führen wir ein Verzeichnis Ihrer Datensammlungen. Dabei sind wir auf Ihre Mitwirkung angewiesen. Wir müssen insbesondere Zugang zu Ihren Datensammlungen haben, um ein Verzeichnis erstellen und führen zu können.

Anmeldung der Datensammlungen

Gerne übernehmen wir für Sie auch die Anmeldung Ihrer Daten-sammlungen beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.

Schulungen

  • Datenschutzschulungen für die Geschäftsführung
  • Datenschutzkurse für Mitarbeitende
  • Branchenspezifische Datenschutzschulungen
  • Funktionsspezifische Datenschutzschulungen

Privacy Policy

Für Unternehmen, die im Internet eine Website oder einen Onlineshop betreiben, erarbeiten wir auch eine mass- geschneiderte "Privacy Policy", um den gesetzlichen Anforderungen hinsichtlich Transparenz, Information, Wahl- möglichkeiten, Sicherheit und Einwilligung zu genügen. Dadurch können Unternehmen bei ihren Onlinekunden und Website- besuchern einerseits Vertrauen schaffen. Anderseits können so auch Vorwürfe einer absichtlichen Täuschung über die Zweckverwendung der Kundendaten, die im Web gesammelt   werden, von vornherein entkräftet werden.

 

 

Strafbarkeit für Organisationsmängel

Seit dem 1. Oktober 2003 können sich auch Unter-nehmen für Organisations-mängel strafbar machen. Art. 102 des Schweizerischen Strafgesetzbuches erklärt dazu: "Wird in einem Unternehmen in Ausübung geschäftlicher Verrichtung im Rahmen des Unter-nehmenszwecks ein Verbrechen oder Vergehen begangen und kann diese Tat wegen mangelhafter Organisation des Unter-nehmens keiner bestimmten natürlichen Person zugerechnet werden, so wird das Verbrechen oder Vergehen dem Unternehmen zugerechnet. In diesem Fall wird das Unternehmen mit Busse bis zu 5 Millionen Franken bestraft."

Diese Bestimmung ist dann nicht anwendbar, wenn die betreffende Tat oder Unterlassung einer natürlichen Person, z. B. einem bestimmten Geschäftsorgan oder Mitarbeiter, zugeordnet werden kann.

Die Verantworlichkeit für eine datenschutzkonforme Organisation des Unternehmens lässt  nicht durch die Auslagerung von betrieblichen Aufgaben an  Dritte delegieren. Dies gilt insbesondere auch für personenbezogene Datenbearbeitungen. Vielmehr muss das Unternehmen gestützt auf gesetzliche Pflichten das beauftragte Drittunternehmen sorgfältig auswählen, instruieren und überwachen. Es muss für die ausgelagerten Tätigkeiten eine datenschutzkonforme Organisation und die Datensicherheit beim beauftragte Drittunternehmen sicherstellen. 

Die Geschäftsleitung und der Verwaltungsrat bleiben auch für die ausgelagerten betrieblichen Tätigkeiten und die damit verbundenen Daten-bearbeitungen verantwortlich.


Adresse
Schweizer Privacy Law
Hagenholzstrasse 81a
CH-8050 Zürich
Schweiz
Telefon: +41 (0)76 457 70 90
E-Mail: