Datenschutzkonforme Organisation
Unternehmen müssen nicht nur mit technischen, sondern auch mit organisatorischen und rechtlichen Massnahmen das datenschutzrechtliche Risiko reduzieren, welches aus der Bearbeitung von Kunden-, Mitarbeiter- und Lieferantendaten entspringt.
Die datenschutzrechtlichen Vorgaben sind "Muss-Zielsetzungen", die einerseits beim Design und Betrieb der IT-Systeme und Bearbeitungsprozesse im Unternehmen, anderseits ebenso in organisatorischer Hinsicht zu berücksichtigen sind. Die Organisation, die Aufgaben, die Prozessabläufe und die damit verbundenen Datenflüsse im Unternehmen müssen datenschutzkonform ausgestaltet sein. Es muss klar festgelegt werden, welcher Mitarbeiter, welche Abteilung und Unternehmenseinheit für welche Aufgabe die vorhandenen Personendaten im Unternehmen nutzen darf.
Zu regeln ist gleichermassen, wer welche kundenbezogene Daten und Kundenprofile auf Basis einer Zusammenarbeit mit Geschäftspartnern im Supplier Relationship Management oder für andere Kontakte zur Aussenwelt, wie z. B. für die Vermarktung von Produkten und Dienstleistungen (Cross-Selling) rechtmässig verwenden darf.
Ferner ist zu fixieren, aus welchen betriebsinternen und betriebsexternen Quellen (öffentliche Register, Web, Datenhändler, Partnerunternehmen) die Kundendaten stammen und wie, wann und von wem diese Datenbestände in die unternehmenseigenen Datenbanken überführt, gepflegt und für welche vordefinierten Zwecke sie bereitgestellt werden. Zudem müssen auch die gesetzeskonforme Aufbewahrung und die fristgerechte Löschung der Daten organisiert werden. Zu regeln ist weiter eine datenschutz-konforme Entsorgung von Papierabfällen und alten elektronischen Datenträgern.
Zum Ausdruck kommen sollten diese und andere Datenbearbeitungsabläufe in einem ständig aktualisierten Bearbeitungsreglement, welches für die notwendige Transparenz bei der Gestaltung und beim Betrieb von IT-Systemen und bei der Bearbeitung von Personendaten sorgt.
Weiter müssen Unternehmen Datensammlungen beim EDÖB anmelden, wenn regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden. Dies ist auch der Fall, wenn regelmässig Personendaten an Dritte bekannt gegeben werden. Hingegen müssen Bundes- sorgane stets sämtliche Datensammlungen anmelden. Diese sind nur einige von vielen anderen organisatorischen Aufgaben, die sich im Bereich des Datenschutzes für Unternehmen und öffentliche Verwaltungen stellen.
Im Bereich des Organisationsrechts bieten wir die folgenden datenschutzrechtlichen Dienstleistungen an:
Datenschutzplanungen
Am Anfang jedes IT-Projekts steht eine Planung. Dazu gehört auch eine Datenschutzplanung. Es stellt sich dabei die Frage, welche rechtlichen, organisatorischen und technischen Massnahmen getroffen werden müssen, um das Projekt datenschutzkonform umsetzen zu können. Wir übernehmen für Sie die Datenschutzplanung und begleiten Sie gerne bis zur erfolgreichen Realisierung Ihres Projekts.
Erarbeitung / Überprüfung von Datenschutzreglementen
- Bearbeitungsreglemente
- Videoüberwachungsreglemente
- E-Mail-Überwachungsreglemente
- Aktenaufbewahrungsreglemente
- Auswertungsreglemente
- Datennutzungsreglemente
- Reglemente für Kundenbindungs- und Bonusprogramme
- Reglemente bezüglich der Gebäudesicherheit
Erarbeitung / Überprüfung von Datenschutzweisungen
- Weisungen für den Umgang mit Personendaten
- Ablageweisungen
- Weisungen für den Umgang mit mobilen Datenträgern
- Weisungen für den Umgang mit Passwörtern
- Weisungen zur privaten Nutzung von E-Mail, Internet und Telefon
Überprüfung der betriebsinternen Schnittstellen
In der Praxis besteht oft der Wunsch, Personendaten abteilungsübergreifend und möglichst unbeschränkt zu nutzen. Für die Datenweitergabe von einer Organisationseinheit zu einer anderen im Unternehmen (oder in der öffentlichen Verwaltung) gelten jedoch auch verschiedene rechtliche Voraussetzungen, die man beachten muss. Beispielsweise darf der betriebsinterne Vertrauensärztliche Dienst (VAD) einer Krankenkasse die Gesundheitsdaten, die nur für ihn bestimmt sind und unter seiner Obhut stehen müssen, nur in bestimmten Fällen und in begrenztem Umfang an die Administration der Krankenkasse weiterleiten (Art. 57 Abs. 7 KVG). Übermittelt der Vertrauensärztliche Dienst Daten über den im Krankenversicherungsgesetz erlaubten Umfang hinaus an eine Abteilung der Administration, kann er die Schweigepflicht gemäss Art. 33 ATSG und seine besondere ärztliche Geheimhaltungspflicht (Art. 321 StGB) verletzen. Auch die gewöhnliche Nutzung von Kunden- und Mitarbeiterdaten untersteht bestimmten rechtlichen Bedingungen. Es müssen z. B. technische und organisatorische Massnahmen getroffen werden, um den Zugriff der berechtigten Mitarbeitenden auf diejenigen Personendaten zu beschränken, die sie für Erfüllung ihrer vertraglich und gesetzlich vorgesehenen Aufgaben und Funktionen tatsächlich benötigen.
Wir klären für Sie den zulässigen Datenaustausch zwischen Ihren verschiedenen Abteilungen und Organisationseinheiten ab, insbesondere wie und in welchem erlaubten Umfang Sie Daten abteilungsübergreifend nutzen und auswerten können. Zudem erarbeiten wir Ihnen auch Lösungen, damit Sie Ihre Unternehmensdaten möglichst unbeschränkt und in legitimer Weise verwenden können.
Überprüfung der betriebsexternen Schnittstellen
Unternehmen haben oft zahlreiche betriebsexterne Schnittstellen, sei es zu Gesellschaften innerhalb einer Konzerngruppe, zu anderen Drittfirmen und manchmal auch zu öffentlichen Institutionen. Typische Schnittstellen bestehen meistens zu beauftragten Outsourcingnehmern, Lieferanten und Vertriebspartnern. Wir überprüfen, ob der Datenaustausch, der über diese betriebsexternen Schnittstellen stattfindet, datenschutzkonform ist.
Führung von Verzeichnissen der Datensammlungen
Auf Wunsch führen wir ein Verzeichnis Ihrer Datensammlungen. Dabei sind wir auf Ihre Mitwirkung angewiesen. Wir müssen insbesondere Zugang zu Ihren Datensammlungen haben, um ein Verzeichnis erstellen und führen zu können.
Anmeldung der Datensammlungen
Gerne übernehmen wir für Sie auch die Anmeldung Ihrer Daten-sammlungen beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.
Schulungen
- Datenschutzschulungen für die Geschäftsführung
- Datenschutzkurse für Mitarbeitende
- Branchenspezifische Datenschutzschulungen
- Funktionsspezifische Datenschutzschulungen
Privacy Policy
Für Unternehmen, die im Internet eine Website oder einen Onlineshop betreiben, erarbeiten wir auch eine mass- geschneiderte "Privacy Policy", um den gesetzlichen Anforderungen hinsichtlich Transparenz, Information, Wahl- möglichkeiten, Sicherheit und Einwilligung zu genügen. Dadurch können Unternehmen bei ihren Onlinekunden und Website- besuchern einerseits Vertrauen schaffen. Anderseits können so auch Vorwürfe einer absichtlichen Täuschung über die Zweckverwendung der Kundendaten, die im Web gesammelt werden, von vornherein entkräftet werden.