Datenschutz-Compliance

Compliance, also die Einhaltung der rechtlichen Vorgaben und damit auch des Datenschutzrechts ist eine der Hauptaufgaben des Verwaltungsrates und der Unternehmensleitung. Das Datenschutzrecht zwingt Organisationen zu einem strukturierten, kontrollierten und vorausschauenden Umgang mit Personendaten. Dies ermöglicht gleichzeitig, das Potential der Daten für das Unternehmen besser zu nutzen, etwa im Bereich von datenbasierten oder digitalisierten Geschäftsmodellen („Big Data“ und „Industrie 4.0“) und für gezieltere Kundenansprache.

Compliance erfordert eine geeignete Organisation und Prozesse innerhalb des Unternehmens (Datenschutz-Governance), u.a.:

  • Innerbetriebliche Datenschutzorganisation: Zuordnung der Verantwortlichen in Datenschutzfragen, Benennung der Ansprechpersonen und allenfalls Bestellung eines betrieblichen Datenschutzbeauftragten / Datenschutzberaters.
  • Erlass von verbindlichen Regelungen zum Datenschutz sowie deren Kommunikation und regelmässige Schulung intern.
  • Allenfalls Bestellung eines externer Datenschutzbeauftragten / Datenschutzberaters: Gewisse Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu bestellen. Die anderen Unternehmen können bei Ernennung eines Datenschutzbeauftragten /-beraters von administrativen Erleichterungen profitieren. Die Funktion kann intern besetzt oder durch eine externe Person wahrgenommen werden. Die Bestellung eines qualifizierten Datenschutzbeauftragten / Datenschutzberaters kann sehr sinnvoll sein und massgeblich zur Datenschutz-Compliance beitragen.
  • Schweizer Unternehmen, die direkt der DSGVO unterstehen, müssen in bestimmten Fällen einen Vertreter in der EU bestellen (Art. 27 DSGVO).

Sodann sind die Massnahmen für die Datenschutz-Compliance zu dokumentieren. Dies umfasst u.a.:

  • Dokumentation der Reglemente und Prozesse für Datenbearbeitungen.
  • Verzeichnis der Datenbearbeitungstätigkeiten: Die meisten Unternehmen müssen unter der DSGVO und künftig auch unter dem Schweizer Recht ein Verzeichnis führen über die Datenbearbeitungstätigkeiten in ihrem Betrieb. Das Gesetz schreibt den Mindestinhalt vor.
  • Prozess für Vorgehen bei Datenschutzverstössen (Data Breaches).
  • Nachweis der Einwilligungserklärungen, soweit eine Datenbearbeitung auf der Einwilligung der betroffenen Person beruht, und der Erfüllung der gesetzlichen Informationspflichten.
  • Datenschutz-Folgenabschätzung