Umsetzung des nDSG: die 7 grössten Herausforderungen für Unternehmen

Die 7 grössten Herausforderungen für Unternehmen

1. Einhaltung der erweiterten Betroffenenrechte, insbesondere das Recht auf Datentransfer in maschinenlesbarer Form.

• Unternehmen müssen sicherstellen, dass sie in der Lage sind, auf Anfragen von Betroffenen rechtzeitig und korrekt zu reagieren.
• Sie müssen gewährleisten, dass sie den Betroffenen das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Bearbeitung gewähren können.
• Sie müssen auch sicherstellen, dass sie die erforderlichen technischen und organisatorischen Massnahmen getroffen haben, um diese Anforderungen zu erfüllen.

2. Einhaltung der erweiterten Informations- und Transparenzpflichten, insbesondere bei der Erhebung von Daten über Dritte:

• Der Punkt stellt einen grossen zusätzlichen Aufwand für das Unternehmen dar, da Betroffene bei jeder Informationsbeschaffung von Daten adäquat informiert werden müssen.
• Die Identifizierung und Benachrichtigung von Betroffenen, insbesondere bei grossen Datenmengen oder internationalen Datenströmen könnte Unternehmen vor grosse Herausforderung stellen.
• Umfassende und verständliche Informationen bereitzustellen, erfordert Zeit und Ressourcen.
• Es besteht eine Herausforderung bei der Einhaltung von Deadlines und Fristen für die Informationsbeschaffung und -bereitstellung.
• Es stehen mögliche Risiken bei der Verletzung von Informations- und Transparenzpflichten im Raum, wie z.B. Strafen oder Schadenersatzansprüche.

3. Erstellung und Pflege eines Verzeichnisses der Bearbeitungstätigkeiten, das alle Datenbearbeitungen des Unternehmens erfasst und mit Mindestangaben versehen werden muss.

• Die Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten erfordert Zeit und Ressourcen.
• Unternehmen müssen sicherzustellen, dass ALLE Datenbearbeitungen erfasst werden und dass die Mindestangaben korrekt und vollständig sind.
• Was gehört aber zu den Mindestangaben?
• Eine weitere Herausforderung besteht darin, das Verzeichnis regelmässig zu überprüfen und auf dem aktuellen Stand zu halten, um sicherzustellen, dass es immer vollständig und korrekt ist.

4. Durchführung von Datenschutz-Folgeabschätzungen für Prozesse mit hohem Risiko für die Betroffenen.

• Unternehmen müssen besonders risikoreiche Prozesse betrachten und Risiken identifizieren und bewerten, um sicherzustellen, dass angemessene Schutzmassnahmen getroffen werden. Dies erfordert eine gründliche Analyse der Prozesse und der damit verbundenen Risiken, sowie die Identifizierung von Alternativen, um das Risiko zu minimieren.
• Unternehmen müssen auch sicherstellen, dass sie in der Lage sind, die Durchführung von Datenschutz-Folgenabschätzungen nachzuweisen, falls dies von den Aufsichtsbehörden verlangt wird.
• Ein Beispiel könnte sein, dass ein Unternehmen, das Gesichtserkennungstechnologie einsetzt, eine Datenschutz-Folgenabschätzung durchführen muss, um sicherzustellen, dass die Technologie angemessen und verhältnismässig ist und die Rechte und Freiheiten der Betroffenen gewahrt bleiben.

Achtung heikles Thema: Hier empfehlen wir in jedem Fall eine Datenschutzberatung durch einen Datenschutzexperten.

5. Einhaltung der Anforderungen an Privacy by Design und Privacy by Default:

• Unternehmen müssen sicherstellen, dass Datenschutz von Beginn an in ihre Prozesse und Produkte eingebaut wird. Dies erfordert eine gründliche Analyse der Prozesse und der damit verbundenen Risiken, sowie die Einbindung von Datenschutzmassnahmen in die Entwicklung und Gestaltung von Produkten und Dienstleistungen.
• Ein weiteres Problem kann sein, dass sich die Anforderungen an Privacy by Design und Privacy by Default schnell ändern können und es daher schwierig sein kann, immer auf dem neuesten Stand zu bleiben.
• Der Datenschutz muss zwingend bei der Entwicklung einer neuen App oder einer neuen Software, aber auch bei der Einführung und Nutzung einer neuen Software, bei der personenbezogene Daten bearbeitet werden von Anfang an berücksichtigt werden.

6. Einhaltung der Meldepflicht bei Datenpannen:

• Unternehmen müssen schnell reagieren und entsprechende Meldungen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten machen, wenn es zu einer Datenpanne kommt.
• Sie müssen sicherstellen, dass sie über die notwendigen Verfahren und Prozesse verfügen, um Datenpannen schnell erkennen und melden zu können.
• Unternehmen müssen sicherstellen, dass sie über die notwendigen Ressourcen und Fachwissen verfügen, um angemessen auf Datenpannen reagieren zu können und die betroffenen Personen zu schützen.
• Unternehmen müssen sicherstellen, dass sie angemessene Massnahmen ergreifen, um zukünftige Datenpannen zu vermeiden und das Risiko von Datenschutzverletzungen zu minimieren.

7. Einhaltung der Anforderungen bei Profiling mit hohem Risiko und Einholung der erforderlichen Einwilligungen:

• Unternehmen müssen sicherstellen, dass sie die Anforderungen an die Einholung der erforderlichen Einwilligungen bei Profiling mit hohem Risiko erfüllen.
• Sie müssen sicherstellen, dass sie die Anforderungen an die Durchführung von Risikoanalyse und -bewertungen bei Profiling beachten.
• Sie müssen die Anforderungen an die Dokumentation der durchgeführten Massnahmen bei Profiling erfüllen.
• Unternehmen müssen sicherstellen, dass sie die Anforderungen an die Beteiligung von unabhängigen Stellen bei Profiling beachten.
• Die Anforderungen an die Beratung der Betroffenen bei Profiling müssen sichergestellt werden.
• Unternehmen müssen dafür sorgen, dass sie die Anforderungen an die Durchführung von Tests und Überwachungen bei Profiling erfüllen.
• Es muss überprüft werden, ob Prinzipien der Verhältnismässigkeit und der Transparenz bei Profiling erfüllt und die Rechte der Betroffenen bewahrt werden.