LPD

Osatech unterstützt seine Kunden bei der Einhaltung der Schweizer Datenschutzgesetze sowie des europäischen Gesetzes GDPR.

DPA - Bundesdatenschutzgesetz

Die jüngste Einführung des neuen Bundesgesetzes über den Datenschutz (DSG) in der Schweiz hat den Praktiken des Datenmanagements für Unternehmen einen neuen Stellenwert verliehen.
Dieses Gesetz, das 2020 verabschiedet wurde und im September 2023 in Kraft treten soll, hat zu einer Reihe bedeutender Änderungen in der Art und Weise geführt, wie Organisationen mit Daten umgehen und sie schützen müssen.

Die DSGVO zielt darauf ab, den Schutz personenbezogener Daten und der Privatsphäre des Einzelnen zu stärken, indem sie Unternehmen dazu verpflichtet, strenge Maßnahmen zur Gewährleistung von Sicherheit und Transparenz bei der Datenverarbeitung zu ergreifen.
Zu den wichtigsten Säulen gehören die Stärkung der Zustimmung der Nutzer und das Recht auf Selbstbestimmung in Bezug auf die Verwaltung ihrer persönlichen Daten.

Vorzunehmende IT-Änderungen

Unternehmen müssen umfangreiche strukturelle und organisatorische Anpassungen vornehmen, um der DSGVO zu entsprechen und erhebliche Geldstrafen und Bußgelder zu vermeiden.
Es ist von entscheidender Bedeutung, dass Unternehmen frühzeitig mit den Vorbereitungen beginnen, da es keine Übergangsfrist gibt und die Strafen bei Nichteinhaltung hoch sein können.

Wir bei Osatech wissen, wie wichtig es ist, Unternehmen bei der Einhaltung der DPA zu unterstützen.
Unser Team von zertifizierten Beratern steht Ihnen mit Rat und Tat zur Seite, um Unternehmen dabei zu helfen, die Anforderungen des Gesetzes zu verstehen und die notwendigen Schritte für die Einhaltung zu unternehmen.

Seit dem Inkrafttreten der DSGVO unterstützen wir unsere Kunden dabei, sich in der komplexen Landschaft des Datenschutzes und der digitalen Privatsphäre zurechtzufinden.
Wir bieten DPA-Beratung, interne Prozessüberprüfungen, Mitarbeiterschulungen und die Implementierung von Technologielösungen, um die Einhaltung der Vorschriften zu gewährleisten.

Als zuverlässiger Partner stellen wir sicher, dass Unternehmen auf die Herausforderungen des neuen Bundesdatenschutzgesetzes in der Schweiz vorbereitet sind.
Bitte zögern Sie nicht, uns zu kontaktieren, wenn Sie weitere Informationen und Unterstützung bei der Einhaltung des DPA benötigen.
Wir helfen Ihnen dabei, Ihre Daten zu schützen und sichere und transparente Datenverwaltungspraktiken einzuführen.

Erfahren Sie mehr über den Data Protection Act

Das neue Datenschutzgesetz wird im September 2023 in Kraft treten . Da es jedoch keine Übergangsfrist gibt, müssen die Unternehmen schon jetzt die notwendigen Instrumente schaffen, um sich darauf einzustellen, sowohl konzeptionell als auch in Bezug auf Personal und Technologie.
Die Bedeutung und Aktualität der DPA ergibt sich aus der Tatsache, dass immer mehr Daten verarbeitet und genutzt werden.
Viele internationale Organisationen haben ihre Standards entsprechend verschärft, angefangen bei der EU mit der GDPR.
Sie hat einen neuen internationalen Standard geschaffen, an den sich die Schweiz, obwohl sie ein Drittland ist, anpassen musste.
Die DSGVO hat nämlich einen extraterritorialen Geltungsbereich, was bedeutet, dass jedes Schweizer Unternehmen, das die Daten von Personen mit Wohnsitz in EU-Ländern verarbeitet und nutzt, sie einhalten muss. Darüber hinaus besagt dieselbe Verordnung, dass EU-Länder Daten nur in Länder übermitteln dürfen , die bei der Verarbeitung dieser Daten als sicher gelten: Daher musste die Schweiz, die wichtige Geschäftsbeziehungen zur EU unterhält, ihre Gesetzgebung aktualisieren.
Die DSGVO bietet eine gleichwertige und ergänzende Lösung zur DSGVO, auch wenn sie sich in einigen Punkten von ihr unterscheidet, mit strengeren und weniger strengen Regeln.

Die DSGVO wird das derzeit geltende und logischerweise veraltete Gesetz aus dem Jahr 1992 durch eine Anpassung an den veränderten technologischen und gesellschaftlichen Kontext (Cloud Computing, Big Data, soziale Netzwerke, Internet der Dinge) ersetzen.
Hauptziel ist es, dem Einzelnen die Selbstbestimmung über die Verarbeitung und Nutzung seiner Daten zu ermöglichen und auch das Profiling zu regeln, d.h. die automatisierte Verarbeitung von Daten zur Bewertung bestimmter persönlicher Aspekte einer Person, wie z.B. wirtschaftliche Lage, Gesundheitszustand, Interessen, Verhalten, Standort.
All dies ist durch die Digitalisierung notwendig geworden, die die Menge der Daten, die ausgetauscht werden und in den Besitz von Unternehmen gelangen, vergrößert und verkompliziert hat.

Das Gesetz gilt für alle Fälle, die in der Schweiz wirksam werden, auch wenn sie sich im Ausland ereignen, und jede Art von Unternehmen, vom KMU bis zum Großunternehmen, muss es bis zu seinem Inkrafttreten einhalten.

Das DSG gilt für die Verarbeitung von Daten natürlicher und juristischer Personen durch Privatpersonen und föderale Organe.
Die wichtigste Folge ist die Verpflichtung, die Zustimmung der betroffenen Personen einzuholen, wenn es sich um besonders schützenswerte Daten, ein risikoreiches Profiling oder um Daten handelt, die von einem Bundesorgan verarbeitet werden. Im Falle einer Verletzung der Datensicherheit, einschließlich Zwischenfällen, besteht eine Meldepflicht.

Betroffene Personen können sich also darüber informieren, wie ihre Daten gesammelt und verwendet werden.

Im Gegensatz zum bisherigen Gesetz werden Privatpersonen haftbar gemacht.
Privatpersonen können mit einer Geldstrafe von bis zu 250.000 CHF bestraft werden, Unternehmen können mit einer Geldstrafe von bis zu 50.000 CHF bestraft werden, wenn die Identifizierung der strafbaren Personen eine unverhältnismäßige Belastung darstellen würde, sowie mit einer Höchststrafe von 50.000 CHF. Ziel ist es, Einzelpersonen wie Vorstandsmitglieder und Manager zur Rechenschaft zu ziehen.

Ausländische Unternehmen, die nicht in der Schweiz ansässig sind, aber Daten von hier ansässigen Bürgern verarbeiten, sind nach dem neuen Gesetz verpflichtet, einen Vertreter in unserem Land zu benennen.
Für diejenigen, die ihren Sitz in der Schweiz haben, wird es verpflichtend sein, offenzulegen, in welche Drittländer die Daten weitergegeben werden, und es muss sichergestellt werden, dass sie in der Art und Weise, wie sie verarbeitet werden, den Vorschriften entsprechend sicher sind (mit besonderem Augenmerk auf die Verschlüsselung von E-Mails mit personenbezogenen Daten).

Im Vergleich zur vorherigen Gesetzgebung verengt die DSGVO den Bereich der geschützten Daten einerseits, weil sie darauf abzielt, die Daten natürlicher Personen zu schützen und weniger die Daten juristischer Personen wie zuvor, und andererseits erweitert sie ihn, weil sie auch genetische und biometrische Daten umfasst.

Die Informationspflichten der Unternehmen nehmen jedoch zudenn sie müssen die betroffenen Personen angemessen über jede Datenerhebung zu informieren (unter Angabe der Identität und der Kontaktdaten des für die Datenverarbeitung Verantwortlichen, des Zwecks der Verarbeitung, der Empfänger oder Kategorien von Empfängern und des Empfängerlandes im Falle des Exports von Daten ins Ausland, während sich die Verpflichtung nach dem bisherigen Recht nur auf schutzwürdige Daten bezog), und Aufzeichnungen über die vorgeschriebenen Informationen führen (aber nicht notwendigerweise Sammlungen, diejenigen mit weniger als 250 Mitarbeitern, deren Nutzung der Daten nicht zu einem hohen Risiko eines Verstoßes gegen die Vorschriften führt, sind davon ausgenommen).

Die Neuerungen betreffen das Profiling, d.h. die automatisierte Verarbeitung von Daten, um bestimmte persönliche Aspekte einer Person zu bewerten, wie z.B. die wirtschaftliche Situation, den Gesundheitszustand, die Interessen, das Verhalten, den Standort usw.: Unternehmen werden nur dann verpflichtet sein, eine Einwilligung einzuholen, wenn das Risiko hoch ist, ebenso wie sie eine dokumentierte Datenschutz-Folgenabschätzung durchführen müssen , wenn eine Datenverarbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen birgt.

Im Falle einer – auch versehentlichen – Verletzung der Datensicherheit muss eine Meldung an denEDÖB erfolgen.

Schließlich müssen Unternehmen auf Datenschutz durch Design und Datenschutz durch Voreinstellungen achten und auch auf IT-Ebene arbeiten, um keine Anwendungen zu verwenden, die z.B. die Zustimmung der betroffenen Personen zur Datenverarbeitung über das nach den vordefinierten Einstellungen unbedingt erforderliche Maß hinaus einholen.
Dies ist ein Bereich, in dem wir bei OsaTech unseren Kunden zweifelsohne helfen können, die für ihre Bedürfnisse am besten geeigneten Lösungen zu finden, die mit dem Gesetz in Einklang stehen.

Außerdem wird die Durchführung einer Folgenabschätzung für den Schutz personenbezogener Daten vorgeschrieben, wenn deren Verarbeitung ein hohes Risiko darstellt.

Das Schweizer Gesetz dient auch der Anpassung der Gesetzgebung und damit der Angleichung unseres Landes an die von der EU geforderten Sicherheitsstandards.
Die Europäische Union erlaubt nämlich nur die Übermittlung von Daten in Länder, die sie in Bezug auf den Datenschutz für sicher hält.
Die DSGVO ist im Großen und Ganzen weniger formalistisch als die DSGVO , aber in einigen Fällen ist sie sogar strenger (z.B. in den Anwendungsbereichen, bei der Informationspflicht bei der Verarbeitung von Daten und bei den Definitionen von sensiblen Daten).
Die Europäische Datenschutzverordnung (DSGVO), die 2018 in Kraft getreten ist, sieht die Einführung eines Datenschutzbeauftragten (DSB) in Unternehmen und öffentlichen Verwaltungen vor, der für die Überwachung der ordnungsgemäßen Datenverwaltung zuständig ist, verpflichtet zur Verarbeitung von Daten nach dem Prinzip “by design” und “by default”, zur Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) für die Verarbeitung von Daten mit hohem Risiko und zur Einhaltung der “Datenschutzverletzung”, d.h. zur Meldung von Datenlecks oder Kompromittierungen an die Garante und die betroffene Person.
Außerdem sieht es verschärfte Sanktionen bei Verstößen, Pseudonymisierung und Verschlüsselung von Daten vor. Alle Schweizer Unternehmen, die mit der EU zu tun haben (wir sprechen hier sowohl von Kunden als auch von Lieferanten) , mussten sich anpassen, denken Sie an diejenigen, die online mit E-Commerce verkaufen, während nur diejenigen, die ausschließlich in der Schweiz tätig sind, davon ausgenommen wurden.

Der Hauptunterschied zwischen DPA und GDPR besteht darin, dass erstere natürliche Personen bestraft (mit Geldbußen von bis zu 250.000 Franken) und gleichzeitig die Führungskräfte von Unternehmen zur Rechenschaft zieht, während letztere bei Verstößen gegen juristische Personen Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vorsieht.

Die DSGVO verpflichtet nicht zur Ernennung eines Verantwortlichen (DSB), die DSGVO hingegen schon.
Im Falle einer Bestellung nach dem Schweizer Standard erhält das Unternehmen in einigen Fällen eine Ausnahme von der Verpflichtung zur vorherigen Konsultation des DSB im Falle einer risikoreichen Verarbeitung. Der Berater wird, wenn er ernannt wird, zur Kontaktperson für Datenschutzfragen für Mitarbeiter, Kunden (bei der Ausübung ihrer Rechte als betroffene Personen) und Autoren.

Da es keine Übergangsfrist gibt und die Anpassung eine Umstrukturierung des Datenschutzkonzepts voraussetzt, sollten Unternehmen jetzt mit der Einhaltung der DSGVO beginnen und dabei die IT-Sicherheit, die rechtlichen Aspekte und das eigentliche Datenmanagement im Blick haben.
Wir bei OsaTech stehen Ihnen für Anregungen und Beratung zu digitalen Datenschutzbestimmungen und internen Prozessen zur Verfügung und bauen auch Partnerschaften mit Anwaltskanzleien auf, um kombinierte Pakete anbieten zu können. Wir beraten auch zu Software und Verwaltungssoftware, die den Vorschriften entsprechen und bei der Datenverwaltung und -einhaltung helfen.
Insbesondere diejenigen, die eine große Menge personenbezogener Daten verarbeiten, wie z.B. Unternehmen, die sich auf Online-Verkäufe oder Import/Export spezialisiert haben, sowie Unternehmen, die besonders sensible personenbezogene Daten verarbeiten, wie z.B. solche, die personenbezogene Daten in Bezug auf politische Meinungen, Religion, Gesundheit, genetische Daten, rassistische Daten, soziale Unterstützung, Strafverfolgung, Profiling usw. verarbeiten, werden schnell an der Einhaltung der Vorschriften arbeiten müssen.
Die Anpassung beinhaltet eine umfassende Überprüfung der Situation, eine Risikobewertung, die Sensibilisierung von Angestellten und Mitarbeitern, die Erhöhung der Transparenz bei der Verarbeitung von Daten, die besondere Beachtung der IT-Sicherheit, eine präzise und detaillierte interne Organisation und Verfahren, die Erstellung eines Tätigkeitsverzeichnisses und gegebenenfalls die Überarbeitung von Verträgen mit Angestellten, Mitarbeitern und Lieferanten sowie der Datenschutzerklärung im Internet und von Werbe- und Vertragsunterlagen.

Die ersten Schritte setzen notwendigerweise die Kenntnis der Daten voraus, die von jedem einzelnen Unternehmen erhoben und verarbeitet werden. Dieses muss daher mithilfe von Computerprogrammen darstellen, welche Daten verarbeitet werden, wer sie verarbeitet, wie, wo, zu welchen Zwecken, wer der Empfänger ist und auf welcher rechtfertigenden Grundlage die Verarbeitung erfolgt (Gesetz, Einwilligung oder überwiegendes öffentliches oder privates Interesse).

Die Verarbeitung der Daten muss zu diesem Zeitpunkt beginnen, wenn nicht schon vorher, und zwar nach den Grundsätzen der Sicherheit, der Verhältnismäßigkeit, der Fairness, des eingebauten Datenschutzes und der Voreinstellungen.
Es ist auch wichtig, unrechtmäßige Aktivitäten aufzuspüren und zu unterbinden und gleichzeitig die Daten anzupassen oder, falls dies nicht möglich ist, zu vernichten (die Daten müssen gelöscht und anonymisiert werden, wenn sie nicht mehr benötigt werden).
Es ist die Aufgabe der Unternehmen, ein Team und Regeln für den wirksamen und rechtzeitigen Umgang mit “Datenschutzverletzungen ” (Sicherheitsverletzungen) sowie für die Bearbeitung von Anträgen der Betroffenen, wie z.B. Berichtigung von Daten, Sperrung der Verarbeitung, Widerruf der Einwilligung, Datenzugang, Übertragbarkeit usw., einzurichten .

Nach der Entscheidung für oder gegen die Ernennung eines Datenschutzbeauftragten (der intern oder extern sein kann) müssen alle betroffenen Mitarbeiter in der Datenverarbeitung geschult werden, wobei ein Organigramm erstellt werden muss, aus dem die Rolle und die Verantwortlichkeiten jedes Einzelnen klar hervorgehen. Jeder muss die Datenschutzrisiken, -rechte und -pflichten sowie die damit verbundenen Verantwortlichkeiten kennen, um interne Verfahren zu schaffen, die die gesetzlichen Anforderungen erfüllen können.
Der für die Datenverarbeitung Verantwortliche und der Auftragsverarbeiter müssen ein Protokoll über ihre Aktivitäten führen, in dem alle Vorgänge im Zusammenhang mit Aktivitäten, die personenbezogene Daten betreffen, aufgeführt sind.

Das Unternehmen muss alle Betroffenen, von den Mitarbeitern bis zu den Kunden, darüber informieren, wie die von ihnen angegebenen Daten verarbeitet und verwendet werden, und seine Systeme zur Einholung von Einwilligungen an die neuen Vorschriften anpassen.

Außerdem muss eine Datenschutz-Folgenabschätzung mit Hilfe eines Computerprogramms durchgeführt werden.

Die IT-Sicherheitsmaßnahmen zur Verhinderung von Ereignissen wie Cyberangriffen, Diebstahl oder Datenverlust müssen verstärkt werden.

SIND SIE LPD-KONFORM? ENTDECKEN SIE ES!

SIE KÖNNTEN INTERESSIERT SEIN

EINBLICKE

ANFRAGE INFORMATIONEN

Fehler: Kontaktformular wurde nicht gefunden.