Datenschutz

Geschäftlichen Erfolg und Datenschutz in Einklang miteinander bringen

In der heutigen Welt ist der Schutz personenbezogener Daten durch eine robuste Datenschutzorganisation und -governance entscheidend. Mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung (GDPR) im Mai 2018 haben sich für Unternehmen (auch für die Schweiz) erhebliche Konsequenzen ergeben. Viele Länder auf der ganzen Welt sind diesem regulatorischen Trend gefolgt.

In der Schweiz ist das neue Datenschutzgesetz (DSG) am 1. September 2023 in Kraft getreten und hat erhebliche Verschärfung des Gesetzes mit sich gebracht. In vielerlei Hinsicht zielt das revidierte DSG auf eine Angleichung an die Verordnung in der Europäischen Union ab, einige Aspekte unterscheiden sich jedoch von der DSGVO (Swiss Finish). Insbesondere können nach dem DSG natürliche Personen, die im Namen eines Unternehmens (als Verantwortliche) handeln, persönlich strafrechtlich belangt werden. Schweizer Unternehmen sollten daher ihren bestehenden Datenschutzrahmen überprüfen, die "Lücken" zur revidierten DSGVO sorgfältig analysieren und rechtzeitig die erforderlichen Massnahmen ergreifen, um ab dem 1. September 2023 für die DSGVO gerüstet zu sein.


Einhaltung der Datenschutz-Bestimmungen

Mit unserer Erfahrung und unserem Fachwissen im Datenschutz- und IKT-Recht sind wir sowohl für den Aufbau Ihrer Datenschutzorganisation als auch für spezifische datenschutz- und IKT-rechtliche Anliegen der richtige Partner. Dank unserer koordinierten Unterstützung werden komplexe Vorschriften denkbar einfach.

Möchten Sie wissen, wie Sie sich auf die Umsetzung des revidierten DSG vorbereiten können? Hier finden Sie alle relevanten Informationen in unserer Blogserie zum Datenschutz

Reifegradbeurteilungen

In diesen Zeiten will Ihr Verwaltungsrat wissen, ob Ihr Datenschutz-Managementsystem robust genug und angemessen mit Personal ausgestattet ist. Ziel ist es, die Risikoexponierung und den Reifegrad in Relation zum Markt zu verstehen.

Wobei wir Sie unterstützen können:
  • Ermittlung und Beurteilung aller abgedeckten Prozesse
  • Berechnung der notwendigen VZÄs
  • Abgabe von Empfehlungen, wie die ermittelten Lücken geschlossen werden können
  • Einschätzung des Risikos der Befunde, sodass Sie problemlos verstehen, welche Aufgaben höchste Priorität haben und welche von ihnen den höchsten Risikograd aufweisen

Einhaltung der Vorschriften

Datenschutzgesetze erfordern die Fähigkeit, Datenschutzrisiken zu erkennen, zu kontrollieren und darauf zu reagieren, einschliesslich klar definierter Datenschutzrollen und -verantwortlichkeiten. Wir entwickeln ein Datenschutzmanagementsystem, das Sie in die Lage versetzt, Ihre Organisation zu steuern.

Wobei wir Sie unterstützen können:
  • Definition der relevanten Rollen und TCRs (task – competence - responsibility) innerhalb des Kunden, um die neuen Datenschutzanforderungen zu erfüllen, z.B.: Datenschutzbeauftragter und Datenverantwortliche
  • Ausarbeitung und Überprüfung eines Datenschutz-Governance-Rahmens, einschliesslich Strategien und Verfahren
  • GAP-Analyse: Wir decken Ihre Datenschutzlücken auf und helfen Ihnen, sie zu schliessen

Cloud Journey

Bei einer geplanten Cloud-Migration stellen sich Datenschutzüberlegungen, insbesondere im Zusammenhang mit grenzüberschreitenden Datentransfers. In regulierten Branchen sind auch regulatorische Anforderungen (z.B. FINMA) und Branchenstandards relevant. Hinzu kommen Überlegungen zum Berufsgeheimnis.

Wobei wir Sie unterstützen können:
  • Cloud-Risikobewertung: Speziell für Unternehmen, die Personendaten aus der Schweiz in andere Länder (z.B. USA) transferieren
  • Bereitstellung einer gezielten Cloud Assessment Checkliste für Ihr Self-Assessment (mit oder ohne weitere Unterstützung von PwC)
  • Vendor Assessment
  • Datenschutz / Privacy-Konzept: Unterstützung bei der Gestaltung der Konfiguration zur Erreichung der Datenschutzkonformität
  • Vertragsgestaltung und -prüfung
  • Bereitstellung der Cloud Computing Vertrags-Checkliste
  • Erarbeitung und Überprüfung von Richtlinien und Verfahren (z.B. IT Acceptable Use, IT Cloud Computing Policy)

Datenschutz-Folgenabschätzungen (DPIA)

Eine signifikante Komponente internationaler Datenschutzgesetze ist die Notwendigkeit der Durchführung von DPIAs, um mitzuhelfen, die potenziellen Datenschutzrisiken neuer Prozesse, Technologien, Systeme oder Geräte für betroffene Personen zu ermitteln und zu minimieren.

Wobei wir Sie unterstützen können:
  • Bereitstellung einer Richtlinie und eines Verfahrens, die es Ihnen ermöglichen, die Datenschutzrisiken aller Aktivitäten zu beurteilen, die personenbezogene Daten verarbeiten
  • Unterstützung bei der Durchführung der DPIA (DPIA-as-a-Service)
  • Bereitstellung eines Tools zur Durchführung der DPIA

Management von Drittanbietern und Bewertung von Anbietern

Unternehmen ("controllers"), die ein anderes Unternehmen mit der Verarbeitung personenbezogener Daten beauftragen ("processors", z. B. Lieferanten), müssen vertraglich sicherstellen, dass das beauftragte Unternehmen geeignete technische und organisatorische Massnahmen zum Schutz der Daten trifft.

Auch bei gemeinsamer Kontrolle kann es eine gesetzliche Verpflichtung (oder andere triftige Gründe) geben, die jeweiligen Pflichten und Rechte in Bezug auf die personenbezogenen Daten vertraglich zu regeln.

Wobei wir Sie unterstützen können:
  • Bewertungen von Dritten
  • Ausarbeitung und Überprüfung von Verträgen mit Auftragsverarbeitern oder anderen Dritten
  • Bereitstellung von Vorlagen für Datenverarbeitungsverträge und Verträge über die gemeinsame Kontrolle
  • Bereitstellung von Checklisten zur Bewertung der Qualifikation eines Dritten als Auftragsverarbeiter
  • Implementierung von softwarebasierten Vertragsmanagementlösungen für Datenverarbeitungs- und gemeinsame Kontrollvereinbarungen

Datenschutz als Strategie

Datenschutz ist nicht nur eine regulatorische Anforderung, sondern kann auch als strategischer Ansatz verfolgt werden und so zum Geschäftserfolg eines Unternehmens beitragen:

  • Gerade im Kontext von Big Data und dem hohen Wert personenbezogener Daten zeigt unsere Erfahrung, dass sorgfältig betriebener Datenschutz ein Unternehmen in seiner Strategie voranbringt.
  • Durch die Implementierung einer robusten Datenschutzorganisation und -governance erreicht Ihr Unternehmen einen "Goldstandard" im Umgang mit personenbezogenen Daten und baut Vertrauen bei Kunden auf.

Wir unterstützen Sie gerne dabei, Datenschutz als strategisches Instrument für den Geschäftserfolg Ihres Unternehmens zu nutzen.

Cyberlaw

Das Cyberrecht ist das Regelwerk für die Sicherheit der Informationstechnologie und der Informations- und Kommunikationstechnologie (IKT).

Die von Cyberlaw angebotenen Rechtsdienstleistungen bieten einen 360°-Schutzrahmen für Unternehmen, Institutionen und Privatpersonen.

Alle Unternehmen sind branchenübergreifend anfällig für Cybersicherheitsvorfälle, die von Insidern, z. B. Mitarbeitern oder Auftragnehmern, oder von Aussenstehenden, z. B. Wettbewerbern oder Regierungen, ausgehen können.

Die Angriffe auf die Systeme der Informations- und Kommunikationstechnologie (IKT) haben seit Beginn der Pandemie deutlich zugenommen. Auch Schweizer Unternehmen sind in letzter Zeit vermehrt und branchenübergreifend betroffen. In diesem Zusammenhang gewinnen regulatorische und rechtliche Aspekte im Umgang mit IKT-Risiken zunehmend an Bedeutung. In diesem Zusammenhang ist die digitale Arbeitsplatzgestaltung von grosser Bedeutung. Erfahren Sie hier, wie wir Ihr Unternehmen dabei unterstützen können, Ihren modernen Arbeitsplatz zu schützen.

Alle Unternehmen sind branchenübergreifend anfällig für einen Cybersicherheitsvorfall, der durch folgende Faktoren entstehen kann:

  • Insider: Mitarbeiter, Partner, Auftragnehmer, aufgrund von Nachlässigkeit, Informationslecks oder menschlichem Versagen
  • Aussenstehende: Hacker, organisierte Kriminalität, Konkurrenten, Regierungen, Wirtschaftsspionage
Welche Unternehmen müssen Cyberlaw in ihre Compliance-Modelle einbeziehen?
  • Regulierte Unternehmen, wie der Finanzsektor, Gesundheit und Biowissenschaften, Versicherungen
  • Betreiber kritischer Infrastrukturen und Betreiber wesentlicher Dienste
  • Unternehmen, die Geheimhaltungspflichten unterliegen oder über immaterielle Vermögenswerte und/oder Geschäftsgeheimnisse verfügen
  • Unternehmen, die für die Datenverarbeitung für Dritte zuständig sind, z. B. Betreiber von IT-Diensten oder Plattformen

 

Womit wir Sie unterstützen können

Ihre Vorteile

Branchenweit führende Dienstleistungen, die das gesamte Spektrum des Datenschutzes abdecken

Professionelle Beratung durch interne und externe Experten und Rechtsanwälte

 

Garantierte Einhaltung der DSGVO der EU und/oder des Schweizer DSG

 

Beim Datenschutz geht es nicht nur um die Einhaltung von Gesetzen. Es geht auch darum, als Unternehmen Vertrauen gegenüber Ihren Stakeholdern, Kunden und Mitarbeitern aufzubauen.

Philipp Rosenauer, Head Regulatory Implementation Services, Legal, PwC Schweiz