Der Coronavirus hat viele Unternehmen auf den Kopf gestellt. Das Home-Office ist jetzt für die meisten die beste Option, um weiter zu arbeiten und in Sicherheit zu bleiben. Doch ein solch spontaner Übergang ist nicht unproblematisch. Und für diejenigen, die mit Kundendaten arbeiten – zum Beispiel für Treuhänder oder andere Berater – stellt die Sicherung des Datenschutzes eine grosse Herausforderung mit vielen Gefahren dar.

Die Grundüberlegung ist folgende: Der Prozess sollte so organisiert werden, dass kein Dritter den Zugang zu den Unternehmens- und Kundendaten erhält. Doch was genau sollte man tun, um den heutigen hohen Sicherheitsstandards gerecht zu werden? Wir haben für Sie einige Tipps für das Home-Office zusammengestellt – ganz im Sinne des Datenschutzes. So können Sie die wichtigsten Schnittstellen sichern.

Die Anforderungen an den Datenschutz werden immer strenger und die möglichen Folgen von Verstössen nehmen zu. In Zweifelsfällen sollten sich Unternehmen beraten lassen – von öffentlichen oder privaten Spezialisten. Im Folgenden haben wir für Sie die wichtigsten Links zum Thema zusammengestellt:

• Bundesgesetze:
  • Bundesgesetz über den Datenschutz
  • Verordnung zum Bundesgesetz über den Datenschutz
  • Verordnung über die Datenschutzzertifizierungen
• Rechtliche Folgen der Telearbeit
• Die kantonalen Regelungen und weitere Informationen finden Sie auf der Website des kantonalen Datenschutzbeauftragten. Zum Beispiel: Zürich, Bern, Baselstadt, Luzern, Baselland, Glarus, Freiburg, Schwyz, Obwalden, Nidwalden, Solothurn, Gallen, Uri, Wallis, Zug, Etc.

Weitere interessante Artikel zum Thema finden Sie hier:

• Home-Office – Wie man trotzdem eine hohe Arbeitsproduktivität erreicht?
• Mehrheit der Mitarbeiter wünscht sich Home-Office. Die grosse Umfrage.
• Datenschutzgesetze (DSG) – Tipps für Treuhänder

Was bisher geschah

Das Parlament verzögert erneut die Anpassung des Schweizer Datenschutzgesetzes (DSG). Die Beratung der Vorlage für die Totalrevision des Schweizer Bundesgesetzes über den Datenschutz sind weiterhin relevant, die Räte müssen sich jedoch einigen, da die EU im Mai 2020 prüfen wird, ob der Datenschutz in der Schweiz noch dem entspricht besitzen. Wenn die Bewertung positiv ist, wären die Aussichten für das Inkrafttreten der DSG zu Beginn des Jahres 2021 realistisch, es bestehen jedoch gewisse Meinungsverschiedenheiten zwischen dem Nationalrat und dem Ständerat. Ursprünglich, massgebend für die Verzögerung war die Entscheidung des Parlaments im September 2018, die Revision in zwei Etappen aufzuteilen.

Dadurch kann die Schweiz den Verpflichtungen aus dem Schengen-Vertragswerk zeitnah nachkommen. Gleichzeitig soll die Totalrevision des Schweizer Datenschutzgesetzes jetzt um Zeitdruck ausgearbeitet werden
In einer ersten Phase wurden deshalb die Anforderungen der EU-Richtlinie 2016/680 bearbeitet, welche die Schweiz im Rahmen ihrer Schengen-Verpflichtungen innert einer bestimmten Frist umsetzen musste, um den freien Datenaustausch zwischen der Schweiz und der EU weiterhin sicherzustellen.

In einer zweiten Phase wird die Totalrevision des DSG bearbeitet, welche auf die Anpassung des Datenschutzes an die technischen Entwicklungen der letzten 20 Jahre abzielt. Dies ist für Schweizer Unternehmen von besonderer Bedeutung, da diese Anpassungen den zukünftigen Schutz bei der Bearbeitung der Daten von natürlichen Personen definieren werden.

Bedeutung für Unternehmen

Wenn Unternehmen personenbezogene Daten von EU-Bürgern sammeln, muss sichergestellt werden, dass die Datenverarbeitung den in der DSGVO festgelegten Standards entsprechen. Die neuen Bestimmungen fordern einen strengeren Schutz personenbezogener Daten und einen besseren Zugang für Bürger, die auf personenbezogene Daten einer Organisation zugreifen möchten. Bei Nichteinhaltung drohen hohe Geldstrafen.

Um mit GDPR kompatibel zu sein, muss die Art und Weise, wie Unternehmen die Daten verarbeiten und speichern, möglicherweise geändert werden. Sie müssen Aufzeichnungen über Kundendaten führen, aus denen hervorgeht, wie sie erfasst wurden und wie die Einwilligung des Kunden erteilt wurde. Die Einwilligung muss klar und frei erteilt werden, bevor die Daten erfasst werden können, und es ist Sache des Unternehmens, zu zeigen, wie und wann sie erhalten wurden. Sie müssen ausserdem nachweisen, dass Sie einen triftigen Grund für das Halten der Daten einer Person haben und dass die Daten gelöscht werden, sobald dieser Grund abgelaufen ist.

Darüber hinaus können Kunden ihr «Recht auf Vergessenheit» geltend machen, daher sollten Unternehmen über Prozesse zur Datenlöschung verfügen. Dies gilt für personenbezogene Daten, die vor Ort oder von einem Dritten, z. B. einem Cloud-Dienstanbieter, gespeichert werden. Die Überprüfung, ob Ihre Cloud-Dienstanbieter tatsächlich eine Löschfunktion bieten, ist eine wichtige Prüfung.

Herausforderungen für die Compliance

• Einwilligung – Nutzer muss Aufzeichnung der Daten zustimmen
• Recht auf Löschung – Personen haben das Recht auf Löschung personenbezogener Daten
• Aufzeichnungen der Verarbeitungstätigkeiten – Register von personenbezogenen Daten muss geführt werden
• Rechenschaft ablegen – Aufzeichnungen von Entscheidungen und Einzelpositionen müssen gemacht werden
• Datentransfer – Es muss die Möglichkeit angeboten werden, persönliche Daten zu migrieren