Der Datenkatalog: Ausgangspunkt für die Umsetzung des revidierten Datenschutzgesetzes

Die beiden zentralen Elemente des Datenschutzgesetzes sind der Schutz personenbezogener Daten und das Informieren betroffener Personen. In beiden Bereichen wurden die Anforderungen verschärft. Die umzusetzenden Massnahmen sind davon abhängig, welche Daten erfasst und bearbeitet werden, mit welchen IT-Systemen dies geschieht und wo die Daten gespeichert werden. Jedes Unternehmen sollte eine Bestandsaufnahme seiner bearbeiteten Daten machen und diesen Datenkatalog im sogenannten «Bearbeitungsverzeichnis» festhalten.

Welche Daten speichern Sie?

Meistens speichern Unternehmen mehr personenbezogene Daten, als ihnen bewusst ist. Diese Daten umfassen Informationen wie Kundendaten, Datensätze in der Finanzbuchhaltung und Steuererklärungssoftware, Dokumentenmanagement, Bewerberdaten, Lohnabrechnungen und Lohnausweise der Mitarbeitenden oder Kunden, E-Mail-Adressen im Newslettertool, Einträge im Kontaktformular der Unternehmenswebsite, Daten von Besuchern der Unternehmenswebsite, Kontaktdaten von Lieferanten usw.

Erst ab 250 Mitarbeitenden?

Der Gesetzgeber hat zwar festgelegt, dass Unternehmen mit weniger als 250 Mitarbeitenden nicht zwingend ein Bearbeitungsverzeichnis erstellen müssen. Dennoch ist die Zusammenstellung der bearbeiteten Daten unabdingbar für die korrekte Umsetzung des Datenschutzgesetzes im Unternehmen. Ein Bearbeitungsverzeichnis kann mithilfe von Lösungen spezialisierter Anbieter erstellt werden. In KMU reicht in der Regel schon ein Word- oder Excel-Dokument aus. Entsprechende Vorlagen finden Sie meist bei Ihrem Branchenverband.

Der erste Schritt – Erstellen eines Datenkatalogs

Das Bearbeitungsverzeichnis ist eine Liste oder eine Übersicht, die angibt, welche personenbezogenen Daten von einem Unternehmen erhoben, verarbeitet und genutzt werden, zu welchem Zweck und auf welche Art und Weise. Deshalb sollten Unternehmen in einem ersten Schritt diese Informationen in einem sogenannten Datenkatalog zusammenstellen.

Datenkatalog als Ausgangspunkt

Mithilfe des Datenkatalogs kann bewertet werden, welche Daten besonders sensibel sind und welche technischen und organisatorischen Massnahmen (TOM) ergriffen werden müssen, um eine sichere Verarbeitung und den Schutz dieser Daten zu gewährleisten.

Fragen Sie Ihren IT-Partner, wo Ihre Daten gespeichert sind und ob Ihre aktuellen IT-Sicherheitsmassnahmen ausreichendend sind bzw. angemessenen Schutz bieten. Insbesondere die Frage des Speicherorts Ihrer Daten ist wichtig für die Beurteilung von datenschutzrechtlichen Risiken. Daten dürfen nur ins Ausland bekanntgegeben werden, wenn dieses einen angemessenen Schutz gewährleistet, oder wenn der Datenschutz anderweitig gewährleistet wird, beispielsweise durch entsprechende Vertragsklauseln und ausdrückliche Einwilligung der betroffenen Person. Heikel ist das Speichern von Personendaten auf Servern in Ländern, die kein angemessenes Datenschutzniveau aufweisen, z.B. in den USA.

Im Datenkatalog können Sie vermerken, welche personenbezogenen Daten Sie nicht alleine bearbeiten, sondern allenfalls ein externer Partner. In diesem Fall gilt es zu prüfen, ob die Lieferantenverträge die Verantwortungen und Pflichten des externen Partners in Bezug auf den Datenschutz festlegen. Wenn nicht, müssten die Verträge entsprechend angepasst werden, um datenschutzkonform zu sein.

Der Datenkatalog ist auch die Grundlage für die Erfüllung der Informationspflicht. Wenn Sie als Unternehmen Personendaten beschaffen, müssen Sie informieren, zu welchem Zweck Sie die Personendaten bearbeiten, wem Sie diese bekanntgeben und ob Daten ins Ausland gehen. Diese Informationspflicht können Sie mit einer oder mehreren Datenschutzerklärungen erfüllen. Diese Datenschutzerklärung muss nicht nur eine Übersicht der Daten geben, die auf der eigenen Website gesammelt werden, sondern sie muss über alle personenbezogenen Daten informieren. Der Datenkatalog unterstützt Sie dabei, alle relevanten Daten in der Datenschutzerklärung (oder allenfalls aufgeteilt in mehreren) aufzuführen.

Speichern Sie noch oder schützen Sie schon?

Um den verschärften Anforderungen des revidierten Datenschutzgesetzes nachzukommen müssen sich Unternehmen systematisch mit ihren Datensammlungen auseinandersetzen. Dabei unterstützt ein Datenkatalog oder ein Bearbeitungsverzeichnis. Er / es dient nicht nur dazu, die entsprechenden Massnahmen daraus abzuleiten, sondern kann im Sinne einer Dokumentation auch helfen aufzuzeigen, welche Massnahmen umgesetzt wurden.
 

Möchten Sie keinen Blogartikel verpassen? Abonnieren Sie hier unseren Blog.