Mitgliederbereich Datenschutz und Cybersecurity
Checklisten, Leitfäden, Merkblätter, Vertragsvorlagen im Bereich Datenschutz und Cybersecurity finden Sie hier auf dieser Seite.
Leitfäden und Vorlagen revidiertes Datenschutzgesetz (per 1.9.2023)
Hinweis: die aktualisierte Auftragsbestätigung (mit Verweis auf Datenschutzerklärung) finden Sie bei den Vorlagen des Instituts Treuhand und Recht.
Leitfäden und Checklisten Cybersecurity
Leidfäden Cyberkrisen-Kommunikation
FAQ neues Datenschutzgesetz (per 1. September 2023)
Darf ein Treuhänder seinem Kunden besonders schützenswerte Personendaten unverschlüsselt per E-Mail schicken, wenn der Kunde dieser Versandart ausdrücklich zustimmt?
Auch bei einer Zustimmung des Kunden des Treuhänders bleibt er trotzdem dafür verantwortlich, dass die Daten mit Hilfe von technischen und organisatorischen Massnahmen angemessen geschützt werden. Betroffen wären primär Personendaten, die der Kunde bearbeitet (z.B. Mitarbeiterdaten) und diese müssen entsprechend geschützt werden. Nicht alle Personendaten sind «besonders schützenswerte Personendaten». Es sind nur solche über die religiöse, weltanschauliche, politische oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassen- und Ethniezugehörigkeit, genetische und biometrische Daten, Massnahmen der sozialen Hilfe sowie administrative oder strafrechtliche Verfolgungen und Sanktionen.
Ist der unverschlüsselte E-Mail-Versand von Lohnabrechnungen an die Mitarbeitenden erlaubt?
Bei Lohnabrechnungen handelt es sich in der Regel um keine besonders schützenswerte Personendaten. Es gibt Fälle, bei denen besonders schützenswerte Personendaten auf der Lohnabrechnung ersichtlich sein könnten, beispielsweise bei Gewerkschaftstätigkeit. Da die Daten aber sensitiv sind, empfehlen wir, dass unverschlüsselte E-Mails mit Lohnabrechnungen nur innerhalb der Organisation versandt werden sollten, oder dass die Lohnabrechnungen alternativ via Plattform (die selbstredend auch datenschutzrechtskonform sein muss) zur Verfügung gestellt werden könnten.
Speichert der Treuhänder die Daten in einer Cloud (Standort Schweiz) und schickt dem Kunden einen Link zur Abholung der Daten per E-Mail, ist dies unproblematisch?
Sofern die Daten des Cloud Anbieters angemessen geschützt sind und auch das Abrufen der Daten mit einem genügenden Schutzmechanismus versehen ist (Passwort, 2-Stufen Authentifizierung oder ähnliches), genügt diese Vorgehensweise aktuell den datenschutzrechtlichen Anforderungen.
Ist die Nutzung von Microsoft Teams datenschutzrechtlich heikel?
Ja, die Nutzung von Microsoft Teams (und der gesamten Office 365 Suite) kann datenschutzrechtliche Risiken beinhalten, insbesondere wenn die Personendaten auf Servern in Ländern gespeichert werden, die kein angemessenes Datenschutzniveau aufweisen (z.B. USA). Daten dürfen nur ins Ausland bekanntgegeben werden, wenn dieses einen angemessenen Schutz gewährleistet oder wenn der Datenschutz anderweitig gewährleistete wird (z.B. entsprechende Vertragsklauseln und ausdrückliche Einwilligung der betroffenen Person).
Ist die Nutzung von Dropbox, iCloud, OneDrive, Google Drive, Google Docs usw. datenschutzrechtlich heikel?
Ja, die Nutzung der bekannten Cloud-Speicher kann datenschutzrechtliche Risiken beinhalten, insbesondere wenn Personendaten gespeichert werden. Bei den erwähnten Anbietern handelt es sich um US-Anbieter mit Servern in den USA. Siehe dazu auch die Antwort zur Frage betreffend Nutzung von Microsoft Teams.
Wenn jemand alle Daten herausverlangt und verlangt, dass wir diese Löschen - können wir dies machen sofern der Kunde uns von der Aufbewahrungspflicht befreit?
Unternehmen sind in der Regel sowohl an die Pflicht zur Löschung personenbezogener Daten auf Verlangen des Kunden, als auch an die Aufbewahrungspflicht gebunden. Verlangt ein Kunde die Löschung seiner personenbezogenen Daten, sind ihm diese auszuhändigen (z.B. Steuerunterlagen oder Lohndaten) und zu löschen. Im Sinne der Beweisbarkeit wird empfohlen, die Übergabe der Daten und die Anordnung der Löschung schriftlich bestätigen zu lassen. Der Kunde trägt nun die Verantwortung, die Daten gesetzeskonform aufzubewahren. Verträge oder Geschäftskorrespondenz mit dem Kunden müssen hingegen nicht gelöscht werden, auch wenn sie personenbezogene Daten enthalten (Aufbewahrungspflicht).
Was müssen Treuhänder mit Blick auf das Datenschutzgesetz beachten, wenn Sie direkt auf Programme von Kunden (z.B. Bexio oder Sage) zugreifen.
Der Treuhänder ist in diesem Fall Auftragsbearbeiter und darf die Daten nur so bearbeiten, wie es der Kunde selbst tun darf und muss. Er muss insbesondere sicherstellen, dass die Daten des Kunden sicher sind und geschützt vor unberechtigtem Zugriff.
Steuererklärungsquittungen bei Datenübermittlung vom kantonalen Steueramt kommen als PDF. Können diese problemlos per E-Mail an den Kunden weitergeleitet werden?
Das hängt davon ab, welche Angaben bzw. Daten sich in diesem Dokument befinden. Falls es sich um besonders schützenswerte Personendaten handelt, sollten diese nicht unverschlüsselt übermittelt werden. Im Zweifelsfalle empfehlen wir, das PDF verschlüsselt zu verschicken.
Unser IT-Partner ist nach ISO 27001 für Cloud und IT Services zertifiziert. Gilt das als ausreichend oder würden Sie trotzdem eine externe Prüfung auf Schwachstellen empfehlen?
Eine Zertifizierung nach ISO 27001 ist ein gutes Indiz dafür, dass ein IT-Anbieter über eine systematische und umfassende Informationssicherheitsmanagement-System (ISMS) verfügt, das regelmässig überprüft und verbessert wird. Eine solche Zertifizierung zeigt, dass das Unternehmen bestimmte Prozesse und Verfahren in Bezug auf die Informationssicherheit einhält. Trotzdem ist es wichtig zu beachten, dass eine Zertifizierung nicht bedeutet, dass ein IT-Anbieter frei von Schwachstellen ist. Cyberkriminalität und die Bedrohungen für die Informationssicherheit entwickeln sich ständig weiter. Eine externe Prüfung wird auch hier empfohlen, zumal diese auch andere Bereiche, wie z.B. die Passwortregeln, prüft oder den Umgang mit Online Portalen und E-Mails.