Datenschutz für KMUs

Der 3 Schritte Plan

  1. Ist-Zustand aufnehmen
  2. Fundierter Audit
  3. Praktischer Status Quo Bericht mit konkreten Handlungsempfehlungen

Während des gesamten Vorgangs werden Sie von einem unserer Experten begleitet & beraten.

Unsere Schwerpunkte

  • Webseite
  • Mitarbeiter-Datenschutz
  • Anwendbarkeit DSGVO / EU-Recht
  • Kunden-Datenschutz
  • Lieferanten-Datenschutz
  • Geschäftspartner-Datenschutz
  • Übermittlung von Daten ins Ausland
  • Outsourcing von Datenbearbeitungen
  • IT-Datenschutz

Warum jedes KMU einen Datenschutz Audit braucht

Die Daten von Mitarbeitern, Webseitenbesuchern, Kunden, Lieferanten und Geschäftspartnern sind die Basis für den Unternehmenserfolg. Diese Daten sind in ständiger Gefahr, dass sie aus Versehen oder vorsätzlich gelöscht, verändert oder entwendet werden.

Dr. Paul-Lukas Good

Fragen & Antworten: Datenschutz-Audit

Warum sollte mich Datenschutz interessieren?

Wir werden in unserem täglichen Leben immer mit Datenschutz konfontiert, selbst wenn wir dies nicht merken. Wenn Sie Unternehmer sind, sind Daten die Basis sind für Ihren Unternehmenserfolg. Aber auch für Privatpersonen ist Datenschutz relevant, denn Personendaten werden ständig verarbeitet. 
Beispiele für Orte und Vorgänge, wo Daten verarbeitet werden sind
im Personaldossier
in der Kundendatenbank (Customer Relation Management System)
in der Marketingabteilung (bspw. Newsletter)
auf ihrer Webseite
Alle diese Daten, werden digital in ihrem IT-System gespeichert, verarbeitet und gelegentlich gelöscht. Diese Daten können teilweise sensible Informationen beinhalten. Als Unternehmer tut man gut daran, diese Daten seiner Kunden, Partner und Mitarbeiter zu schützen. Und es kommt immer häufiger vor, dass eine Privatperson wissen will, wie ihre sensiblen Daten aufbewahrt und verarbeitet werden.
Diese Beispiele sind keinesfalls abschliessend. Sollten Sie daran interessiert sein, noch weitere Bereiche zu erfassen, wo Daten verarbeitet werden, helfen unsere Datenschutzberater mit entsprechendem Spezialwissen gerne weiter.

Haben Sie den Überblick, welche Daten wo gespeichert sind, wer alles auf diese zugreifen kann, ob die IT Systeme sicher sind und ob Daten tatsächlich gelöscht werden?

Wenn Sie nur eine Sekunde zögern bei der Antwort auf diese Fragen, dann ist Ihr Unternehmen reif für einen Audit oder mindestens für einen Check unserer Datenschutzberater mit entsprechendem Expertenwissen.
Denn es gibt handfeste Risiken für Unternehmen, wenn sie sich nicht an die Datenschutzgesetzgebung halten. Die wichtigsten Risiken sind: Bussen, Haftung, Strafverfahren und Schadenersatzklagen. 
Gerade Bussen können einen erhebliches Risiko für das Gedeihen des Unternehmes darstellen. Insbesondere, weil Daten häufig einen internationalen Bezug haben, weshalb das EU-Recht zu beachten ist. Das EU-Recht (Datenschutz-Grundverordnung, DSGVO) kennt Bussen bis EUR 20 Mio., für den Fall, dass Daten falsch verarbeitet oder ungenügend gesichert werden. Beispiele finden sich hier: https://www.enforcementtracker.com/ 
Das Seco sagt zum Thema der europäischen Datenschutzregeln folgendes: «Der Anwendungsbereich der neuen EU-Datenschutzverordnung (DSGVO), die am 25. Mai 2018 in Kraft getreten ist, ist so gross, dass viele Schweizer Unternehmen davon betroffen sein könnten.» 
Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung z.B. dazu dient diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich). Dies bedeutet, dass wenn Sie eine Interentseite haben und Personen aus dem Ausland Ihre Dienstleistungen oder Produkte beziehen können, fallen Sie grundsätzlich unter die Verordnung.
Schweizer Unternehmen, die von der neuen EU-Verordnung betroffen sind, müssen seit dem 25. Mai 2018 folgende Pflichten erfüllen:
informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden;
„Privacy by design“ und „Privacy by default“ garantieren;
einen Vertreter in der EU benennen;
ein Verzeichnis der Verarbeitungstätigkeiten erstellen;
Verletzungen des Datenschutzes an die Aufsichtsbehörde melden;
eine Datenschutz-Folgenabschätzung durchführen
Aber auch das Schweizer Recht rüstet auf. Nach dem DSG werden Personen (d.h. Mitarbeiter, Geschäftsführer,. etc.), die Datenschutzregeln verletzen, mit Bussen bis CHF 250‘000 bestraft. Inklusive ist ein Strafvefahren.

Gibt es das rundum sorglos Paket für Datenschutz-Compliance?

Das eine rundum sorglos Paket, das für alle Unternehmen gilt, gibt es natürlich nicht. Unsere Datenschutzberater und Datenschutzbeauftragten im Raum Zürich sind jedoch spezialisiert und deshalb im Stande, die Bedürfnisse eines Unternehmens rasch zu erkennen und eine individualisierte Lösung zu finden. 
Für eine möglichst vollständige und sichere Lösung raten wir Unternehmen, die einen soliden Standard aufrechterhalten oder entwickeln wollen, dazu, folgende Produkte zu kombinieren:
Datenschutz
– Datenschutz-Audit
– Datenschutz-Compliance
– Consent Management Plattform
– EU Vertreter (wenn EU-Recht anwendbar ist)
Datensicherheit
– Netzwerk Security Check
– Cloud Backup
Durch die individualisierten Lösungen unserer Datenschutzbeauftragten und Datenschutzberater können Sie sicherstellen, dass Sie gesetzeskonform handeln und deshalb nicht befürchten müssen, dass sie mit Arbeitnehmern oder Behörden Probleme erhalten.

Was kostet ein Datenschutz Audit?

Ein Datenschutz Audit kostet bei Good Law zwischen CHF 990 und 1‘990. Den Unterschied macht aus wie digital der Audit ablaufen soll. 
Dieser Preis ist nicht nur angemessen, sondern im wahrsten Sinne des Wortes preiswert.
Um dieselbe Dienstleistung, die Good Law Ihnen bei einem Datenschutz-Audit liefert, bei einem Anwalt zu bekommen, müssen Sie ungefähr zwei- bis dreimal mehr Budget einplanen. 
Die Dienstleistung von Good Law hat folglich ein grossartiges Kosten-Nutzen-Verhältnis. Zudem profitieren Sie durch das Fachwissen unserer Datenschutzberater, Datenschutzbeauftragten und Anwälte. Die Produkte von Good Law sind dabei auf die Zukunft ausgerichtet und geben Ihnen die Möglichkeit, auch in der Zukunft gsetzeskonform zu handeln. 
Zudem garantieren unsere standardisierten Abläufe Ihnen, dass beim Audit nichts übersehen wird. So vermeiden Sie hohe Strafen, die Ihnen bei Nichteinhaltung der Datenschutzgesetzgebung drohen.

Ab wann muss ich das Datenschutzgesetz einhalten?

Das neue Schweizer Datenschutzgesetz wird am [Datum] in Kraft treten. 
Wir raten allen Unternehmen, das Thema Datenschutz und Datensicherheit deshalb so rasch wie möglich an die Hand zu nehmen. Wenn Sie damit erst ein-zwei Monate vor dem Inkrafttreten anfangen wird niemand Zeit für Sie haben und es wird viel teurer, als wenn Sie frühzeitig vorsorgen.
Und auch heute schon gilt ein Datenschutzgesetz n der Schweiz, an das man sich halten muss. Darin geregelt ist u.a. wie man Daten erheben darf, wann man sie löschen muss, wie man mit Outsourcing-Dienstleistern umgeht und ob man Daten ins Ausland verschicken darf. 
In diesem Zusammenhang ist hervorzuheben, dass die Schweiz stets bemüht ist und teilweise sogar verpflichtet, Bestimmunngen des EU-Rechts zu übernehmen und zu beachten. Das neue EU-Richt gilt schon seit 2018. Sie können also bereits einen Schritt voraus sein, indem Sie sofort handeln.

Wann verarbeite ich Personendaten?

Jedes Unternehmen verarbeitet Personendaten. Denn jedes Unternehmen hat mindestens einen Mitarbeiter und Kunden. Der Begriff Personendaten ist sodann sehr weit zu verstehen: Dazu gehören neben dem Namen, der Adresse, dem Geburtsdatum einer Person auch ihre Schuh- und Kleidergrösse. Oder die AHV-Nummer, die Krankenversicherungs-Nummer oder die Steuer-Nummer. Und bspw. auch die IP-Adresse, mit der sie im Internet surft. Ja bereits eine Aufbewahrung des Personenstammblatts geht unter den Begriff der Verarbeitung von Personendaten. Das heisst: jedes Unternehmen sammelt eine Menge Personendaten und ist deshalb vom Datenschutzrecht betroffen.  

Ist das Thema Datenschutz ein Papier-Tiger?

Das Thema Datenschutz ist kein Papier-Tiger, sondern das Herzstück eines Unternehmens. 
Denn als Unternehmen will ich Risiken vermeiden. Ich will keine Datenschutz-Busse bis EUR 20 Mio. oder CHF 250‘000 riskieren. Ganz zu schweigen vom Reputationsverlust, wenn plötzlich Kundendaten verloren gehen.
Das heisst: Datenschutz ist nicht lästig, sondern Teil einer professionellen Strategie zum Thema Digitalisierung. Datenschutz hilft dabei, dass die Mitarbeiter weniger Fehler machen. Folglich ist Datenschutz zwingend notwendig, wenn man nicht Opfer werden will von Hackern, Verschlüsselungstrojanern und Ransomware.
Wer den Überblick behalten will, braucht rechtliche Unterstützung durch unsere Datenschutzberater, Datenschutzbeauftragten und Rechtsanwälte.
Und das Thema auch in der Zukunft immer relevanter. Es werden immer mehr Geschäfte über das Internet abgewickelt und deshalb werden auch immer mehr Daten verarbeitet. Die Rechtslage hinkt dabei hinterher und es gibt noch lange nicht genügend Regeln im Vergleich zur Relevanz von Datenschutz. Das heisst in der Zukunft werden noch viele weiteren Regeln kommen, weshalb es von Bedeutung ist, sich bereits jetzt mit dem Thema Datenschutz auseinanderzusetzen.

Was ist ein Datenschutz Audit?

In einem Datenschutz Audit wird untersucht, ob ein Unternehmen konform mit der europäischen bzw. schweizerischen Datenschutzgesetzgebung ist. Auf Basis von Interviews wird der Sachverhalt erarbeitet. Danach wird ein sogenannter GAP Bericht erstellt, mit dem der Handlungsbedarf detailliert aufgelistet wird. 
Der GAP Bericht ist dann die Basis, um in einer Compliance Beratung die Massnahmen zu ergreifen, um Ihr Unternehmen sicher und compliant zu machen.

Für welche Unternehmen sind Datenschutz-Audits notwendig?

Die Themen Datenschutz und Datensicherheit gehen alle Unternehmen etwas an. Denn das schweizerische und europäische Datenschutzrecht gilt für alle Unternehmensgrössen. Zudem greifen Hacker heutzutage flächendeckend Unternehmen an. Auch kleine KMU werden so Opfer von Verschlüsselungstrojanern und zahlen dann zehntausende Franken Lösegeld. Folglich muss jedes Unternehmen, das noch nicht compliant ist mit den aktuellsten Datenschutzgesetzen und nicht professionell geschützt ist gegen Hacker einen Datenschutz Audit durchführen.

Wie lassen sich die Datenschutz-Audit-Ergebnisse in der Praxis umsetzen?

Bei der Umsetzung der Ergebnisse eines Datenschutz Audits kann man zwei Wege gehen. Den do it yourself Weg. Hierfür eignet sich bspw. unsere do it yourself Plattform www.prive.law Oder man geht den Weg mit Beratern und bucht ein Compliance-Projekt. Unsere Datenschutzberater, Datenschutzbeauftragten und Anwälte helfen gerne mit Compliance Beratung.

Wie prüfen Datenschutz-Aufsichtsbehörden Unternehmen?

Aufsichtsbehörden werden tätig, wenn sie selber Unregelmässigkeiten feststellen oder auf solche von Dritten (Kunden, Mitarbeitern, Konkurrenten) aufmerksam gemacht werden. Zuerst wenden sie sich meist mit einem Fragebogen an die Unternehmen. Es stehen ihnen aber auch Zwangsmittel zur Verfügung, um den Sachverhalt zu untersuchen.

Fenster schliessen
Jetzt anrufen