Bei uns erfahren Sie, was GDPR für Ihr Unternehmen bedeutet, wie Sie sich rechtzeitig darauf vorbereiten und weshalb Sie keine Angst davor haben müssen. Wir unterstützen Sie auf dem Weg zu konformer Datenhaltung und -verarbeitung.
Selten hat ein neues Gesetz so grosse Wellen geschlagen: Die neue EU Datenschutz-Grundverordnung (DSGVO, Engl.: General Data Protection Regulation, GDPR) betrifft nicht nur die EU-Staaten und die EWG-Mitgliedstaaten Norwegen, Island und Liechtenstein. Auch wir in der Schweiz sind direkt betroffen.
Das Gesetz ist seit Mai 2016 in Kraft, mit dem Ziel, den Datenschutz in der EU zu harmonisieren. Die GDPR schützt die personenbezogenen Daten von EU-Bürgern und allen Nicht-EU-Bürgern, die in der EU wohnen.
Personenbezogene Daten sind Angaben, welche eine Person direkt oder indirekt identifizierbar machen, wie z.B. Name, Mitarbeiter-/AHV-/Patientennummer, Standortdaten, IP-Adressen, Socialmedia-Beiträge oder die Nennung mehrerer besonderer Merkmale (physisch, physiologisch, genetisch, psychisch, wirtschaftlich, kulturell, sozial). Die Rechte für Einzelpersonen werden durch diese neue Verordnung gestärkt.
Die Frist zur Umsetzung lief am 25. Mai 2018 aus und ab diesem Zeitpunkt müssen die Firmen die Regelkonformität sicherstellen. Bei Verstössen werden hohe Geldstrafen fällig. Sanktionen können bis zu 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes betragen.
Neben den Grundsätzen für die Verarbeitung von Personendaten inklusive Datenminimierung regelt die Verordnung folgende Bereiche:
Datenschutzverletzungen
Verletzungen des Datenschutzes sind durch den Verantwortlichen binnen 72 Stunden zu melden.
Recht auf Datenauskunft
Einzelpersonen haben das Recht auf Auskunft, welche Personendaten von Ihnen verarbeitet werden sowie zu welchem Zweck diese verarbeitet werden.
Recht auf Datenlöschung
Das Recht auf Vergessen, berechtigt betroffene Personen, u.U. das Löschen Ihrer Personendaten einzufordern oder deren Verarbeitung einzuschränken.
Recht auf Datenübertragbarkeit
Zusätzliche Rechte der betroffenen Personen hinsichtlich der Übermittlung und Verarbeitung ihrer Daten an Dritte.
Datenschutz / Privacy-by-Design
Berücksichtigung des Datenschutzes bereits bei der Konzeption von technischen und organisatorischen Massnahmen zur Datensicherheit.
Verzeichnis von Verarbeitungstätigkeiten
Verantwortliche wie auch Auftragsverarbeiter haben über ihre Verarbeitungstätigkeiten Verzeichnisse zu führen.
Ja! Aufgrund des räumlichen Anwendungsbereichs fallen auch Unternehmen unter das Gesetz, welche Personendaten von in der EU ansässigen Personen bearbeiten. Also konkret, wenn Sie:
Wichtig: Das Schweizer Datenschutzgesetz lehnt sich ausdrücklich an die Reformen auf europäischer Ebene an, sodass der momentane Entwurf der EU GDPR sehr ähnlich ist. Auch in der Schweiz gibt es stark verschärfte Bussen.
Wir erleben, dass viele Kunden bei diesem Thema überfordert und gelähmt sind. Vieles ist schwammig und es ist nicht klar, was wirklich zu tun ist.
Grundsätzlich gilt, dass die Beweislast für Verantwortliche, also für Sie als Unternehmen, in Kraft tritt. Als Unternehmen müssen Sie zu jedem Zeitpunkt die Einhaltung der GDPR nachweisen können. Sie fallen unter eine strenge Dokumentation- und Nachweispflicht und müssen auch personenbezogene Daten mithilfe von geeigneten Sicherheitsmassnahmen schützen. Unternehmen haben beispielsweise die Pflicht, Daten von Bewerbern, ehemaligen Mitarbeitern und Kunden zu löschen, sofern der Verarbeitungszweck entfällt oder keine andere Rechtsgrundlage mehr gegeben ist, wie zum Beispiel gesetzliche Aufbewahrungspflichten. Dazu müssen sie als Unternehmen wissen, wo und in welcher Form personenbezogene Daten von Mitarbeitern gespeichert sind. Diese kann folgende Systeme betreffen: ERP/HR-System, CRM-Software, Excellisten, systematisch strukturierte Papierdossiers und andere.
Es gilt, das Thema nicht zu ignorieren. Denn keine Massnahmen zu treffen ist in jedem Fall schlimmer, als sich einfach auf den Weg zu machen. Gerne begleiten wir Sie auf dem Weg und zeigen Ihnen, was sie als Unternehmen tun können: Der Weg ist das Ziel.
Unsere Softwarepartner legen grossen Wert auf GDPR-Konformität. Daher haben Sie viele hilfreiche Features entwickelt, welche die Einhaltung des Datenschutzes erleichtern. Aber mit einem richtig konfigurierten System ist die Arbeit noch lange nicht getan. Es braucht einen ganzheitlichen Ansatz und eine umfangreiche Herangehensweise. Denn nicht nur Systeme, sondern auch Ihre Organisation und Ihre Prozesse sind betroffen.
Dank unserer langjähriger HR-Erfahrung sowie enger Zusammenarbeit mit Softwarepartner und Rechtsanwälten, können wir Sie in der Analyse und Umsetzung kompetent begleiten:
Wir unterstützen Sie in der Analyse Ihrer personenbezogenen Daten, Systeme und Prozesse. Wir identifizieren Schwachstellen und entwickeln gemeinsam einen Massnahmeplan.
Beispiel:
Erkennung eines ungerechtfertigten Zugriffs auf veraltete Verwarnungen des Mitarbeiters durch den Vorgesetzten.
Wir unterstützen Sie bei der eigentlichen Umsetzung der Massnahmen und führen Werkzeuge zur datenschutzkonformen Arbeit ein.
Beispiel:
Einrichten von Aufbewahrungsfristen, Anonymisierung von Testdaten, automatisiertes Löschen von nicht mehr benötigten Daten, zeitraumabhängige Einschränkung der Zugriffsrechte etc.
Wir unterstützen Sie in der Erarbeitung und Etablierung eines Monitoringprozesses und Sicherstellung, dass die definierten Massnahmen greifen.
Beispiel:
Schnelle, koordinierte Reaktion bei Sicherheitsvorfall, effiziente Herausgabe der Mitarbeiterdaten.
Gerne unterstützen wir Sie auf der Ebene der HR-Abteilung oder nehmen gemeinsam mit der Firma Advellence gleich Ihr gesammtes Unternehmen unter die Lupe.
Nur für das HR
Durchgeführt von HR Campus
Für das ganze Unternehmen
Durchgeführt mit Advellence
Melden Sie sich. Gerne begleiten wir Sie auf diesem Weg.
HR Consulting
michele.inderbitzin@hr-campus.ch
+41 44 215 15 15
+41 79 608 15 01
