Vorsicht im Umgang mit Mitarbeiterdaten

• Compliance/Data Protection/ESG
• IP-IT
• SME

Mit der Totalrevision des Datenschutzgesetzes drohen heftige Bussen und Strafen. 

Sie sind für die Erhebung und Verwaltung von Mitarbeiterdaten verantwortlich. Dann werden Sie sich mit den künftigen Bestimmungen zum neuen Datenschutzgesetz befassen und sich auf neue Vorgaben einrichten müssen.

Das sich abzeichnende neue Datenschutzgesetz sieht ein erweitertes Pflichtenheft für den “Verantwortlichen” vor; dieser hat nicht nur ein ausreichendes Datenschutzmanagement- und Sicherheitssystem zu verantworten, sondern muss vor einer Datenbearbeitung ‑ je nach Risikolage – auch eine Datenschutzfolge-Abschätzung (Privacy Impact Assessment) durchführen und diese dem Eidgenössischen Datenschutzbeauftragten (EDÖB) vorab unterbreiten. Besondere Vorsicht ist geboten, wenn Daten ins Ausland exportiert werden: Besteht im Ausland kein ausreichendes Datenschutzniveau, drängt sich eine Datenschutzfolge-Abschätzung und Konsultation des EDÖB auf. Es muss auch geprüft werden, ob Cloud-Lösungen den hohen Anforderungen des Datenschutzrechts standhalten – erst recht, wenn die Server-Standorte physisch im Ausland liegen.

Neu ist auch die aktive Informationspflicht. Der Verantwortliche muss die betroffene Person über die Beschaffung von Personendaten informieren. Werden Mitarbeiterdaten ausgewertet, stellt die Auswertung ein Profiling dar. Diese bedarf einer ausdrücklichen Einwilligung des Betroffenen.

Der Pflichtenkatalog ist gross. Es drohen empfindliche Bussen von bis zu CHF 500’000.

Prüfen Sie Ihr Datenschutzmanagementsystem auf Herz und Nieren mit Blick auf die neuen Anforderungen.