1. Erfassung der Datenbestände und Erstellung eines Verzeichnisses
Nach Art. 12 DSG müssen alle Unternehmen sämtliche Bearbeitungstätigkeiten personenbezogener Daten dokumentieren:
- Erhebung: Welche personenbezogenen Daten werden erfasst?
- Speicherung: In welchen Systemen und Formaten werden die Daten abgelegt?
- Verarbeitung: Welche internen und externen Stellen greifen auf die Daten zu?
- Weitergabe: An welche Dritte oder an Drittländer werden die Daten übermittelt?
Erstellung eines Verzeichnisses (Art. 12 DSG) mit Zweck, Kategorien von Daten, betroffenen Personen, Empfängern, Speicherdauer und TOMs.
2. Prüfung der Rechtfertigungsgrundlagen
- Einwilligung: freiwillig, informiert, nachweisbar (Opt-in)
- Gesetzliche Grundlage: z. B. Buchhaltungspflichten
- Überwiegendes privates/öffentliches Interesse
- Besonders schützenswerte Daten (Art. 8 DSG) nur mit ausdrücklicher Einwilligung
- Profiling mit erheblichem Risiko nur nach Opt-in
3. Transparenz- und Informationspflichten
Unternehmen sind verpflichtet, gemäss Art. 19 DSG transparent zu informieren:
- Datenschutzerklärung klar und verständlich
- Angaben zu Zwecken, Empfängern, Rechten der Betroffenen
- Mehrsprachigkeit (DE, FR, IT, ggf. EN)
- Regelmässige Aktualisierung
4. Einwilligungsmanagement und Cookie-Banner
- Consent-Management-System mit gleichwertigen Optionen
- Granulare Auswahlmöglichkeiten
- Widerruf jederzeit möglich
- Keine Dark Patterns
- Protokollierung aller Einwilligungen
5. Datensicherheit
Gemäss Art. 8 DSG sind angemessene TOMs Pflicht:
- Technisch: Verschlüsselung, Zugriffskontrolle, MFA, Monitoring
- Organisatorisch: Schulungen, Richtlinien, Sicherheitskonzepte
6. Prozesse für Betroffenenrechte
- Anlaufstelle für Datenschutzanfragen
- Antworten auf Auskunftsersuchen innerhalb von 30 Tagen
- Berichtigungs- und Löschprozesse
- Datenportabilität in gängigen Formaten
- Identitätsprüfung
7. Umgang mit Datenschutzverletzungen
- Incident-Response-Plan
- Meldepflichten an EDÖB und Betroffene bei hohem Risiko
- Systematische Dokumentation aller Vorfälle
8. Verträge mit Auftragsbearbeitern
- Auftragsbearbeitungsverträge mit Zweckbindung und TOMs
- Datenübermittlung nur bei angemessenem Schutzniveau
- EU-Standardvertragsklauseln oder Swiss-U.S. Framework
- Dokumentation der Datenstandorte bei Cloud-Diensten
9. Datenschutz-Folgenabschätzung (DSFA)
- Pflicht bei hohem Risiko (Profiling, sensible Daten, neue Technologien)
- Ablauf: Risikoanalyse → Bewertung → Dokumentation → ggf. EDÖB-Konsultation
10. Governance und Verantwortlichkeiten
- Verantwortlicher im Management benennen
- Optional Datenschutzberater
- Jährliche Audits
- Regelmässige Mitarbeiterschulungen
Fazit
Die Umsetzung des Schweizer DSG ist Pflicht, bietet aber auch Chancen: Vertrauen, Datensicherheit und Wettbewerbsvorteile. Ein strukturiertes Datenschutzmanagement schützt vor Sanktionen (bis 250’000 CHF, Art. 34 DSG) und stärkt die Marktposition.