Hero
Hero

Als Schweizer Unternehmen den
EU-Datenschutz umsetzen

  • Stellung des EU-Vertreters und/ oder Datenschutzbeauftragten nach DSGVO
  • Ansprechpartner für Betroffene in der EU
  • Offizieller Ansprechpartner bei Behördenanfragen
Kostenfreies Angebot sichern
Zahlreiche zufriedene Kunden

Machen Sie Ihr Unternehmen fit für die DSGVO

Ziel der seit dem 25. Mai 2018 gültigen europäischen Datenschutz-Grundverordnung (DSGVO) ist es, den Datenschutz in der EU zu vereinheitlichen. Auch Schweizer Unternehmen sind von ihren komplexen Anforderungen betroffen, sobald Daten von EU-Bürgern verarbeitet werden.

Verantwortliche und Auftragsverarbeiter ohne europäische Niederlassung werden mit verschiedenen Pflichten belegt, wenn die folgenden Voraussetzungen gegeben sind:
...Sie bieten Personen im europäischen Inland Waren oder Dienstleistungen an oder
...Sie beobachten das Verhalten dieser Personen (zum Beispiel anhand von Tracking Tools, vgl. Art. 3 Abs. 2 DSGVO).

Vor diesem Hintergrund ist in Art. 27 der DSGVO das sogenannte EU-Vertreter-Modell normiert. Dienstleister und Unternehmen aus dem EU-Ausland haben demnach die Aufgabe, einen in der EU niedergelassenen Vertreter zu ernennen.

DSGVO und Schweizer Datenschutzgesetz (DSG)


Am 1. März 2019 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) über das Inkrafttreten des Schengen-Datenschutzgesetzes (SDSG) informiert. Nachdem das Schweizer Parlament die Aufspaltung der Revision des Datenschutzgesetzes in zwei Teile beschlossen hat, wurden nun die notwendigen Anpassungen an das europäische Recht, insbesondere die Umsetzung der RL (EU) 2016/680, vorgenommen.

Es ist vorgesehen das SDSG aufzuheben, sobald das neue Schweizer Datenschutzgesetz (DSG) in Kraft treten wird. Der Abschluss der Revision des DSG ist voraussichtlich für das Jahr 2020 geplant. Die Revision soll das Schweizer DSG kompatibel zur DSGVO machen, damit ein einheitliches Datenschutzniveau gewährleistet wird.

Wenn Schweizer Unternehmen nicht bereits von der DSGVO betroffen sind, müssen sie mit dem neuen DSG praktisch die gleichen Anforderungen erfüllen!

Welcher der folgenden Fälle trifft besser auf Ihr Unternehmen zu?

lock icon
00
/ Monat

ca. 45 CHF

EU-Vertreter
Starter-Paket: Leistungen

  • Stellung des
    EU-Vertreters nach DSGVO


    Offizieller Ansprechpartner für Betroffene in der EU sowie bei Behördenanfragen

  • Keine Weiterleitung1)
    von Betroffenenanfragen

  • E-Mail- und Postadresse
    für Anfragen von Betroffenen und Behörden

  • Jährlicher Aktivitätsreport
  • Datenschutz-Newsletter

1) 80€ pro Weiterleitung

Angebot anfordern
medium icon
00
/ Monat

ca. 135 CHF

EU-Vertreter
Business-Paket: Leistungen

  • Stellung des
    EU-Vertreters nach DSGVO


    Offizieller Ansprechpartner für Betroffene in der EU sowie bei Behördenanfragen

  • Weiterleitung
    von Betroffenenanfragen

  • E-Mail- und Postadresse
    für Anfragen von Betroffenen und Behörden

  • Mitarbeiterschulung DSGVO (Online)
    inkl. 3 Lizenzen 2)

  • Plattform myDSE für Datenschutzmanagement

  • Verzeichnis von Verarbeitungstätigkeiten
  • Technische und organisatorische Massnahmen
  • Jährlicher Aktivitätsreport
  • Datenschutz-Newsletter
  • Beratungsleistungen kostenpflichtig hinzubuchbar

2) Jede weitere Lizenz 20€ Angebot anfordern

lock icon
00
/ Monat

ca. 280 CHF

EU-Vertreter
Professional-Paket: Leistungen

  • Stellung des
    EU-Vertreters nach DSGVO


    Offizieller Ansprechpartner für Betroffene in der EU sowie bei Behördenanfragen

  • Weiterleitung
    von Betroffenenanfragen

  • E-Mail- und Postadresse
    für Anfragen von Betroffenen und Behörden

  • Mitarbeiterschulung DSGVO (Online)
    inkl. 10 Lizenzen 3)

  • Plattform myDSE für Datenschutzmanagement

  • Datenschutz-Bestandsaufnahme
  • Verzeichnis von Verarbeitungstätigkeiten
  • Technische und organisatorische Massnahmen
  • Jährlicher Aktivitätsreport
  • Datenschutz-Newsletter
  • Datenschutz-Siegel
  • 10 Beratungsstunden pro Jahr inkludiert 4)

3) Jede weitere Lizenz 15€
4) Weitere Beratungsstunden kostenpflichtig
hinzubuchbar

Angebot anfordern
lock icon
00
/ Monat

ca. 170 CHF

Geeignet für:
Minimaler Beratungsbedarf z.B. Handwerks- und Baubranche

  • Benennung eines Datenschutzbeauftragten

  • Plattform myDSE für Datenschutzmanagement

  • Datenschutz-Bestandsaufnahme
  • Mitarbeiterschulung
  • Zusätzliche Inklusivleistungen
medium icon
00
/ Monat

ca. 280 CHF

Geeignet für:
Geringer Beratungsbedarf z.B. Personal- und Immobilienbranche

  • Benennung eines Datenschutzbeauftragten

  • Plattform myDSE für Datenschutzmanagement

  • Inkludierte Beratungsleistungen

  • Datenschutz-Bestandsaufnahme
  • Mitarbeiterschulung
  • Datenschutzerklärung
  • Zusätzliche Inklusivleistungen
lock icon
00
/ Monat

ca. 560 CHF

Geeignet für:
Höherer Beratungsbedarf z.B. Werbebranche und Unternehmensberater

  • Benennung eines Datenschutzbeauftragten

  • Plattform myDSE für Datenschutzmanagement

  • Webinar für Führungskräfte

  • Datenschutz-Bestandsaufnahme
  • Mitarbeiterschulung
  • Datenschutzerklärung
  • Zusätzliche Inklusivleistungen

Was uns auszeichnet

bvd logo gdd logo ProvenExpert Logo SwissICT Logo

Unser wissenschaftlicher Beirat

Exzellente Beratung für Sie

Exzellente Beratung

datenschutzexperte.ch ist mit seinem digitalen Geschäftsmodell ideal aufgestellt, um Unternehmen individuelle Betreuung und massgeschneiderte Datenschutzlösungen unabhängig von Ort und Zeit anzubieten. Von der kompetenten Beratung für Unternehmen, die Daten von EU-Bürgern verarbeiten, bis hin zur Plattform myDSE, mit der auch komplexe Sachverhalte einfach bearbeitet werden können, ist dabei alles möglich.

Prof. Dr. Boris Paal, M. Jur. (Oxford)

(Wissenschaftlicher Beirat)

Prof. Dr. Boris Paal
Unsere Vorteile

Weil Datenschutz Vertrauenssache ist

Kilian Wagner (Geschäftsführer VIU)

Unsere Kundenstimmen

datenschutzexperte.ch hat uns mit kompetenter Beratung und fachlicher Expertise dabei unterstützt sicherzustellen, dass alle Anforderungen der DSGVO erfüllt werden.

Kilian Wagner

(Geschäftsführer VIU VENTURES AG, Zürich)

Noah Lorenz Mementor

Unsere Kundenstimmen

Da wir bei mementor sensible personenbezoge­ne Daten verarbeiten ist uns ein verantwortungs­voller Umgang mit unseren Kundendaten sehr wichtig. Die digitale Datenschutz-Organisation mit der Plattform myDSE entspricht den Ansprü­chen unseres ebenfalls digitalen Geschäftsmo­dells und lässt sich ideal in unser Tagesgeschäft integrieren.

Herr Noah Lorenz

(Geschäftsführer mementor GmbH, Fribourg)

Wissenswertes

Die drei grössten Datenschutz-Irrtümer von Schweizer Unternehmen

1.

"Ich setze schon den Schweizer Datenschutz um, die DSGVO ist somit irrelevant!“

Viele - insbesondere kleine - Unternehmen mit Hauptsitz ausserhalb der EU oder des EWR gehen oft davon aus, dass Sie nicht von der DSGVO betroffen sind bzw. die Umsetzung des nationalen Datenschutzgesetzes ausreicht. Dies ist falsch, denn sobald Unternehmen personenbezogene Daten von EU-Bürgern verarbeiten, müssen meist DSGVO-Vorgaben umgesetzt werden: Entweder durch die Benennung eines EU-Datenschutzvertreters (wenn keine Niederlassung in der EU existiert), oder durch die volle Umsetzung der lokalen DSGVO-Vorgaben des Mitgliedslandes der Niederlassung. Eine Verarbeitung kann schon der Betrieb einer Website darstellen.

2.

"Ich habe keine Niederlassung in der EU!"

Sobald Sie personenbezogene Daten von EU-Bürgern verarbeiten, sind Sie voll von der DSGVO betroffen. Dies ist auch schon der Fall, wenn Sie beispielsweise regelmässig Newsletter an Personen innerhalb der EU versenden oder ihre Website regelmässig Besucher aus der EU hat, da hierfür personenbezogene Daten verarbeitet werden. Aufgrund des eingeführten Marktortprinzips (Art. 3 Abs. 2) ist eine Niederlassung innerhalb der EU hierfür nicht notwendig.

3.

"Als Schweizer Unternehmen kann ich sowieso nicht belangt werden!"

Dies ist so nicht richtig. Durch die Einführung des Marktortprinzips erstreckt sich das Recht der DSGVO auch auf Länder ausserhalb der EU und des EWR, wenn personenbezogene Daten in sogenannten Drittländern verarbeitet werden (Art. 3 Abs. 2). Die Strafen bei Verstössen gegen die DSGVO (bis zu 20 Millionen Euro oder 4% des gesamten weltweiten Jahresumsatzes) betreffen somit auch Unternehmen ausserhalb der EU und des EWR.


Isabelle Fircks - zertifizierte Datenschutzbeauftragte & Geschäftsführerin

Immer einen Schritt voraus mit
myDSE

Die digitale Datenschutz Plattform myDSE bietet dem Nutzer vielseitige Funktionen und wird fortlaufend ausgebaut, um den rechtlichen Vorgaben im Datenschutz immer einen Schritt voraus zu sein und den Datenschutzalltag noch einfacher zu gestalten.

myDSE ist die digitale Datenschutz-Plattform zur betrieblichen Organisation der Datenschutz-Themen in Ihrem Unternehmen. Durch die Vielzahl an Funktionen ist sie leicht zu bedienen und organisiert für Sie den Datenschutz zentral an einer Stelle. Wir beraten und unterstützen Sie gerne zum einfachen und transparenten Datenschutz-Management in Ihrem Unternehmen.

Prof. Dr. Boris Paal
Über uns

Das Team hinter
datenschutzexperte.ch

datenschutzexperte.ch ist einer der digitalen Marktführer im Bereich EU-Datenschutz. Mit über 40 Juristen und IT-Spezialisten betreuen wir mehr als 1000 Unternehmen in Deutschland und Europa.

Als „All-in-one“ Lösung stellen wir Ihnen, je nach Bedarf, einen EU-Vertreter oder zertifizierten externen Datenschutzbeauftragten nach DSGVO, setzen sämtliche Dokumentationspflichten im Bereich Datenschutz für Sie um, führen einen Datenschutz-Audit mit Ableitung von Handlungsempfehlungen durch und sind in allen täglichen Anfragen zum europäischen Datenschutz Ihr verlässlicher Ansprechpartner.

– Alexander Ingelheim, Gründer und Geschäftsführer

Nach seinem Studium an der HSG in St. Gallen war Alexander Ingelheim jahrelang als Unternehmensberater in Zürich tätig.

Beratungsgespräch anfordern
Haben Sie noch Fragen?

Unsere FAQs helfen Ihnen weiter

Allgemein

Vor Vertragsstart findet ein telefonisches Beratungsgespräch mit einem unserer zertifizierten Datenschutzexperten statt, bei dem wir Ihrem Unternehmen das passende Leistungspaket zuordnen. Hieran anknüpfend schicken wir Ihnen unseren Beratervertrag zu. Sobald Sie uns diesen unterschieben zukommen lassen, kann unser Service für Sie beginnen.

Verträge starten zum 1. des jeweiligen Folgemonats.

Unsere Verträge haben immer eine Laufzeit von 12 Monaten.

Neben existierenden Kunden in der Schweiz, agieren wir bereits in ganz Deutschland als externer Datenschutzbeauftragter für zahlreiche verschiedene Unternehmen. Unser Team besteht aus Volljuristen, technischen Entwicklern, IT-Spezialisten sowie Betriebswirten. Ziel ist es, das Thema Datenschutz in Ihrem Unternehmen möglichst einfach und effizient zu halten und dabei immer auf die neuesten Technologien zu setzen. Unsere eigens entwickelte Software-as-a-Service (SaaS) Plattform „myDSE“ ist dabei die Schnittstelle zwischen Ihnen und uns.

Durch die Datenschutzgrundverordnung (DSGVO) wurde erstmals der Datenschutz in der gesamten EU auf ein einheitliches Niveau gebracht. Das hat umfangreiche Auswirkungen auf Unternehmen, die in irgendeiner Weise mit personenbezogenen Daten arbeiten. Neben zahlreichen zusätzlichen Pflichten wurde mit der Anwendbarkeit der DSGVO seit dem 25. Mai 2018 insbesondere auch der Bussgeldrahmen für Datenschutzverstösse deutlich angehoben. Künftig können, je nach Schwere des Verstosses, Bussgelder in Höhe von bis zu 4 Prozent der Jahresumsätze des Unternehmens oder bis zu 20 Millionen Euro verhängt werden, je nachdem welcher der Beträge höher ist. Auch Unternehmen in Drittländern können hiervon betroffen sein, weshalb unser Angebot auch Schweizer Kunden bei einer bestmöglichen Umsetzung helfen soll.

Falls Ihre Frage nicht beantwortet wurde, melden Sie sich einfach kurz bei uns!

Sie erreichen uns telefonisch unter: +41 (0)44 51 24 25 1 oder per
E-Mail: info@datenschutzexperte.ch

EU-Vertreter

Unabhängig von der lokalen Schweizer Datenschutzrechtslage, treffen die Regeln der DSGVO zur Benennung eines Datenschutzbeauftragten auch viele Schweizer Unternehmen. Grundsätzlich gilt es hier zwei Fälle zu betrachten.

1. Ein Schweizer Unternehmen betreibt eine Niederlassung in einem EU-Land:
Hier sind in jedem Fall die Regeln der DSGVO und die jeweils geltenden länderspezifischen Massgaben zur Bestellungspflicht eines Datenschutzbeauftragten einzuhalten. In Deutschland greift die Bestellungspflicht zum Beispiel sobald mindestens zehn Personen (dazu zählen auch Freelancer, Praktikanten, ...) z.B. Zugriff auf Outlook haben.

2. Ein Schweizer Unternehmen ohne Niederlassung in der EU hat Kunden/ Interessenten/ Geschäftspartner in der EU (Website reicht). Es werden keine besonderen Kategorien personenbezogener Daten verarbeitet:
In diesem Fall, muss ein EU-Vertreter benannt werden.

Neben Einhaltung des für alle Schweizer Unternehmen massgeblichen "Eidgenössischen Datenschutzgesetz" erstreckt sich das Recht der DSGVO durch die Einführung des Marktortprinzips auch auf Länder ausserhalb der EU und des EWR, wenn personenbezogene Daten von Personen, die sich in der EU aufhalten, in sogenannten Drittländern, verarbeitet werden (Art. 3 Abs. 2 DSGVO).

Da die Schweiz als Drittland zählt, fällt auch diese unter die DSGVO sobald personenbezogene Daten einer Person, die sich in der EU aufhält, verarbeitet werden. Dies ist auch schon der Fall, wenn kostenfreie Angebote mit Bezug auf personenbezogene Daten angeboten werden (beispielsweise Newsletter) oder beim Tracking von Daten von EU-Bürgern - unabhängig davon, wo eine Website betrieben wird.

Nach der seit dem 25.05.2018 in der gesamten EU anwendbaren Datenschutz-Grundverordnung (DSGVO), kann sich der Anwendungsbereich nach dem Marktortprinzip auch auf Unternehmen ohne Niederlassung in der EU erstrecken. So können nach Art. 27 Abs. 1 DSGVO Unternehmen, welche in der EU tätig sind aber ausserhalb der EU Ihre Niederlassung haben, schriftlich einen EU-Vertreter benennen.

Dieser dient nach Art. 27 Abs. 4 DSGVO insbesondere Aufsichtsbehörden oder Betroffenen bei sämtlichen Anfragen im Zusammenhang mit der DSGVO als Ansprechpartner.

Der EU-Vertreter dient nach Art. 27 Abs. 4 DSGVO als zusätzliche Anlaufstelle für Aufsichtsbehörden und betroffene Personen bei sämtlichen Anfragen im Zusammenhang mit der Gewährleistung der Einhaltung der DSGVO.

So kann ein EU-Vertreter zum Beispiel von den Aufsichtsbehörden angewiesen werden, alle Informationen bereitzustellen, welche für die Erfüllung der Aufgaben der Aufsichtsbehörden nötig sind. Sollten Informationen nicht verfügbar sein, muss der EU-Vertreter diese beim zu vertretenen Unternehmen einholen.

Nach Art. 27 Abs. 3 DSGVO muss der EU-Vertreter in einem der EU-Mitgliedsstaaten niedergelassen sein, in denen sich der von der Datenverarbeitung betroffene Personenkreis befindet. Der EU-Vertreter kann eine natürliche oder juristische Person sein.

Wenn der EU-Vertreter seinen Sitz beispielsweise in Deutschland haben soll, müssen mindestens auch Daten von Bürgern mit deutschem Wohnsitz verarbeitet werden.

Gibt es mehrere Mitgliedstaaten, die dabei in Frage kommen, ist innerhalb dieses Rahmens eine freie Ortswahl möglich. Die Benennung des EU-Vertreters im Unternehmen muss zudem schriftlich erfolgen (Art. 27 Abs. 1 DSGVO). Der Vertretene erteilt dem Datenschutzvertreter durch Ausstellung einer entsprechenden Vollmacht die Befugnis, im Namen des Vertretenen zu handeln. Nur dann kann der EU-Vertreter seine Funktion als Ansprechpartner und Anlaufstelle ordnungsgemäss erfüllen (Art. 27 Abs. 4, Erwgr. 80 DSGVO).

Mit der Benennung eines EU-Vertreters erfüllt ein Unternehmen zunächst das massgebende Recht der DSGVO. Die Haftung des vertretenen Unternehmens entfällt nicht mit der Bestellung eines EU-Vertreters. Auch nach der Benennung des EU-Vertreters, trägt der Verantwortliche des vertretenen Unternehmens nach Art. 27 Abs. 5 DSGVO selbst die Verantwortung für die Einhaltung der DSGVO.

Sollten die Gesetze geändert werden, passen wir unser Angebot dementsprechend an, um Ihnen weiterhin einen optimalen Datenschutz zu ermöglichen.

Leistungspakete

Das EU-Vertreter Starter-Paket ist optimal für Betriebe, die die massgeblichen Regeln der DSGVO bereits umgesetzt haben und somit keine Beratung benötigen. In diesem Paket bieten wir Ihnen unsere Dienste als EU-Vertreter an, und kümmern uns in Ihrem Auftrag um die Weiterleitung von allen Anfragen seitens der Behörde oder der Betroffenen. Die Weiterleitung von 30 Anfragen im Jahr ist in diesem Paket inkludiert.

Das EU-Vertreter Business-Paket ist optimal für Betriebe, die eine erhöhte Anzahl an Anfragen haben, und die massgeblichen Regeln der DSGVO bereits umgesetzt haben und somit keine Beratung benötigen. In diesem Paket bieten wir Ihnen unsere Dienste als EU-Vertreter an und kümmern uns in Ihrem Auftrag um die Weiterleitung von allen Anfragen seitens der Behörde oder der Betroffenen.

Zudem stellen wir Ihnen die Datenschutzmanagement-Plattform ("myDSE") mitsamt Vorlagen, Checklisten und Vielem mehr.

Das EU-Vertreter Professional-Paket richtet sich an Unternehmen, die Unterstützung bei der Umsetzung der massgeblichen Vorgaben der DSGVO benötigen. Neben den Leistungen des Starter- und Business-Paketes beinhaltet dieses Paket auch eine individuelle Beratung.

Ausserdem wird eine umfangreiche Bestandsaufnahme mit Handlungsempfehlungen durchgeführt, um Sie optimal auf die DSGVO abzustimmen.

Gerade betroffene Personen aber auch Aufsichtsbehörden können sich jederzeit an den EU-Vertreter wenden. Diese Anfragen können von einfachen Auskünften (z. B. Informationen zur Speicherung von personenbezogenen Daten) bis hin zu Beschwerden durch Kunden, Benutzer und Mitarbeiter reichen.

Die Anzahl der Anfragen variiert je nach Unternehmensgrösse, Branche und Umfang der Datenverarbeitung stark. Wir leiten selbstverständlich alle Anfragen an Sie weiter, so dass Ihnen nichts entgeht.

Begriffserklärungen

Unter personenbezogenen Daten versteht man nach DSGVO jene Daten, die Rückschlüsse auf eine natürliche Person erlauben. In der DSGVO ist die Definition von personenbezogenen Daten weiter gefasst als bisher. Sie umfassen nach Art. 4 Nr. 1 DSGVO alle Informationen zur genetischen, geistigen, wirtschaftlichen, kulturellen und sozialen Identität einer identifizierten oder identifizierbaren Person.

Zu besonderen Kategorien personenbezogener Daten gehören nach Art. 9 Abs. 1 DSGVO Angaben zur rassischen und ethnischen Herkunft, zu politischen Meinungen, zu religiösen oder weltanschauliche Überzeugungen, zu einer Gewerkschaftszugehörigkeit, zur Gesundheit, zum Sexualleben oder sexuellen Orientierung, sowie genetische und biometrische Daten.

Werden personenbezogene Daten einer natürlichen Person verarbeitet, so ist diese im Sinne der DSGVO „betroffen“. Betroffene/r kann also nur ein Mensch sein.

Der/dem Betroffenen stehen, sofern eine Verarbeitung ihrer/seiner Daten stattfindet, unterschiedliche Rechte zu, welche in den Art. 12 bis 23 DSGVO umfassend geregelt sind.

Zu den wichtigsten Betroffenenrechten zählen unter anderem das Recht auf Auskunft, Löschung („Vergessenwerden“), Berichtigung sowie das Widerspruchsrecht und der Widerruf der Einwilligung.

Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Auftragsverarbeiter verarbeiten weisungsgebunden und vertraglich gebunden Daten für jemand anderes, den Verantwortlichen. „Klassische“ Auftragsverarbeiter sind z. B. Clouddienste-Anbieter, Werbeadressenverarbeitung durch einen Newsletter-Tool-Betreiber oder Datenträgerentsorgung durch einen Dienstleister.

Einen weit verbreiteten Irrtum stellt die Annahme dar, die DSGVO gelte nur im europäischen Raum. Dementgegen regelt Art. 3 DSGVO, dass diese auch dann Anwendung findet, sobald:

... die Verarbeitung von personenbezogenen Daten durch einen Verantwortlichen mit Niederlassung in der EU geschieht, unabhängig davon, ob die Verarbeitung in der Union stattfindet (also auch in einem Drittland!),

... der Verantwortliche seinen Sitz ausserhalb der EU hat, aber Waren oder Dienstleistungen in der Union anbietet und

... der Verantwortliche seinen Sitz ausserhalb der EU hat, aber das Verhalten betroffener Personen beobachtet, die sich innerhalb der Union aufhalten.

Im Verzeichnis von Verarbeitungstätigkeiten wird dokumentiert, welche Kategorien von personenbezogenen Daten aktuell im Unternehmen verarbeitet werden und wie diese geschützt werden. Im Rahmen der Verarbeitung „Bewerbermanagement“ beispielsweise wird dokumentiert, welche Bewerberdaten gespeichert werden, auf welcher Rechtsgrundlage diese verarbeitet werden, wer Zugriff auf diese Daten hat, woher diese Daten kommen, wie diese wieder gelöscht und geschützt werden.

Technische und organisatorische Massnahmen sind alle Schutzmassnahmen, die innerhalb eines Unternehmens eine sichere Verarbeitung von personenbezogenen Daten gewährleisten. Diese müssen in Hinblick auf Art und Umfang der verarbeiteten Daten auch wirtschaftlich vertretbar sein.

Technische Massnahmen:
Alle Massnahmen, die sich umsetzen lassen, etwa durch bauliche Massnahmen wie Alarmanlagen oder durch Soft- und Hardwarevorgaben wie etwa passwortgeschützte Benutzerkonten. Die technischen Massnahmen beziehen sich auf den Datenverarbeitungsvorgang und damit die Verarbeitungstätigkeit selbst.

Organisatorische Massnahmen:
Alle Massnahmen, die Regeln und Vorgaben betreffen, die Mitarbeiter zur Einhaltung des Datenschutzes anhalten. Dies kann beispielsweise durch Handlungsanweisungen, Dienstanweisungen und Betriebsvereinbarungen erfolgen. Diese beziehen sich auf den äusseren Ablauf bzw. die äusseren Rahmenbedingungen des Datenverarbeitungsvorgangs.

Ein Auftragsverarbeitungsvertrag regelt den Austausch von personenbezogenen Daten zwischen Auftraggeber und Auftragnehmer. Grundsätzlich muss mit jedem Dienstleister ein Auftragsverarbeitungsvertrag abgeschlossen werden, sofern der Dienstleister potentiell Zugang zu personenbezogenen Daten hat und die Daten ausschliesslich auf Anweisung des Verantwortlichen und zu Zwecken des Verantwortlichen verarbeitet. Verantwortlicher ist derjenige, der allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Hierbei kommt es massgeblich auf die Entscheidung über die Verarbeitungszwecke an, während die Entscheidung über die technischen und organisatorischen Fragen der Verarbeitung auch auf den Auftragsverarbeiter delegiert werden kann. In einem Auftragsverarbeitungsvertrag wird z.B. geregelt, welche personenbezogenen Daten eine Werbeagentur erhält, wofür diese Daten verwendet werden dürfen (beispielsweise nur um einmalige Weihnachtskarten zu verschicken) und wie diese personenbezogenen Daten von der Werbeagentur geschützt werden müssen.

Haben Sie noch Fragen? Kontaktieren Sie uns

Isabelle Fircks - zertifizierte Datenschutzbeauftragte & Geschäftsführerin

Isabelle Fircks

Gründerin & Geschäftsführerin