Die zu treffenden Massnahmen sind individuell und hängen davon ab,
- welche Art von Personendaten wie bearbeitet werden und
- welche Datenschutzmassnahmen bereits getroffen sind
Das revidierte Datenschutzgesetz legt die Datenbearbeitungsgrundsätze fest und definiert Pflichten der Unternehmen. Anhand der Bestandesaufnahme und der Pflichten aus dem nDSG sind die Massnahmen zu definieren:
Pflichten
- Einhaltung der Datenschutzgrundsätze
- Technische und organisatorische Massnahmen
- Gewährleistung der Datensicherheit
- Führung von Verzeichnissen
- Informationspflichten
- Betroffenenrechte
- Etc.
→ Pflichten
Personendaten sollen rechtmässig bearbeitet werden. Sie sollen nur für den bei der Erhebung bekanntgegebenen Zweck bearbeitet werden. Die Daten müssen richtig sein und sie sind bei Zweckerreichung grundsätzlich zu vernichten oder Anonymisieren.
Bei der Datenerhebung ist auf Datensparksamkeit und Datenvermeidung zu achten und die Grundsätze Privacy by design und Privacy by default zu beachten. Das kann Anpassungen der Applikationen erforderlich machen, mit welchen Daten erhoben und bearbeitet werden.
Die Informationspflichten bei der Datenerhebung können in der Datenschutzerklärung auf der Website erfüllt werden. Werden Daten auch bei Dritten erhoben, sind die Betroffenen u.U. anderweitig zu informieren.
Die Informationspflichten gegenüber Mitarbeitenden ist in einer Datenschutzerklärung für Mitarbeiter zu erfüllen.
Grundsätzlich ist die Führung eines Verzeichnisses der Bearbeitungsaktivitäten Pflicht. Für KMU besteht jedoch eine Ausnahme, sofern weniger als 250 Mitarbeiter beschäftigt werden und ein geringes Risko von Persönlichkeitsverletzungen besteht.
Die zu treffenden Massnahmen sind individuell aufgrund der konkreten Umstände und Bedürfnisse im Einzelfall festzulegen.
