Ziel: «Verstehen» | Grund: Nicht Pflicht*, aber nützlich

Erfassen Sie, wo Sie welche Personendaten erheben, speichern und zu welchem Zweck Sie dies tun. Erstellen Sie hierfür mit den bereitgestellten Werkzeugen in dp/Services nützliche Verzeichnisse. Damit inventarisieren Sie z.B. die Software ("Applikationen"), die Sie in Ihrem Unternehmen einsetzen und welche Datenbearbeitungen Sie mit diesen vornehmen. Eine ausführliche Wegleitung unterstützt Sie dabei. Diese Verzeichnisse sind für KMU oft keine Pflicht, sind aber sehr nützlich und werden Ihnen die weitere Arbeit erleichtern.

Folgende Werkzeuge und Dokumente stehen Ihnen in dp/Services zur Verfügung:

• Applikationsverzeichnis
• Bearbeitungsverzeichnis Controller (Verantwortliche Person)
• Bearbeitungsverzeichnis Processor (Auftragsbearbeiterin)

*Für viele KMU ist das Führen eines Bearbeitungsverzeichnisses keine Pflicht. Das Gesetz sieht eine Ausnahme für Unternehmen vor, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt. Wir empfehlen aber in jedem Fall, diese Verzeichnisse zu erstellen, da sie eine überaus wertvolle Grundlage für alle weiteren Dokumente sind.

Ziel: «Kontrolle» | Grund: Pflicht

Implementieren und dokumentieren Sie technische und organisatorische Sicherheitsmassnahmen (TOM) zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Personendaten, die Sie bearbeiten. Denn: Ohne Datensicherheit "ist alles nichts"!

Organisieren Sie sich, um rasch auf Datensicherheits-Verletzungen reagieren zu können.

Folgende Tools und Dokumente stehen Ihnen in dp/Services zur Verfügung:

• Interne Datenschutzrichtlinie (automatisiert und geführt!)
• TOM-Dokument; systematische Darstellung der umgesetzten technischen und organisatorischen Massnahmen (automatisiert und geführt!)
• Prozessbeschreibung zum Umgang mit Datensicherheits-Verletzungen

Ziel: «Transparenz» | Grund: Pflicht

Erfüllen Sie Ihre Informationspflichten gegenüber Ihrer Kundschaft (und deren Mitarbeitenden) sowie weiteren Kontakten (inkl. Website).

Nutzen Sie hierfür unser Werkzeug zur automatisierten und geführten Erstellung einer allgemeinen Datenschutzerklärung. Sie werden durch alle relevanten Fragen geführt und erhalten so ein fertiges Dokument, welches Sie in verschiedenen Formaten exportieren können.

Folgende Tools und Dokumente stehen Ihnen in dp/Services zur Verfügung:

• Allgemeine Datenschutzerklärung für Kundschaft und andere Kontakte (automatisiert und geführt!)
• Spezial-Datenschutzerklärungen für bestimmte Situationen (z.B. Videoüberwachung) und Branchen (nicht im Basis-Paket enthalten; wird laufend erweitert)
• Diverse Merkblätter (inkl. Cookies, Einwilligung, Impressum)

Ziel: «Transparenz» | Grund: Pflicht

Erfüllen Sie Ihre Informationspflichten gegenüber Ihren eigenen Mitarbeitenden.

Nutzen Sie hierfür unser Tool zur automatisierten und geführten Erstellung einer Datenschutzerklärung für Mitarbeitende. Sie werden durch alle relevanten Fragen geführt und erhalten so ein fertiges Dokument, welches Sie in verschiedenen Formaten exportieren können.

Folgende Tools und Dokumente stehen Ihnen in dp/Services zur Verfügung:

• Datenschutzerklärung für Mitarbeitende (automatisiert und geführt!)

Ziel: «Kontrolle» | Grund: Pflicht

Organisieren Sie sich, um rasch auf Fragen oder spezielle Situationen reagieren zu können. Legen Sie für Ihr Unternehmen pragmatische und wirkungsvolle Richtlinien und Prozesse fest, sodass jede Mitarbeitende weiss, wie mit Personendaten umgegangen wird und wie sie sich in wichtigen Situationen zu verhalten hat. Dank dp/Services können Sie hier optimieren; das entlastet Ihr Datenschutzumsetzungsprojekt und reduziert den Aufwand zu Beginn erheblich.

Folgende Tools und Dokumente stehen Ihnen in dp/Services zur Verfügung:

• Interne Datenschutzrichtlinie (automatisiert und geführt!)
• Prozessbeschreibung betreffend Umgang mit Betroffenenbegehren
• Musterschreiben für Beantwortung von Betroffenenbegehren (automatisiert und geführt!)
• Schulungsunterlagen für Mitarbeitende Verständnis-Assessment
• Richtlinie über die Datenaufbewahrung (automatisiert und geführt!)
• Checkliste zur Notwendigkeit einer Datenschutz-Folgenabschätzung

Ziel: «Kontrolle» | Grund: Pflicht

Sorgen Sie für eine sorgfältige Auswahl, Instruktion und Kontrolle Ihrer Dienstleistenden, die in Ihrem Auftrag Personendaten bearbeiten.

Verschriftlichen Sie Ihre Verträge mit Auftragsbearbeitern oder überprüfen Sie von Anbieterinnen gestellte Verträge mit unseren Checklisten auf deren datenschutzrechtliche Richtigkeit und Vollständigkeit.

Folgende Tools und Dokumente stehen Ihnen in dp/Services zur Verfügung:

• Vereinbarungen über die Auftragsbearbeitung (automatisiert und geführt!)
• Standard-Vertragsklauseln der Europäischen Kommission zur Auftragsverarbeitung (automatisiert und geführt!)
• Checkliste für die Auftragsbearbeitung
• Merkblätter und Tools für's Vendor Management
• Datenschutz-Risikoanalyse über eingesetzte Beauftragte

Ziel: «Kontrolle» | Grund: Pflicht

Prüfen Sie, ob datenschutzrechtliche Massnahmen erforderlich sind, bevor Sie Personendaten ins Ausland übermitteln (Bekanntgabe ins Ausland).

Nutzen Sie hierfür die verschiedenen praxisorientierten und pragmatischen Tools und Checklisten in dp/Services. Nutzen Sie bei Bedarf Standard-Datenschutzklauseln für den Auslandtransfer, welche Sie automatisiert und individualisiert erstellen können.

Folgende Tools und Dokumente stehen Ihnen in dp/Services zur Verfügung:

• Merkblätter und Checklisten zur grenzüberschreitenden Datenbekanntgabe
• EU-Standardvertragsklauseln für grenzüberschreitende Datenbekanntgabe inkl. CH-spezifische Ergänzungen des EDÖB (automatisiert und geführt!)
• Transfer Impact Assessment Tool (TIA)

• Allgemeine Datenschutzerklärung
• Datenschutzerklärung für Mitarbeitende
• Spezifische Datenschutzerklärungen für bestimmte Branchen (z.B. Health [Zusatzmodul])

• Interne Datenschutzrichtlinie
• Beschreibung technischer und organisatorischer Massnahmen (TOM)
• Richtlinie über die Datenaufbewahrung
• Videoüberwachungsreglement [Zusatzmodul]

• Prozessbeschreibung betreffend Umgang mit Betroffenenbegehren (z.B. Auskunft, Löschung)
• Prozessbeschreibung betreffend Umgang mit Datensicherheits-Verletzungen («Data Breaches»)
• Prozessbeschreibung betreffend Datenschutz-Risikoanalyse (Abklärung Bedarf Datenschutz-Folgeabschätzung)

• Transfer Impact Assessment (TIA)
• Checkliste Auftragsbearbeitung
• Musterschreiben für die Beantwortung von Betroffenenbegehren
• Checkliste Umsetzung Datenschutzgesetz

• Datenschutz-Fragebogen für Lieferantinnen
• Vereinbarung zur Auftragsbearbeitung
• Standard-Vertragsklauseln der Europäischen Kommission zur Auftragsverarbeitung
• EU-Standardvertragsklauseln für die grenzüberschreitende Datenbekanntgabe, inkl. CH-spezifischer Ergänzungen des EDÖB