Bin ich vom nDSG als Unternehmen betroffen?
Entgegen allen Gerüchten ist im nDSG keine Einschränkung auf eine Unternehmensgrösse oder Unternehmensart vorgesehen. Es wird sogar explizit definiert, dass Verantwortliche eine private Person oder ein Bundesorgan sein müssen. Verantwortlich ist eine Person, sobald sie alleine oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung von Personendaten entscheidet. Dies macht auch Sinn, da heute jedes Unternehmen Personendaten bearbeitet, sei es von Kundinnen und Kunden, Partner:innen, Bewerber:innen oder Mitarbeitenden.
Pflichten von Verantwortlichen
Für die bearbeiteten Personendaten müssen Verantwortliche demnach den Betroffenen z. B. das Auskunftsrecht zugestehen, die Informationspflichten bei der Beschaffung von Personendaten einhalten, die Daten angemessen schützen, eine Datenschutzfolgeabschätzung und Weiteres mehr leisten.
Das nDSG betrachtet jedoch immer das Risiko der betroffenen Personen und verpflichtet Verantwortliche, basierend auf diesem Risiko technische und organisatorische Massnahmen zu ergreifen, sodass die geplante Verarbeitung in der Datenschutz-Folgeabschätzung kein hohes Risiko mehr darstellt. Die Persönlichkeit der betroffenen Personen soll unverletzt bleiben und insbesondere die Verarbeitung von besonders schützenswerten Daten führt bei Verletzung der Grundsätze oder der Datensicherheit fast automatisch zu einer solchen.
Fazit
All diese Forderungen stehen unabhängig von Art und Grösse der Unternehmen, was eben dazu führt, dass die meisten Unternehmen die Einführung des nDSG berücksichtigen müssen.
Wir unterstützen Sie!
Sie haben Fragen zum nDSG? Oder Sie benötigen Unterstützung bei der Vorbereitung auf das Inkrafttreten? Wir unterstützen Sie und beraten Sie zu Ihren Möglichkeiten sowie den kommenden Anforderungen des nDSG.