Privacy Governance, Risk & Compliance Platform

Was bedeutet das konkret?

Eine Privacy-Strategie ist wie ein Fahrplan für den Schutz personenbezogener Daten in Ihrem Unternehmen. Sie beantwortet folgende Fragen:

• Warum schützen wir Daten? (z.B. DSGVO-Compliance, Vertrauen der Kunden)
• Welche Daten schützen wir? (z.B. Kundendaten, Mitarbeiterdaten, Gesundheitsdaten)
• Wer ist verantwortlich? (z.B. Datenschutzbeauftragter, Privacy Manager)
• Wie stellen wir sicher, dass Daten sicher verarbeitet werden?

Praktisches Beispiel:

Ein Online-Shop verarbeitet Kundendaten. Die Privacy-Strategie legt fest:

• Ziel: 100% DSGVO-Compliance + Kundenvertrauen stärken
• Verantwortlich: Datenschutzbeauftragter (Compliance) + IT-Leiter (Technische Umsetzung)
• Governance: Monatliche Privacy Reviews, quartalsweise Datenschutz-Audits

So starten Sie:

1. Workshop organisieren (2-3 Stunden) mit Geschäftsleitung, IT, Legal, Datenschutz
2. Template nutzen: "Privacy-Strategie Template" (ISO 27701)
3. Dokumentieren Sie:
   • Geschäftsziele (z.B. "DSGVO-konform werden bis Q2")
   • Datenverarbeitungs-Szenarien (z.B. "Kundendaten für Marketing")
   • Rollen & Verantwortlichkeiten (RACI-Matrix)
   • Budget & Ressourcen
   • Risiken & Massnahmen (z.B. "Datenleck: Verschlüsselung implementieren")
4. Freigabe einholen: Management-Approval
5. Kommunizieren: Intranet, Team-Meetings, Schulungen

Was ist das?

Jeder im Unternehmen muss wissen: Wer ist wofür zuständig, wenn es um Datenschutz geht? Das verhindert, dass wichtige Aufgaben "durchs Raster fallen".

Typische Privacy-Rollen:

• Datenschutzbeauftragter (DSB): Gesamtverantwortung für Datenschutz-Compliance
• Privacy Manager: Operative Umsetzung von Privacy-Massnahmen
• Data Protection Officer (DPO): Überwachung der DSGVO-Einhaltung
• IT Security Manager: Technische Sicherheitsmassnahmen für Daten
• Business Owner: Definiert Datenverarbeitungszwecke

So setzen Sie es um:

1. Rollen identifizieren: Welche Rollen brauchen Sie?
2. Personen zuweisen: Wer übernimmt welche Rolle?
3. RACI-Matrix erstellen: Für alle wichtigen Privacy-Aufgaben
4. Job Descriptions aktualisieren: Privacy-Verantwortlichkeiten in Stellenbeschreibungen aufnehmen
5. Kommunizieren: Alle Beteiligten informieren
6. Training: Schulungen für neue Rollen

Was ist das?

Eine Datenschutz-Folgenabschätzung (DSFA) bedeutet: Welche Risiken entstehen für betroffene Personen durch die Datenverarbeitung? Wie wahrscheinlich ist das? Wie schlimm wären die Folgen?

Wann ist eine DSFA erforderlich?

• Automatisierte Entscheidungen: z.B. Kreditscoring, Bewerbungsauswahl
• Umfangreiche Verarbeitung sensibler Daten: z.B. Gesundheitsdaten, biometrische Daten
• Systematische Überwachung: z.B. Videoüberwachung öffentlicher Bereiche
• Neue Technologien: z.B. AI, Blockchain, IoT

5-Schritte-Prozess:

1. Beschreibung der Verarbeitung: Was wird verarbeitet? Zu welchem Zweck?
2. Notwendigkeit & Verhältnismässigkeit: Ist die Verarbeitung notwendig?
3. Risiken identifizieren: Was kann schiefgehen?
4. Massnahmen definieren: Wie reduzieren wir das Risiko?
5. Dokumentation & Review: DSFA dokumentieren und regelmässig überprüfen

Was sind TOM?

Technische und organisatorische Massnahmen (TOM) sind konkrete Schritte, um personenbezogene Daten zu schützen. Sie müssen nach DSGVO Art. 32 implementiert werden.

Technische Massnahmen:

• Zugriffskontrolle: Nur autorisierte Personen haben Zugang
• Verschlüsselung: Daten werden verschlüsselt gespeichert und übertragen
• Pseudonymisierung: Daten werden ohne Personenbezug verarbeitet
• Backup & Recovery: Regelmässige Datensicherung
• Logging & Monitoring: Überwachung auf verdächtige Aktivitäten

Organisatorische Massnahmen:

• Datenschutz-Richtlinien: Klare Regeln für den Umgang mit Daten
• Schulungen: Regelmässige Datenschutz-Trainings
• Vertraulichkeitsverpflichtungen: Mitarbeitende verpflichten sich zur Vertraulichkeit
• Incident Response Plan: Plan für den Fall eines Datenlecks
• Datenschutz-Audits: Regelmässige Überprüfung der Massnahmen

Was ist das?

Datenschutz-Monitoring bedeutet: Wir überwachen kontinuierlich, ob unsere Datenschutzmassnahmen funktionieren und die DSGVO eingehalten wird.

Wichtige KPIs für Datenschutz:

• Anzahl DSFA durchgeführt: Wie viele Datenschutz-Folgenabschätzungen wurden gemacht?
• Betroffenenrechte-Anfragen: Wie viele Auskunfts-/Löschanfragen gab es?
• Response Time: Wie schnell werden Anfragen bearbeitet?
• Datenpannen: Anzahl der Datenschutzverletzungen
• Schulungsquote: Wie viele Mitarbeitende wurden geschult?
• Audit-Findings: Anzahl der Abweichungen bei Audits

Praktische Umsetzung:

1. KPIs definieren: Was wollen wir messen?
2. Schwellenwerte festlegen: Ab wann ist eine Abweichung kritisch?
3. Dashboard aufsetzen: Visualisierung der wichtigsten Metriken
4. Alerting konfigurieren: Automatische Benachrichtigung bei Problemen
5. Reporting etablieren: Regelmässige Berichte an Management

Warum ist das wichtig?

Datenschutz ist nur so gut wie die Menschen, die ihn umsetzen. Ohne entsprechende Schulungen können unbewusst Datenschutzverletzungen entstehen.

Wichtige Schulungsthemen:

• DSGVO-Grundlagen: Was ist die DSGVO? Welche Rechte haben Betroffene?
• Datenschutzprinzipien: Rechtmässigkeit, Zweckbindung, Datenminimierung
• Betroffenenrechte: Auskunft, Löschung, Widerspruch
• Datenpannen: Wie erkenne ich ein Datenleck? Was muss ich tun?
• Sichere Datenverarbeitung: Verschlüsselung, sichere Passwörter

Praktische Umsetzung:

1. Schulungsplan erstellen: Wer braucht welche Schulung wann?
2. Inhalte entwickeln: E-Learning, Präsenzschulungen, Workshops
3. Externe Experten einbeziehen für spezielle Themen
4. Erfolg messen: Tests, Feedback, Anwendung im Arbeitsalltag
5. Kontinuierlich aktualisieren: Neue Rechtsprechung, Technologien

Was ist ein Verarbeitungsverzeichnis?

Ein Verarbeitungsverzeichnis (VVT) ist wie ein "Datenpass" für Ihr Unternehmen. Es dokumentiert alle Datenverarbeitungstätigkeiten und ist nach DSGVO Art. 30 verpflichtend.

Was muss dokumentiert werden?

• Zweck der Verarbeitung: Warum verarbeiten wir die Daten?
• Kategorien betroffener Personen: Wessen Daten verarbeiten wir? (z.B. Kunden, Mitarbeitende)
• Kategorien personenbezogener Daten: Welche Daten verarbeiten wir? (z.B. Name, E-Mail, Gesundheitsdaten)
• Empfänger: An wen geben wir die Daten weiter?
• Drittlandtransfers: Werden Daten ins Ausland übermittelt?
• Löschfristen: Wie lange speichern wir die Daten?
• TOM: Welche technischen und organisatorischen Massnahmen sind implementiert?

Best Practices:

• Software nutzen: Tools wie DataGuard, Proliance, OneTrust
• Versionskontrolle: Jede Änderung dokumentieren
• Standardisierung: Einheitliche Templates verwenden
• Regelmässige Updates: Mindestens jährlich überprüfen
• Zugänglichkeit: Leicht findbar und verständlich

Was ist eine Datenschutzverletzung?

Eine Datenschutzverletzung (Data Breach) ist jeder Vorfall, bei dem personenbezogene Daten unrechtmässig verarbeitet, verloren oder offengelegt werden.

Typische Datenschutzverletzungen:

• Datenleck: Daten werden ungewollt öffentlich zugänglich
• Hacker-Angriff: Unbefugte verschaffen sich Zugang zu Daten
• Verlust von Geräten: Laptop, USB-Stick mit Daten geht verloren
• Fehlversand: E-Mail mit Daten an falsche Person
• Ransomware: Daten werden verschlüsselt und erpresst

Data Breach Management Prozess:

1. Erkennung: Vorfall wird erkannt (Monitoring, Mitarbeitende)
2. Bewertung: Wie kritisch ist der Vorfall? (72h-Meldepflicht?)
3. Eindämmung: Sofortmassnahmen zur Schadensbegrenzung
4. Meldung: Aufsichtsbehörde innerhalb 72h informieren (DSGVO Art. 33)
5. Benachrichtigung: Betroffene informieren (DSGVO Art. 34)
6. Analyse: Root Cause Analysis - was war die Ursache?
7. Behebung: Langfristige Lösung implementieren
8. Lessons Learned: Was lernen wir daraus?

Warum sind Audits wichtig?

Audits helfen dabei herauszufinden: Funktioniert unser Datenschutz-Management wirklich? Halten wir uns an die DSGVO? Was können wir verbessern?

Arten von Audits:

• Interne Audits: Durchgeführt von eigenen Mitarbeitenden
• Externe Audits: Durchgeführt von unabhängigen Prüfern
• Compliance Audits: Prüfung der Einhaltung von DSGVO/ISO 27701
• Technical Audits: Prüfung der technischen Sicherheitsmassnahmen
• Process Audits: Prüfung der Datenschutz-Prozesse

Audit-Prozess:

1. Planung: Audit-Umfang, Termine, Auditoren festlegen
2. Vorbereitung: Dokumente sammeln, Checklisten erstellen
3. Durchführung: Interviews, Dokumentenprüfung, Tests
4. Bewertung: Findings kategorisieren (Critical, Major, Minor)
5. Berichterstattung: Audit-Bericht mit Empfehlungen
6. Follow-up: Umsetzung der Massnahmen verfolgen

Wichtige Datenschutz-Regulations:

• DSGVO: Europäische Datenschutz-Grundverordnung
• Schweizer DSG: Schweizerisches Datenschutzgesetz (revidiert 2023)
• ePrivacy-Richtlinie: Regelt elektronische Kommunikation
• Sektorspezifische Gesetze: z.B. Gesundheitsdatengesetz, Bankengesetz

DSGVO - Kernprinzipien:

• Rechtmässigkeit: Datenverarbeitung braucht Rechtsgrundlage
• Zweckbindung: Daten nur für angegebenen Zweck nutzen
• Datenminimierung: Nur notwendige Daten sammeln
• Richtigkeit: Daten müssen korrekt sein
• Speicherbegrenzung: Daten nicht länger als nötig speichern
• Integrität & Vertraulichkeit: Daten müssen sicher sein
• Rechenschaftspflicht: Compliance nachweisen können

Compliance-Prozess:

1. Regulatorische Landschaft verstehen: Welche Gesetze gelten?
2. Gap-Analyse: Wo stehen wir? Was fehlt noch?
3. Massnahmenplan: Was müssen wir umsetzen?
4. Implementierung: Schrittweise Umsetzung
5. Dokumentation: Nachweis der Compliance
6. Monitoring: Kontinuierliche Überwachung