Datenschutz mit System – Mit einem Datenschutzkonzept


Pharmasuisse

In den vergangenen Jahren hat der Datenschutz in der Welt der Unternehmen vermehrt an Wichtigkeit gewonnen, nicht zuletzt mit der Einführung der EU-Datenschutzgrundverordnung (EU-DSGVO). Nach einer zweijährigen Übergangsfrist trat im Jahr 2018 die EU-DSGVO in Kraft und bedeutete von da an ein finanzielles, aber insbesondere auch ein Reputationsrisiko für Unternehmen, die sich trotz Anwendbarkeit nicht an die Anforderungen hielten. Der Datenschutz ist auch in der Schweiz und für den Schweizerischen Apothekerverband pharmaSuisse ein wichtiges Thema.

Ausgangslage

Aufgrund der internationalen Entwicklungen und zugunsten der Modernisierung wurde das Ziel verfolgt, auch das 1992 in Kraft getretene Schweizer Datenschutzgesetz (DSG) anzupassen. Deshalb erfolgte in den vergangenen Jahren eine Totalrevision. Das revidierte Gesetz wurde an der Schlussabstimmung vom 25. September 2020 angenommen und soll voraussichtlich 2022 in Kraft treten. Für Schweizer Unternehmen, auf welche das DSG Anwendung findet, bedeutet dies unter anderem mehr Dokumentationsvorgaben sowie höhere Strafen und eine Meldepflicht bei Datenschutzverletzungen. Da es voraussichtlich keine Übergangsfrist geben wird, sind viele Unternehmen bereits heute daran, die neuen Anforderungen an den Datenschutz umzusetzen.

Zu den Unternehmen, die den Datenschutz proaktiv behandeln, gehört auch der Schweizerische Apothekerverband pharmaSuisse mit Sitz in Bern-Liebefeld. Die Dachorganisation der Apothekerinnen und Apotheker mit mehr als 6'900 Einzelmitgliedern und über 1'500 angeschlossenen Apotheken wurde bereits 1843 gegründet und unterstützt ihre Mitglieder in der optimalen Beratung und Begleitung der Bevölkerung bei Gesundheitsfragen. Hierfür erarbeitet und entwickelt pharmaSuisse Präventionsmassnahmen und Angebote in den Bereichen Fort- und Weiterbildung, Qualitätssicherung und interprofessioneller Zusammenarbeit.

Datenschutzkonzept

In der Erfüllung seiner Aufgaben bearbeitet der Verband verschiedene Personendaten. Um die Einhaltung des Datenschutzes und insbesondere des revidierten Datenschutzgesetzes sicherzustellen sowie den Anforderungen gerecht zu werden, hat pharmaSuisse bereits im Frühjahr 2020 die Erarbeitung eines übergeordneten Datenschutzkonzeptes lanciert. Ziel des Konzepts war es, die allgemeinen Grundsätze im Umgang mit Personendaten zu regeln und Massnahmen zur Umsetzung der Datensicherheit schriftlich festzuhalten. Zugleich sollte das Konzept eine Basis schaffen für weitere Dokumente, um die Mitarbeitenden von pharmaSuisse in die Verantwortung zu nehmen und sie für das Thema Datenschutz zu sensibilisieren.

Nach der Einholung verschiedener Angebote durch pharmaSuisse und einigen Gesprächen zur Klärung noch offener Punkte hat Redguard den Zuschlag erhalten und konnte auch direkt mit der Planung zum Datenschutzkonzept loslegen. Im Kickoff mit dem Projektteam von pharmaSuisse wurde das Vorgehen besprochen und die Aufgaben und Verantwortlichkeiten sowohl seitens pharmaSuisse als auch seitens Redguard festgelegt.

“Für die Umsetzung der neuen Vorgaben des Datenschutzes haben wir einen externen Partner gesucht, der uns eine auf unsere Bedürfnisse massgeschneiderte Lösung bieten kann, welche verständlich, einfach in der Umsetzung und dennoch datenschutzrechtlich vollständig ist. Redguard konnte diese Vorgaben erfüllen.”Samuel Dietrich, Jurist pharmaSuisse

Der nächste wichtige Schritt war die Zustellung bereits vorhandener Unterlagen an Redguard, um einen Überblick über das Unternehmen und die Rahmenbedingungen zu erhalten. Anhand von Unternehmenspräsentationen, Prozessdokumentationen, bereits vorhandenen Vorgaben und Weisungen mit Bezug zu Informationssicherheit und Datenschutz sowie der bisher dokumentierten Übersicht der Datensammlungen war es Redguard möglich, das Unternehmen kennenzulernen und so die Basis für ein auf pharmaSuisse zugeschnittenes Datenschutzkonzept zu schaffen.

Für die Erarbeitung des Konzepts wurden neben den unternehmensspezifischen Dokumenten und gesetzlichen Vorgaben des Datenschutzes auch Best Practices aus dem Umfeld des DSG und der EU-DSGVO sowie der Informationssicherheits-Standard ISO 27001 berücksichtigt. Vorausschauend wurden auch die zukünftigen Anforderungen des revidierten Datenschutzgesetzes in das Datenschutzkonzept aufgenommen, ohne dabei die heute gültigen Vorgaben ausser Acht zu lassen.

Erfolgreiche Zusammenarbeit durch aktiven Wissenstransfer

Die Zusammenarbeit mit pharmaSuisse war für Redguard insofern spannend, dass pharmaSuisse die Umsetzung vor Ort, wie beispielsweise die Schulung der Mitarbeitenden, direkt selber übernommen hat. Neben der Ausarbeitung des Datenschutzkonzeptes und weiterer Dokumente standen die Spezialisten von Redguard auch adhoc bei Fragen zur Verfügung.

Im Projektverlauf war insbesondere der Wissenstransfer zwischen den Stakeholdern von grosser Bedeutung. Während Redguard das vertiefte Fachwissen zum Datenschutz beisteuerte, stellte pharmaSuisse die benötigten geschäftsrelevanten Informationen zur Verfügung. Die bereitgestellten Unterlagen ermöglichten es Redguard, einen ersten Entwurf des Datenschutzkonzeptes zu verfassen. Offene Fragen, die sich während der Aufbereitung ergaben, wurden anschliessend im gemeinsamen Austausch mit den relevanten Stakeholdern seitens pharmaSuisse beantwortet. Kernpunkte der Gespräche waren dabei vor allem organisatorische und kulturelle Themen sowie die Umsetzungsmöglichkeiten in Bezug auf die Datensicherheit.

Um die Qualität des Dokuments sicherzustellen, war die Erarbeitungsphase begleitet von regelmässigen Abstimmungen zwischen den Projektleitern sowie beidseitige Qualitätskontrollen vor der Finalisierung des Datenschutzkonzepts.

“Dank des regelmässigen und unkomplizierten Austausches zwischen pharmaSuisse und Redguard konnte stets auf neu auftauchende und aktuelle Probleme eingegangen werden. Auch während des laufenden Projekts zeigte sich Redguard entgegenkommend, flexibel und jederzeit kompetent. Daher hat pharmaSuisse entschieden, auch bei der Umsetzung auf die Dienste von Redguard zurückzugreifen.”Samuel Dietrich, Jurist pharmaSuisse

Aufgrund der engen Zusammenarbeit, dem Engagement seitens pharmaSuisse und der raschen Klärung offener Punkte von beiden Seiten war nach Abschluss der initial vereinbarten Arbeiten noch Budget vorhanden. Dieses wurde in gegenseitiger Absprache weiterverwendet, um die Umsetzung einer ersten im Datenschutzkonzept definierten Massnahme in Angriff zu nehmen. Gemeinsam wurden so die Vorbereitungen für das Verzeichnis der Bearbeitungstätigkeiten gemäss Art. 12 des revidierten Datenschutzgesetzes gestartet.

Unsere Unterstützung

Wünschen auch Sie Unterstützung bei der proaktiven Umsetzung der neuen Anforderungen des Schweizer Datenschutzgesetzes? Unseren Fachspezialisten beraten und begleiten Sie gerne bei der Planung anstehender Datenschutz-Projekte sowie bei der Ausarbeitung der benötigten Dokumentation wie beispielsweise dem Datenschutzkonzept.


< zurück