
Interne Richtlinien zum Datenschutz
A. Vorwort
Uns, BRG Insurance Broker AG (nachfolgend auch „Arbeitgeberin“), ist der rechtmässige Umgang mit Personendaten wichtig.
Die Geschäftsleitung ist für die rechtmässige Datenbearbeitung von Personendaten verantwortlich und setzt die vorliegenden Richtlinien selbst um und stellt die konforme Datenbearbeitung durch Mitarbeitende sicher.
Romano Ratti wurde als interne datenschutzverantwortliche Person eingesetzt und agiert als interne als auch externe Kontaktperson bei datenschutzrechtlichen Anliegen.
B. Datenschutz
- Was sind Personendaten?
Alle Informationen, die einen Rückschluss auf eine bestimmte, natürliche Person ermöglichen, sind Personendaten (bspw. Name, Adresse, Geburtsdatum, IBAN-Nummer, Policen-Nummer, Sozialversicherungsnummer, Gesundheitsdaten, strafrechtliche Sanktionen, aber auch unter gewissen Umständen Geräte-ID und sonstige Gerätekennungsdaten).
- Was ist das Bearbeiten von Personendaten?
Jeder Umgang mit Personendaten, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten ist das Bearbeiten von Personendaten.
- Wann ist die Bearbeitung von Personendaten durch Mitarbeitende zulässig?
Personendaten dürfen von Mitarbeitenden nur bearbeitet werden, wenn die Bearbeitung im Zusammenhang mit der Erfüllung ihrer arbeitsvertraglichen Pflichten erfolgt. Weiterführende Datenbearbeitungen durch Mitarbeitende sind unzulässig.
Die Systemberechtigungen der Mitarbeitenden werden auf der Basis ihrer Funktionen festgelegt und durch technische und organisatorische oder Ausweitung der Berechtigung für einzelne Mitarbeitende ist jederzeit möglich.
- Wie werden die personenbezogenen Daten gespeichert und geschützt?
Die Arbeitgeberin ergreift technische und organisatorische Massnahmen zum Schutz der Daten. Dabei werden die Daten gegen Zerstörung, unerlaubten Zugriff, gesetzeswidrige Datenbearbeitungen und Verlust geschützt. Die ergriffenen Massnahmen werden mindestens einmal jährlich überprüft und wenn nötig angepasst.
Sobald der Zweck der Bearbeitung erreicht wurde, werden Personendaten gemäss den internen Löschrichtlinien vernichtet oder anonymisiert. Zuständig für die physische Vernichtung ist und für die elektronische Vernichtung ist der Datenschutzverantwortliche.
Ausgenommen von der Löschung sind Daten, die aufgrund gesetzlicher oder anderweitiger Aufbewahrungspflichten länger aufbewahrt werden müssen.
Geschäftsunterlagen müssen gemäss Art. 958f Abs. 1 OR für eine Zeitdauer von 10 Jahren aufbewahrt werden. Allgemeine Steuerunterlagen müssen gemäss Art. 70 Abs. 2 i.V.m. Art. 42 Abs. 6 MWSTG 10 Jahre aufbewahrt werden. Unterlagen, die Beweiszwecken dienen oder die aus anderen objektiven Gründen benötigt werden, müssen länger aufbewahrt werden.
- Welche personenbezogenen Daten werden bearbeitet?
Mitarbeitende dürfen nur diejenigen personenbezogenen Daten erheben und bearbeiten, die zur Zweckerfüllung notwendig sind (Datensparsamkeit).
Einige Datenbearbeitungen, wie diejenige der Archivierung, sind erforderlich, damit die Arbeitgeberin ihren gesetzlichen oder vertraglichen Verpflichtungen nachkommen kann.
- Was müssen Mitarbeitende bei der Bearbeitung von Personendaten sonst noch beachten?
Besteht das Mandat mit einem Unternehmenskunden, ist die direkte Kontaktaufnahme der Mitarbeitenden des Kunden nur zulässig, wenn dies für die Abwicklung des Versicherungsvertrages oder der Abklärung des Schadensfalls notwendig ist.
Werden Mitarbeitende des Unternehmenskunden zu anderen Zwecken, beispielsweise der Vermittlung von weiteren Versicherungen, direkt kontaktiert, muss sichergestellt sein, dass diese Personen in die Kontaktaufnahme eingewilligt haben.
- Wie gehen Mitarbeitende mit Gesuchen von betroffenen Personen um?
Betroffene Personen können gestützt auf das neue Schweizer Datenschutzgesetz die Auskunft, Herausgabe, Übertragung, Berichtigung oder Löschung ihrer Personendaten verlangen. Sie können ausserdem Widerspruch gegen widerrechtliche Bearbeitungen verlangen oder eine Einwilligung (bspw. Opt-In für einen Newsletter) widerrufen.
Sämtliche Briefe, Anrufe, E-Mails oder ähnliches, die solche Anliegen enthalten, werden umgehend an die datenschutzverantwortliche Person übermittelt. Sie ist ebenso zuständig für die Koordination und Beantwortung der Gesuche. Es werden keine Anfragen per Telefon beantwortet.
Gesuchen wird nur stattgegeben, wenn die betroffene Person einen geeigneten Identitätsnachweis erbracht hat und wenn keine gesetzlichen Aufschub-, Beschränkungs- oder Ausschlussgründe vorliegen.
Die Beantwortung der Gesuche hat grundsätzlich keine Kostenfolgen für die betroffenen Personen. Bei besonders umfangreichen Gesuchen kann indes eine Kostenbeteiligung von bis zu CHF 1’000.00 verlangt werden.
- Welche Meldepflichten haben Mitarbeitende?
Ein IT-Sicherheitsvorfall kann bspw. dann vorliegen, wenn ein Mitarbeitender eine URL in einer verdächtigen E-Mail anklickt, einen verdächtigen Anhang öffnet, Makros in Dokumenten ausführt, wenn Daten verschlüsselt sind, Zugangsdaten verloren oder weitergegeben werden, oder Personendaten an unbefugte Personen bekanntgegeben werden (bspw. Versand einer E-Mail an mehrere Empfänger, die sich nicht kennen, ohne Verwendung der Bcc-Funktion; telefonische Bekanntgabe von Personendaten ohne Überprüfung der Identität des Anrufers).
Mitarbeitende melden jeden Verdacht auf einen IT-Sicherheitsvorfall und jede Kenntnis davon umgehend an die datenschutzverantwortliche Person. Der Verlust von für geschäftliche Zwecke verwendete Geräte oder von physischen Unterlagen muss ebenfalls ohne Verzug gemeldet werden.
Sind Personendaten betroffen, gelangt die zuständige Person umgehend an die Geschäftsleitung, welche anschliessend über die interne und externe Kommunikation und eine allfällige Meldung an den Eidgenössischen Datenschutzbeauftragten und ggf. weitere Aufsichtsbehörden entscheidet.
- Welche Sanktionen können Mitarbeitenden auferlegt werden?
Alle Mitarbeitenden stellen sicher, dass alle Daten und Informationen, von denen Sie im Rahmen ihres Arbeitsverhältnisses Kenntnis erhalten, vertraulich behandelt werden. Verstossen Mitarbeitende gegen ihre Pflicht zur Vertraulichkeit, kann die Arbeitgeberin und/oder die von der Verletzung betroffene Person den Mitarbeitenden zur Verantwortung ziehen.
Mitarbeitende können sich bei einer vorsätzlichen Verletzung ihrer Pflichten strafbar machen (Verletzung des Berufs- bzw. Geschäftsgeheimnisses nach Art. 62 des schweizerischen Datenschutzgesetzes bzw. Art. 162 des schweizerischen Strafgesetzbuches)
C. Informationssicherheit
- Wie verwenden Mitarbeitende Informatikmittel?
Die Arbeitgeberin bewilligt den Mitarbeitenden das Einsetzen von Computer und andere IT-Infrastruktur zur Erfüllung der vertraglichen Pflichten. Damit der Datenschutz gewährleistet ist, müssen die Mitarbeitenden die folgenden Massnahmen umsetzen:
- Den Mitarbeitenden werden alle für die Erfüllung der vertraglichen Pflichten notwendigen Geräte, Netzwerke und Software zur Verfügung gestellt, resp. deren Einsatz bewilligt. Andere, nicht genehmigte Infrastruktur darf nicht für geschäftliche Zwecke genutzt werden.
- Private Geräte dürfen nur insoweit eine Bewilligung vorliegt für geschäftliche Zwecke verwendet werden.
- Grundeinstellungen in Geräten, Netzwerken oder Software dürfen von den Mitarbeitenden nicht verändert werden.
- Das für das Remote- oder Homeoffice verwendete Netzwerk (bspw. Handyhotsport) ist mit einem starken Passwort zu schützen. Öffentliche und nicht passwortgeschützte Netze dürfen nur über einen VPN verwendet werden.
- Der Support für IT-Infrastruktur wird durch die datenschutzverantwortliche Person gewährleistet.
- Mitarbeitende dürfen ohne Rücksprache mit der datenschutzverantwortlichen Person keine zusätzliche Software installieren.
- Wie werden Informationen durch Mitarbeitende geschützt?
1. Login-Daten
Der sorgfältige Umgang mit Login-Daten stellt einen wichtigen Teil der Datensicherheit dar. Mitarbeiter müssen folgende Regeln einhalten:
- Mitarbeitende sind verpflichtet, einzigartige und starke Passwörter zu wählen. Geschäftlich verwendete Passwörter und Benutzernamen dürfen nicht zu privaten Zwecken verwendet werden und keiner anderen Person zur Kenntnis gebracht werden.
- Passwörter dürfen nur für einen bestimmten Zugang verwendet werden.
- Es dürfen keine Passwörter notiert werden. Stellt die Arbeitgeberin Passwortlösungen bereit, ist der Mitarbeitende verpflichtet, diese zu nutzen.
2. Datenspeicherung
Geschäftliche Daten dürfen nur auf den Dateiablagesystemen gespeichert werden, die von der Arbeitgeberin zur Verfügung gestellt werden. Auf privaten Dateiablagesystemen oder Clouds dürfen keine geschäftlichen Daten gespeichert werden. Sollten E-Mail, Kalender oder andere Anwendungen auf privaten Geräten synchronisiert werden, müssen sie von allfälligen Cloudbackups ausgenommen werden.
3. Kommunikation
Personenbezogene Daten und geschäftliche Informationen, die als vertraulich gelten, müssen sicher kommuniziert werden. Mitarbeitende müssen daher die folgenden Vorgaben einhalten:
- Wenn Versicherungen Portale für den Upload von Informationen zur Verfügung stellen, müssen diese von den Mitarbeitenden genutzt werden.
- Werden besonders schützenswerte Personendaten oder vertrauliche Informationen per E-Mail verschickt, werden E-Mails End-zu-End verschlüsselt oder die Übermittlung erfolgt über einen verschlüsselten Link bzw. eine sichere Plattform.
- Ist eine sichere Übermittlung nicht möglich, wird eine schriftliche Bestätigung des Kunden eingeholt, wonach er mit einer gewöhnlichen Datenübermittlung (bspw. als E-Mailanhang) einverstanden ist.
- Werden besonders schützenswerte oder vertrauliche Informationen, namentlich Passwörter, per Post verschickt, werden die Unterlagen als Einschreiben/A-Post Plus verschickt.
- Mitarbeitende, die ausserhalb des Arbeitsplatzes telefonieren, stellen sicher, dass keine unbefugte Dritte Kenntnis von Personendaten oder Geschäftsgeheimnissen erhalten.
- Bei Videoanrufen dürfen keine unbeteiligten Dritte im Kamerafeld sichtbar sein. Aufnahmen dürfen nur bei vorgängiger Ankündigung erfolgen.
- Beim Teilen des Bildschirms müssen Mitarbeitende sicherstellen, dass unberechtigte Dritte keine Einsicht in geschäftliche Daten erhalten.
- Private Messenger-Dienste dürfen nicht zur geschäftlichen Kommunikation verwendet werden.
4. Clean Desk und Clear Screen Policy
Die Mitarbeitenden verfolgen eine Clean Desk und Clear Screen Policy und verpflichten sich zur Einhaltung der folgenden Vorgaben:
- Sie räumen am Ende des Tages oder bei längerer Abwesenheit alle Dokumente und Unterlagen weg.
- Nach Sitzungen werden alle Dokumente und Unterlagen aus dem Sitzungszimmer mitgenommen. Zudem werden Informationen auf Whiteboards und Flipcharts entfernt beziehungsweise vernichtet.
- Mitarbeitende, die den Arbeitsplatz verlassen, sperren alle Bildschirme oder loggen sich aus. Dies gilt auch für kurzfristige Abwesenheiten wie Kaffeepausen.
5. Zutritts- und Zugangsbeschränkung
Mitarbeitende dürfen unbefugten Dritten keinen Zutritt zu nicht öffentlichen Räumlichkeiten gewähren. Externe Personen ist es untersagt, sich ohne Begleitung in den nicht öffentlich zugänglichen Räumen aufzuhalten.
6. Wie wird der Schutz vor Malware gewährleistet?
Malware stellt ein hohes Sicherheitsrisiko für die Datensicherheit dar. Die Mitarbeitenden sind daher verpflichtet, die folgenden Vorgaben einzuhalten:
- Mitarbeitende dürfen installierte Software nicht deaktivieren oder umgehen.
- Mitarbeitende müssen alle offiziellen Aktualisierungen und Updates ohne Verzug installieren.
- Anhänge und Dokumente, die von unbekannten Absendern stammen, dürfen nicht geöffnet werden. Die Mitarbeitenden sind verpflichtet verdächtige E-Mails der datenschutzverantwortlichen Person zu melden.
- Links zu externen Webseiten dürfen nur angeklickt werden, wenn diese sicher sind.
- Es dürfen keine Dokumente oder Software von unbekannten Webseiten heruntergeladen werden.
- Mitarbeitende dürfen soweit möglich nur SSL-zertifizierte Webseiten besuchen.
- Es dürfen keine privaten E-Mails auf geschäftliche E-Mail-Adressen weitergeleitet werden.
7. Welche Vorgaben müssen Mitarbeitende bei der Internetnutzung einhalten?
Die Internetnutzung kann ein Risiko für die Datensicherheit darstellen. Mitarbeitende müssen daher die folgenden Regeln befolgen:
- Das Surfen im Internet und das Herunterladen von Dokumenten ist nur zu geschäftlichen Zwecken erlaubt.
- Der Besuch von Webseiten mit folgenden Inhalten ist verboten: pornografische, sexistische, rassistische oder gewaltverherrlichende Äusserungen bzw. Darstellungen; Pyramiden- und Schneeballsysteme; Terrorismusförderung und Finanzierung, Onlinecasinos; sonstige, rechtswidrige oder gegen die guten Sitten verstossende Inhalte.
- Geschäftliche Informationen dürfen nicht ins Internet hochgeladen werden, namentlich dürfen keine Inhalte in Gratisübersetzungstools oder Chatbots bzw. andere KI-Anwendungen eingegeben werden. Solche Tools können die eingegebenen Informationen ggf. wieder zum Trainieren ihrer Modelle und KI-Systeme verwenden.
D. Kontakt
Fragen oder Bemerkungen können an die datenschutzverantwortliche Person gerichtet werden:
Herr Romano Ratti, + 41 (0)61 706 77 88, romano.ratti@brg-broker.ch
E. Wirkung
Diese Richtlinie tritt mit Wirkung ab 01. September 2023 in Kraft.