a5328
a5329

AEW Data Policy

18. März 2020

a5327

1. Ziel und Zweck

1.1 Die vorliegende Data Policy bezweckt den Schutz der Persönlichkeit und der Grundrechte der Mitarbeitenden, Kunden, Stellenbewerbenden, Geschäftspartner und Lieferanten innerhalb der AEW Energie AG (nachfolgend die «AEW» genannt) über die Personendaten bearbeitet werden. Dabei sollen missbräuchliche Datenbearbeitungen und Verletzungen von Persönlichkeitsrechten verhindert werden.

1.2 Die vorliegende Data Policy berücksichtigt die Branchenempfehlung «Data Policy in der Energiebranche. Rahmenwerk für den gesamtheitlichen Umgang mit Daten in der Energiebranche (Ausgabe Juli 2019)» des Verbands Schweizerischer Elektrizitätsunternehmen VSE sowie die darin referenzierten Dokumente und bildet die Grundlage der Datenschutzweisung der AEW.

1.3 Mit dem Erlass der vorliegenden Data Policy und der darauf beruhenden Weisungen sollen folgende Ziele erreicht werden:

  • Schaffung eines einheitlichen Mindeststandards im Umgang mit Personendaten innerhalb der AEW;
  • Schutz der Persönlichkeitsrechte und der Privatsphäre der Mitarbeitenden, Kunden, Geschäftspartner, Lieferanten und Stellenbewerbenden;
  • Erreichen eines angemessenen Datenschutzes gemäss den gesetzlichen und internen Anforderungen;
  • verbindliche Festlegung der Verantwortlichkeiten.


2.    Rechtsgrundlagen

Die vorliegende Data Policy beruht auf folgenden Rechtsgrundlagen:

  • dem schweizerischen Bundesgesetz über den Datenschutz
  • (DSG; SR 235.1) sowie die Verordnung zum Bundesgesetz über den Datenschutz (VDSG; SR 235.11);
  • dem Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (IDAG; SAR; 150.700);
  • der Verordnung zum Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (VIDAG; SAR 150.711);
  • der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung; DSGVO; ABl. L 119, 04.05.2016), soweit anwendbar;
  • den spezialgesetzlichen Regelungen, so etwa das Bundesgesetz über die Stromversorgung (Stromversorgungsgesetz, StromVG; SR 734.7) und der Stromversorgungsverordnung (StromVV; SR 734.71).

3.    Geltungsbereich

3.1 Die vorliegende Data Policy gilt für alle Organe und Mitarbeitenden der AEW, die im Rahmen der Erfüllung ihrer Aufgaben Zugang zu Personendaten haben.

3.2 Die vorliegende Data Policy gilt ebenfalls für externe Personen und Firmen, die im Auftrag der AEW tätig sind. Diese werden durch entsprechende Vereinbarungen schriftlich zu deren Einhaltung verpflichtet.

4.    Datenschutzziele

4.1 Schutz der Persönlichkeit:

Das Hauptziel des Datenschutzes ist der Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten.
Aus diesem Hauptziel lassen sich folgende drei Teilziele ableiten:

  • restriktive Bearbeitung von Personendaten nach dem Gesichtspunkt des Datenschutzes;
  • Transparenz und Kontrollierbarkeit für interne und externe Kontrollinstanzen;
  • Transparenz und Kontrollierbarkeit (der Daten) für die Betroffenen.
     

4.2 Unternehmensweiter Datenschutz

Innerhalb der AEW wird bei der Bearbeitung von Personendaten ein einheitliches Datenschutzniveau eingehalten und es werden damit folgende Ziele verfolgt:

  • die Vereinbarungen/Verträge mit den Kunden in Bezug auf den Datenschutz werden bei allen von der AEW angebotenen Dienstleistungen permanent eingehalten;
  • Personendaten werden transparent und nachvollziehbar sowie nur unter Einhaltung der relevanten gesetzlichen Vorschriften bearbeitet;
  • Imageschäden durch Datenschutzvorfälle werden verhindert;
  • Verletzungen der relevanten Datenschutzbestimmungen
  • werden vermieden;
  • Alle Mitarbeitenden, Partner und Lieferanten der AEW kennen ihre Eigenverantwortlichkeit in Bezug auf den Datenschutz und verpflichten sich, diese wahrzunehmen.
     

4.3 Datensicherheit

Die AEW ergreift alle notwendigen Vorkehrungen, um Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten zu schützen.


5.    Datenschutzorganisation

5.1 Verwaltungsrat

Der Verwaltungsrat genehmigt die vorliegende Data Policy und beauftragt die Geschäftsleitung mit deren Umsetzung.

5.2 Geschäftsleitung

Die Geschäftsleitung erlässt die vorliegende Data Policy und die sich daraus ableitenden Dokumente. Sie überprüft sie periodisch.

5.3 Betrieblicher Datenschutzbeauftragter

Der betriebliche Datenschutzbeauftragte unterstützt die AEW bei der Durchsetzung und Umsetzung des Datenschutzes.

5.4 Datenschutzkoordinationsstelle

Die Datenschutzkoordinationsstelle ist die Ansprechstelle für den Datenschutz bei der AEW. Sie ist für die Durchsetzung und Einhaltung des Datenschutzes zuständig. Sie unterstützt den betrieblichen Datenschutzbeauftragten hinsichtlich seiner datenschutzrechtlichen Pflichten. Die Datenschutzkoordinationsstelle sensibilisiert und schult die Mitarbeitenden im Hinblick auf die datenschutzkonforme Bearbeitung von Personendaten.

5.5 Personalabteilung

Die Personalabteilung ist zuständig für die sorgfältige und datenschutzkonforme Bearbeitung der Personaldaten.

5.6 Informatik

Die Informatik ist zuständig, für die Umsetzung der technischen Massahmen im Bereich der IT-Systeme. Dabei unterstützt sie insbesondere die Informatik- und Business- verantwortlichen. Sie arbeitet eng mit dem betrieblichen Datenschutzbeauftragen zusammen.

5.7 Vorgesetzte

Die Vorgesetzten sind in ihren Verantwortungsbereichen zuständig für die Einhaltung und Durchsetzung des Datenschutzes.

5.8 Mitarbeitende

Die Mitarbeitenden sind in ihren Verantwortungsbereichen zuständig für die Umsetzung und Einhaltung des Datenschutzes. Bei Verdacht eines Datenschutzvorfalls (z. B. dass Personendaten unter Verletzung gesetzlicher Datenschutzbestimmungen verwendet wurden oder die Sicherheit von Systemen, welche Personendaten enthalten, nicht mehr gewährleistet ist) benachrichtigen sie die Datenschutzkoordinationsstelle.


6.    Audits und Reporting

Der betriebliche Datenschutzbeauftragte ist zuständig für die Durchführung regelmässiger Audits. Regelmässige Audits sollen sicherstellen, dass die vorliegende Data Policy und die von ihr abgeleiteten Dokumente eingehalten werden.