Durch die schnell voranschreitende Technologie wird die Datenschutzthematik auch in der Schweiz immer wichtiger. Am 1. September 2023 tritt in der Schweiz eine Revision des Datenschutzgesetzes in Kraft und sieht dabei keine Übergangsfrist vor. Die vorliegende Bachelor Thesis verfolgt das Ziel, ein mittelständisches IT-Unternehmen betreffend datenschutzrechtlicher Anforderungen zu analysieren. Die Fragestellung dabei lautet: «Wie geht das Unternehmen mit Personendaten im CRM-System um, vor dem Hintergrund datenschutzrechtlicher Anforderungen?»

Mittels einem SOLL-Zustand wird dargestellt, wie die rechtlichen Bedingungen sind. Anhand unterschiedlichen Interviews wurden Informationen bezüglich dem IST-Zustand des Unternehmens eingeholt. Dabei wurden technische sowie organisatorische Fragen gestellt und Zugangs- und Zugriffsrechte im CRM-System erörtert. Damit die anschliessende Gegenüberstellung vom SOLL- und IST-Zustand klar und deutlich macht, in welchen Bereichen die Stärken und Schwächen sowie die Chancen und Risiken liegen, wurde die SWOT-Analyse miteinbezogen.

Die Hauptergebnisse verdeutlichen, dass die Mitarbeitenden der Schlüssel zum Erfolg sind. Aus diesem Grund wurden besondere Empfehlungen in diesem Bereich getätigt. Es ist wichtig, dass Mitarbeitende sich an die internen Richtlinien halten, welche niedergeschrieben sind. Das Unternehmen muss sicherstellen, dass die Inhalte der Richtlinien in Form einer Schulung an die Mitarbeitenden vermittelt werden. Jegliche Durchführung einer Schulung und der Stand sollen dokumentiert werden. Somit erreicht das Unternehmen eine Standardisierung der wichtigsten Prozesse und erleichtert neuen Mitarbeitenden den Zugang zu diesem Wissen. Im Gegenzug kann es zu Verstösse gegen Verhaltensgrundsätze und für die Mitarbeitenden zu arbeitsrechtlichen Konsequenzen führen. Das Verzeichnis der Bearbeitungstätigkeiten, welches mit der Revision des Datenschutzgesetzes für einige Unternehmen obligatorisch wird, ist zum heutigen Zeitpunkt im Unternehmen noch nicht vorhanden. Da das Unternehmen weniger als 250 Mitarbeitende beschäftigt, kann es eine Ausnahme darstellen, sofern kein Risiko für die Verletzung der Persönlichkeit besteht.