AEW Data Policy
30. September 2022
1. Ziel und Zweck
1.1 Die vorliegende Data Policy bezweckt den Schutz der Persönlichkeit und der Grundrechte der Mitarbeitenden, Kunden, Stellenbewerbenden, Geschäftspartner und Lieferanten innerhalb der AEW Energie AG (nachfolgend die «AEW» genannt) über die Personendaten bearbeitet werden. Dabei sollen missbräuchliche Datenbearbeitungen und Verletzungen von Persönlichkeitsrechten verhindert werden.
1.2 Die vorliegende Data Policy berücksichtigt die Branchenempfehlung «Data Policy in der Energiebranche. Rahmenwerk für den gesamtheitlichen Umgang mit Daten in der Energiebranche (Ausgabe März 2022)» des Verbands Schweizerischer Elektrizitätsunternehmen VSE sowie die darin referenzierten Dokumente und bildet die Grundlage der Datenschutzweisung der AEW.
1.3 Mit dem Erlass der vorliegenden Data Policy und der darauf beruhenden Weisungen sollen folgende Ziele erreicht werden:
- Schaffung eines einheitlichen Mindeststandards im Umgang mit Personendaten innerhalb der AEW;
- Schutz der Persönlichkeitsrechte und der Privatsphäre der Mitarbeitenden, Kunden, Geschäftspartner, Lieferanten und Stellenbewerbenden;
- Erreichen eines angemessenen Datenschutzniveaus gemäss den gesetzlichen und internen Anforderungen;
- verbindliche Festlegung der Verantwortlichkeiten.
2. Rechtsgrundlagen
Die vorliegende Data Policy beruht auf folgenden Rechtsgrundlagen:
- dem schweizerischen Bundesgesetz über den Datenschutz (DSG; SR 235.1) sowie die Verordnung zum Bundesgesetz über den Datenschutz (VDSG; SR 235.11);
- dem Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (IDAG; SAR; 150.700);
- der Verordnung zum Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (VIDAG; SAR 150.711);
- der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; DSGVO; ABl. L 119, 04.05.2016), soweit anwendbar;
- den spezialgesetzlichen Regelungen, so etwa das Bundesgesetz über die Stromversorgung (Stromversorgungsgesetz, StromVG; SR 734.7) und der Stromversorgungsverordnung (StromVV; SR 734.71).
3. Geltungsbereich
3.1 Die vorliegende Data Policy gilt für alle Organe und Mitarbeitenden der AEW, die im Rahmen der Erfüllung ihrer Aufgaben Zugang zu Personendaten haben.
3.2 Die vorliegende Data Policy gilt ebenfalls für externe Personen und Firmen, die im Auftrag der AEW tätig sind. Diese werden durch entsprechende Vereinbarungen schriftlich zu deren Einhaltung verpflichtet.
4. Datenschutzziele
4.1 Schutz der Persönlichkeit:
Das Hauptziel des Datenschutzes ist der Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten.
Aus diesem Hauptziel lassen sich folgende Teilziele ableiten:
- restriktive Bearbeitung von Personendaten nach dem Gesichtspunkt des Datenschutzes;
- Transparenz und Kontrollierbarkeit (der Personendaten) für interne und externe Kontrollinstanzen sowie für die Betroffenen.
4.2 Unternehmensweiter Datenschutz
Innerhalb der AEW wird bei der Bearbeitung von Personendaten ein einheitliches Datenschutzniveau eingehalten und es werden damit folgende Ziele verfolgt:
- der Datenschutz wird bei allen von der AEW angebotenen Dienstleistungen eingehalten;
- Personendaten werden transparent und nachvollziehbar sowie nur unter Einhaltung der relevanten gesetzlichen Vorschriften bearbeitet;
- Imageschäden durch Datenschutzvorfälle werden verhindert;
- Verletzungen der relevanten Datenschutzbestimmungen werden vermieden;
- alle Mitarbeitenden, Partner und Lieferanten der AEW kennen ihre Eigenverantwortlichkeit in Bezug auf den Datenschutz und verpflichten sich, diese wahrzunehmen.
4.3 Datensicherheit
Die AEW ergreift alle notwendigen Vorkehrungen, um Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten zu schützen.
5. Datenschutzorganisation
5.1 Verwaltungsrat
Der Verwaltungsrat genehmigt die vorliegende Data Policy und beauftragt die Geschäftsleitung mit deren Umsetzung.
5.2 Geschäftsleitung
Die Geschäftsleitung erlässt die vorliegende Data Policy und die sich daraus ableitenden Dokumente. Sie überprüft sie periodisch.
5.3 Betriebliche Datenschutzberaterin
Die betriebliche Datenschutzberaterin unterstützt die AEW bei der Durchsetzung und Umsetzung der Datenschutzbestimmungen.
5.4 Datenschutzkoordinationsstelle
Die Datenschutzkoordinationsstelle ist die Ansprechstelle für den Datenschutz bei der AEW. Sie ist für die Durchsetzung und Einhaltung der Datenschutzbestimmungen zuständig. Sie unterstützt die betriebliche Datenschutzberaterin hinsichtlich ihrer datenschutzrechtlichen Pflichten. Die Datenschutzkoordinationsstelle sensibilisiert und schult die Mitarbeitenden im Hinblick auf die datenschutzkonforme Bearbeitung von Personendaten.
5.5 Personalabteilung
Die Personalabteilung ist zuständig für die sorgfältige und datenschutzkonforme Bearbeitung der Personaldaten.
5.6 Informatik
Die Informatik ist zuständig, für die Umsetzung der technischen Massnahmen im Bereich der IT-Systeme. Dabei unterstützt sie insbesondere die Informatik- und Businessverantwortlichen. Sie arbeitet eng mit der betrieblichen Datenschutzberaterin und der Datenschutzkoordinationsstelle zusammen.
5.7 Vorgesetzte
Die Vorgesetzten sind in ihren Verantwortungsbereichen zuständig für die Einhaltung und Durchsetzung des Datenschutzes.
5.8 Mitarbeitende
Die Mitarbeitenden sind in ihren Verantwortungsbereichen zuständig für die Umsetzung und Einhaltung des Datenschutzes. Bei Verdacht eines Datenschutzvorfalls (z. B. dass Personendaten unter Verletzung gesetzlicher Datenschutzbestimmungen verwendet wurden oder die Sicherheit von Systemen, welche Personendaten enthalten, nicht mehr gewährleistet ist) benachrichtigen sie die Datenschutzkoordinationsstelle.
6. Audits und Reporting
Audits und Reporting stellen sicher, dass die vorliegende Data Policy und die von ihr abgeleiteten Vorgaben eingehalten werden.
