Auf den 1. September 2023 tritt in der Schweiz das neue Datenschutzgesetz (nDSG) in Kraft. Es ändern sich unter anderem wichtige Bestimmungen im Umgang mit Daten und soll betroffenen Personen mehr Transparenz und damit eine Stärkung ihrer Rechte geben. Was bedeutet das für KUs wie Gewerbe und Handwerk?
Das Gesetz verlangt einen sachgerechten Umgang mit Personendaten und zudem Transparenz darüber, wie Sie mit den Daten umgehen.
Wenn Sie mit dem bisherigen Datenschutzgesetz einigermassen konform sind, haben Sie für die Anwendung der neuen Richtlinien eine gute Basis geschaffen.
Worin unterscheiden sich das revDSG mit dem Datenschutzgesetz aus dem Jahr 1992?
Das neue DSG 1 beschränkt sich auf den Datenschutz natürlicher Personen – statt wie bisher auch auf Daten juristischer Personen. Bedeutend sind vor allem die Informationsplicht und die Datensicherheit:
- Transparenz – Der Kunde muss nachvollziehen können, welche Daten weshalb und wozu genutzt werden und auch wissen, wohin diese Daten übermittelt werden.
- Kontrolle – Technische und organisatorische Massnahmen zur Gewährleistung der Datensicherheit (Art. 8 nDSG): Vertraulichkeit, Integrität und Verfügbarkeit der gespeicherten Personendaten angemessen sicherstellen.
Des Weiteren gibt es im Datenschutzrecht eine Regelung für die Weitergaben der Daten ins Ausland (Art. 16 Abs. 1 nDSG). Das ist besonders von Bedeutung, sofern das Importland nicht über ein angemessenes datenschutzrechtliches Schutzniveau aufweist.
Das revDSG behebt auch Schwächen des jetzigen Datenschutzrechts auf Grund technologischer Entwicklung.
Der Artikel-Inhalt ist keine Rechtsberatung, sondern stellt die Situation dar oder zeigt mein punktuelles Vorgehen bei Kundenaufträgen. Die Angaben haben einen informativen Charakter und dienen Informationszwecken.
nDSG: Was gibt es zu tun?
Oft liegt die Auffassung vor, eine Datenschutzerklärung genüge der nDSG Pflicht. Das Datenschutzrecht sieht für Unternehmen hingegen sehr viele Pflichten vor. Unternehmen haben in erster Linie eine Reihe von organisatorischen Massnahmen zu erfüllen, die den Datenschutz sicherstellen sollen. Die Datenschutzerklärung informiert gegen aussen Ihr Verhalten im Umgang mit Personendaten nach DSG.
Auch Unternehmen ohne Website benötigen eine Datenschutzerklärung, sofern Personendaten wie Adressen, Telefonnummern bearbeitet werden (digital, schriftlich). Das Bedeutet im Umkehr, das Verfahren des nDSG findet seine Anwendung auch ausserhalb einer Website.
Verzeichnis der Bearbeitungstätigkeiten
Die meisten KU werden nicht verpflichtet sein, ein Bearbeitungsverzeichnis gemäss Art. 12 nDSG zu führen (KMU-Ausnahme). Dennoch ist es geboten, ein entsprechendes Verzeichnis zu führen, auch wenn die gesetzliche Pflicht nicht trifft.
Ein Bearbeitungsverzeichnis verschafft dem Unternehmen einen Überblick:
- Zu wissen, wie Personendaten bearbeitet werden
- Die Bearbeitungsvorgänge lassen sich nachvollziehen (Kontrolle und Transparenz).
Das Verzeichnis ist eine unterstützende Grundlage zur Ausübung aller Regeln und Pflichten. Darüber hinaus schaffen Sie mit dem Inventar gegenüber betroffenen Personen eine weitgehende Transparenz bei der Datenbearbeitung.
Bei der Beurteilung muss in jedem Fall aufgrund der Situation des Unternehmens individuell beurteilt und entschieden werden.
1. Identifizieren/Erkennen
Eine Bestandsaufnahme um zu wissen, wo welche Aufgaben anstehen. Beginnen Sie jetzt mit dem Bearbeitungsverzeichnis.
- Werden personenbezogene Daten 2 erhoben und/oder verarbeitet?
- Technische Kenntnisnahme und Identifikation der Systeme inklusive Prüfung der eigenen Website: eingesetzte Anwendungen, Plattformen, verbundene Tools, Kommunikationsmedien etc.
2. Anpassen, Datenschutz gewähren
Die eigene Website nach Möglichkeit anpassen, um die Erhebung von personenbezogenen Daten zu vermeiden.
Die Website technisch up-to-date bringen, um Personendaten sicher zu verarbeiten. Die Website (auch App) ist so zu konfigurieren, dass Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist (Privacy by Default, Einstellungen Datenschutz).
Werden Dritte mit der «simplen» Bearbeitung von Daten anvertraut (Outsourcing, Web-Provider, Cloud etc), ist vorzugsweise ein Auftragsverarbeitungsvertrag 3 (AVV) abzuschliessen.
Gehen Daten ins Ausland? Prüfung, ob der Drittstaat über ein gleichwertiges Datenschutzniveau verfügt.
3. Datenschutzerklärung bereitstellen
Mit der Datenschutzerklärung kommen Sie der Informationspflicht nach beziehungsweise betroffene Personen werden darüber informiert, welche Personendaten von ihnen beschafft und bearbeitet werden.
Zum Mindestinhalt gehören nebst den Angaben zu den Bearbeitungszwecken auch die Identität und Kontakt des Verantwortlichen.
- Wozu die Daten beschafft werden
- An wen welche Daten weiter gehen können (Kategorie von Empfängern/eingesetzte Dienste und Dienstanbieter), sowie in welche Länder oder Regionen
In der Regel genügen die Mindestinformationen. Es bietet sich überdies an, über die Betroffenenrechte zu informieren (Rechte und Ansprüche).
Ereignis Auskunftsrecht und Meldepflicht
Wie reagieren Sie auf Eingabe eines Kunden und wie bei Vorfällen? Organisieren Sie sich, um rasch auf Fragen und Ereignisse zu reagieren zu können. Das Bearbeitungsverzeichnis dient auch hier
Betroffenen ihre Rechte gewähren (Auskunftsrecht)
Auf Anfrage geben Sie der Person in der Regel inner 30 Tagen Auskunft über ihre eigenen Personendaten. Jede Person kann:
- eine Datenkorrektur,
- die Datenherausgabe & Datenübertragung – und
- eine Löschung ihrer Daten
verlangen, sofern sich dies in einem verhältnismässigen Aufwand bewegt (Art. 29 DSG).
Meldepflicht bei Verletzung der Datensicherheit
Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
Verweis, weiterführende Links
Quellen: Internet
- 1 Neues Datenschutzgesetz revDSG (KMU-Portal: kmu.admin.ch)
- 2 Was sind Personendaten? (Datenschutzbeauftragter des Kanton Basel-Stadt)
- 3 Der Auftragsverarbeitungsvertrag beim Outsourcing von Tätigkeiten (Kaufmann Rüedi Rechtsanwälte AG, Luzern)
Gesetzestexte
- Datenschutzgesetz, DSG ab 1. September 2023 (fedlex.admin.ch)
- Strafbestimmungen, DSG (edoeb.admin.ch)
- Datenschutz Gesetzestexte (Rentsch Partner AG, Zürich)
nDSG Check Up
DSG, Bearbeitungsverzeichnis, Indentifizieren etc. – ich begleite Sie unterstützend bei der Umsetzung.
Ich analysiere Ihre Website und erstelle eine qualitative Checkliste mit Handlungsempfehlungen zu DSG-relevanten Themen:
- Datenerhebung: Tracking, Cookies, Formulare
- Drittbeteiligte: Provider, Tools, Plugins
- E-Mail-Marketing, Newsletter
Preis
375 Franken (1 KU-Unternehmenswebsite, ohne E-Shop)
Zu den Handlungsempfehlungen für Ihre Website erhalten Sie zudem das erstellte Bearbeitungsverzeichnis zur Nutzung für die Inventarisierung für weitere systemunterstützende Bearbeitungsvorgänge sowie ein Muster zur Erstellung einer Datenschutzerklärung. Erstgespräch und Abschlussgespräch inklusive.
Für Selbermacher
Das Bearbeitungsverzeichnis gibt es auch als Vorlage inklusive Fallbeispielen, Text-Erläuterungen und Grafiken. Preis: 65 Franken. (Inhaltsverzeichnis anschauen)