Treuhand|Suisse, UP|DATE April 2023, 21. April 2023
Das revidierte Datenschutzgesetz tritt am 1. September 2023 in Kraft. Fast alle Unternehmen sind davon betroffen. Diese zwölf Stichworte erleichtern es Ihnen, die Vorbereitungen anzupacken.
Brauchen Sie eine Datenschutzerklärung für Ihre Website oder für die Kundenverträge? Sobald Sie Personendaten erfassen und bearbeiten, haben Sie eine Informationspflicht. Im Hinblick auf das neue Gesetz gehört das Ausarbeiten einer Datenschutzerklärung zu den Hauptaufgaben. Online finden Sie neben Informationen auch Vorlagen.
Wenn Sie Ihre Standards für die Datenbearbeitung festlegen, hilft Ihnen das intern, aber auch extern (behördliche Anfragen, Rechtsverfahren). Sie klären relevante Fragen wie «Wer hat Zugriff auf welche Daten?», «Wo müssen die Daten gespeichert werden?», «Welche Daten dürfen nur verschlüsselt verschickt werden?». Planen Sie dafür genügend Zeit ein und lassen Sie sich beraten.
Für Unternehmen mit mehr als 250 Mitarbeitenden ist ein solches Verzeichnis der Bearbeitungstätigkeiten obligatorisch. Aber es empfiehlt sich auch für kleinere Firmen. Damit lässt sich nachverfolgen, welche Datenkategorien wann, von wem und wie bearbeitet wurden.
Betroffene Personen (Kunden, Websitenutzer) können ein Auskunfts- oder Löschbegehren stellen. Weil die Fristen kurz sind, empfiehlt es sich, eine Vorlage bereitzuhalten.
Eine Datenschutzverletzung liegt vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Es gibt in diesem Zusammenhang Meldepflichten zuhanden des Eidgenössischen Datenschutzbeauftragten mit relativ kurzen Fristen, auf die man organisatorisch und technisch vorbereitet sein sollte.
Für viele Funktionen (E-Mail und Newsletter-Versand, Software in der Cloud, Videokonferenzen u. a.) werden Dienste von Dritten eingesetzt. Hier müssen Sie überprüfen, ob die Sicherheit der Daten gewährleistet ist. Ergänzen Sie in den Verträgen mit Ihren Subunternehmen Klauseln bezüglich Geheimhaltung, Datenbearbeitung oder Meldeverfahren.
Personendaten, die nicht mehr benötigt werden und für deren Bearbeitung kein Rechtfertigungsgrund nachgewiesen werden kann, müssen vom Unternehmen gelöscht werden. Dies müssen Sie in Ihren Prozessen berücksichtigen.
Die meisten Anbieter von Cloud- und Software-Services haben Server ausserhalb der Schweiz. Auf der Website des Eidg. Datenschutzbeauftragten finden Sie eine Liste der «sicheren Drittstaaten», die unproblematisch sind. Bei allen anderen Staaten und auch bei den USA benötigt es zusätzliche und spezifische Vertragsklauseln.
Lassen Sie Ihre IT-Infrastruktur überprüfen. Wo sind im Hinblick auf das neue Datenschutzgesetz zusätzliche Vorkehrungen nötig? Vergessen Sie aber nicht: Die Technik allein wird es nicht richten, die Schwachstelle beim Thema Cyberkriminalität ist oft der Mensch. Hier müssen Sie durch Informationen und mit organisatorischen Massnahmen (z. B. Passwortverwaltung) ansetzen.
Es gibt eine Reihe von Datenarten, die besonders heikel sind. Hierzu gehören Angaben zu Religion, Gesundheit, strafrechtlicher Verfolgung, Gewerkschaftszugehörigkeit, sexueller Orientierung, biometrische Daten u. a. Sie müssen speziell geschützt werden.
Mit dem Recht auf Datenherausgabe hat eine betroffene Person die Möglichkeit, ihre Personendaten in einem gängigen elektronischen Format herauszuverlangen oder einem Dritten übertragen zu lassen.
Ein Unternehmen muss Risiken durch seine Bearbeitung von Personendaten in jedem Fall einschätzen. Oft genügt eine intuitive Risikoeinschätzung. Für bestimmte Bearbeitungen (z. B. mit neuen Technologien oder mittels Profiling) sind aber vertiefte Überlegungen notwendig.
Umsetzung für die Firmenwebsite
Die meisten Unternehmen verfügen über eine Website. Sobald dort Nutzerdaten erfasst werden, braucht es zwingend eine Datenschutzerklärung.
Wenn man online etwas kauft, eine Offerte einholt, ein Abonnement abschliesst, sich für einen Newsletter registriert oder an einem Wettbewerb teilnimmt, gibt man dabei immer eine bestimmte Menge an persönlichen Daten preis: Name, Adresse, Telefon, Mailadresse, vielleicht Angaben zu Beruf, Geburtsdatum, Hobby oder zur familiären Situation. Solche Personendaten müssen ab 1. September 2023 besser vor Missbrauch geschützt werden.
Gefordert sind alle Firmen mit einer Website, auf der die Besucher und Nutzer Personendaten hinterlassen. Die Unternehmen müssen nicht nur die spezifischen Vorkehrungen für den bestmöglichen Schutz dieser Daten treffen (siehe vorangehenden Bericht), sondern unterliegen neu einer Informationspflicht. Ideal ist, wenn man die Website so einrichtet, dass der Hinweis auf die Datenschutzerklärung beim erstmaligen Aufrufen einer Website direkt erscheint und aktiv angenommen oder abgelehnt werden muss. Diese Datenschutzerklärung muss die Besucher und Nutzer der Website darüber ins Bild setzen, wie der Schutz von Personendaten gewährleistet wird. Also wie das Unternehmen diese erfasst, speichert, aufbewahrt, verwendet, allenfalls ändert oder an Dritte weitergibt. Gerade eine Weitergabe an Dritte erfolgt übrigens viel schneller, als man meint. Denn wer eine Website betreibt, nutzt fast immer die Dienste von Dritten, sei es für das Hosting oder indem man vorgefertigte externe Lösungen für den E-Mail-Versand, das Kontaktformular oder den Kundennewsletter nutzt.
Die wichtigen Elemente, die in eine Datenschutzerklärung gehören, sind vorgegeben. Sie beschreiben einerseits, was mit den Daten geschieht und welche Sicherungsmechanismen im Umgang damit bestehen. Sie machen aber auch transparent, wer für die Website verantwortlich ist und wen man als Nutzer bei Bedarf kontaktieren kann. Letzteres ist insofern wichtig, weil Nutzer ein Anrecht darauf haben, Auskunft über den Umgang mit ihren Daten oder auch die Löschung zu verlangen. Im Umgang mit solchen Auskunftsbegehren ist rasches und sorgfältiges Handeln nötig. Auch für diesen Fall rüstet man sich idealerweise schon vorab.
Gerne geben wir Ihnen weitere Auskünfte.
Nicolas Lucy
+41 56 483 05 64
nicolas.lucy@huessergmuer.ch