Am 1. September 2023 tritt das neue Datenschutzgesetz (DSG) in Kraft. Dieser Beitrag gibt eine kurze Zusammenfassung über alle Neuerungen, ersetzt aber keineswegs offizielle Meldungen des EDÖB oder eine Rechtsberatung.
Wieso gibt es ein neues Datenschutzgesetz?
Seit der Einführung des Datenschutzgesetzes im Jahr 1992 haben sich Technologien stark verändert - die Nutzung des Internets und Smartphones sind aus dem Alltag der Bevölkerung nicht mehr wegzudenken. Dabei hinterlassen Nutzer digitale Informationen zu ihrer Person. Aus diesem Grund ist es notwendig, das Datenschutzgesetz zu erneuern und eine Balance zwischen dem Fortschritt der Technologien und dem Schutz der individuellen Privatsphäre zu wahren.
Was ist das Datenschutzgesetz?
Nach dem DSG Art. 1 sollen Persönlichkeit und Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden, geschützt werden.
Personendaten sind «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen» (Art. 5).
Das DSG schützt also Informationen von Privatpersonen. Solche Informationen sind zum Beispiel Namen und Kontaktinformationen einer Person aber auch ihre IP-Adresse und Online-Tracking-Daten. Neu definiert das DSG biometrische und genetische Daten als besonders schützenswert.
Bearbeiten umfasst «jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten». Die Bearbeitung muss verhältnismässig sein, d.h. in einem angemessenen Verhältnis zu ihrem Bearbeitungszweck stehen. Entfällt der Bearbeitungszweck, sind die Daten zu anonymisieren oder zu vernichten.
Sowohl der Verantwortliche als auch der Auftragsbearbeiter haben den Datenschutz zu beachten. Als Verantwortlicher gilt eine «private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet» und als Auftragsbearbeiter «Private Person oder Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet».
Was muss ich als Verantwortlicher beachten?
1. Informationspflicht
Nach dem DSG ist der Verantwortliche verpflichtet, die betroffene Person über die Beschaffung ihrer Personendaten im Vorfeld angemessen zu informieren. Je nach betroffenen Personenkreis und Sachverhalt kann die Mitteilung über eine Datenschutzerklärung auf der Unternehmenswebsite erfolgen, oder bei betroffenen Mitarbeiterdaten in einem Personalreglement.
Der Umfang der Informationen umfasst:
- Identität und Kontaktdaten des Verantwortlichen
- Falls vorhanden: Identität und Adresse von Auftragsbearbeitern
- Zu welchem Zweck die Personendaten bearbeitet werden
- Falls die Daten ins Ausland gehen: Der Empfängerstaat und mögliche Garantien, dass die betroffenen Personendaten nach der Übermittlung geschützt bleiben.
Weitere Informationen sind zudem von der Art der bearbeiteten Personendaten sowie Umfang der Bearbeitung abhängig. So ist es zum Beispiel möglich, dass über die Dauer der Bearbeitung oder die Anonymisierung von Daten informiert werden muss.
>> Prüfen Sie Ihre Datenschutzerklärung und Personalreglemente. Dokumentieren Sie den Transfer von Personendaten ins Ausland. Regeln Sie Datenschutzklauseln in Verträge mit Auftragsbearbeitenden. Hier können Sie in wenigen Schritten einen Auftragsverarbeitungsvertrag mit der Infoniqa Schweiz AG erstellen.
2. Auskunftsrecht
Jede Person kann vom Verantwortlichen Auskunft über die Datenbearbeitung verlangen. Neben den Informationen unter dem Punkt 1 «Informationspflicht» sind auch Art der Personendaten und Dauer der Aufbewahrung mitzuteilen. Zudem sind Dabei ist innert 30 Tagen Auskunft zu geben.
>> Definieren Sie interne Prozesse und Unterlagen, um der Auskunftsplicht nachzukommen. Musterformulare sind im Internet zu finden.
3. Verzeichnis von Bearbeitungstätigkeiten
Sowohl der Verantwortliche als auch der Auftragsbearbeiter müssen ab 250 Mitarbeitenden ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Auf Anfrage des EDÖB ist ein solches Verzeichnis nachweisen.
>> Erstellen Sie ein Bearbeitungsverzeichnis. Es hilft zudem, den Überblick der Daten zu behalten und evtl. Regelungen mit Auftragsbearbeitern zu treffen. Hier können Sie in wenigen Schritten einen Auftragsverarbeitungsvertrag mit der Infoniqa Schweiz AG erstellen.
4. Datenschutzprinzipien bei der Entwicklung (Privacy by Design)
Neu sind Unternehmen verpflichtet, die Grundsätze der Datenverarbeitung bereits bei der Planung und Gestaltung von Produkten zu berücksichtigen. Es sind datenschutzkonforme Voreinstellungen einzubauen.
>> Berücksichtigen Sie bei der Entwicklung und Einführung von Softwareprodukten und Applikationen die Datenschutzprinzipien.
5. Verantwortung für die Richtigkeit der Personendaten
Es müssen alle angemessenen Massnahmen getroffen werden, damit Daten berichtigt, gelöscht oder vernichtet werden.
>> Legen Sie Löschungsfristen fest und etablieren Sie Prozesse, die eine Löschung von Daten nach der Bearbeitungsfrist ermöglichen.
5. Meldepflicht bei Verletzung der Datensicherheit
Eine rasche Meldung ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
>> Klären Sie mit Ihrem Datenschutzbeauftragten und Mitarbeitenden Prozesse zur Mitteilung von Datenlecks an https://databreach.edoeb.admin.ch/report.
Weiterführende Informationen:
Öffentliche Informationen auf den Seiten des EDÖB:
Links Infoniqa Schweiz AG