Datenschutz: einfach und pragmatisch
Alles neu per 1. September 2023? Nein, das neue Datenschutzgesetz, welches per 1. September 2023 in Kraft tritt, krempelt nicht alles um. Die meisten Unternehmen müssen sich allerdings Gedanken über den Datenschutz machen. Wer seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) bereits Anpassungen vorgenommen hat, muss nicht mehr ganz so viel machen.
Übertriebene Überreglementierung oder sinnvoller Datenschutz?
Vor dem digitalen Zeitalter war das Datenmanagement viel einfacher und vor allem pragmatischer. Die Archive wurden regelmässig durchforstet; was man nicht mehr aufbewahren musste, wurde aus Platzgründen entsorgt. Ein Bewerbungsdossier, welches man per Post erhalten hat, wurde entweder retourniert oder vernichtet, wenn die Person nicht in Frage gekommen ist. Seit wir diese Daten digital haben, halten wir uns nicht mehr an die einfachsten Regeln. Wir horten alles, versenden Daten per Mail, gewähren Personen Zugang zu sensiblen Daten, die keinen Zugang haben sollten, speichern nicht mehr benötigte Daten usw. Es ist also an der Zeit, dass wir gewisse Handlungsweisen überdenken und Daten ausmisten, die wir nicht mehr benötigen. Gleichzeitig wird Ihr Unternehmen für den aktuellen Datenschutz fit gemacht.
Muss ich etwas tun?
Um das herauszufinden, gilt es einige Fragen zu beantworten:
- Werden Personendaten bearbeitet (beispielsweise Namen, Adressen, sexuelle Ausrichtung, die persönliche Geschäftsmail, nicht info@unternehmen.ch)?
- Arbeiten mehr als 250 Personen im Unternehmen (Vollzeitstellen)?
- Werden besonders schützenswerte Personendaten bearbeitet (Gesundheit, Religion etc.)?
- Kann die Persönlichkeit der betroffenen Personen verletzt werden?
Nur wenn Frage 1 mit JA beantwortet wird, besteht allenfalls Handlungsbedarf.
Wesentliche Neuerungen sind:
- Nur noch (Personen-)Daten von natürlichen Personen sind betroffen
- Umfassende Informationspflicht im Voraus über jede Bearbeitung
- Zweckbeschreibung
- Bussenmöglichkeit
- Weitergabe der Daten, auch ins Ausland ausserhalb der EU (EWR)
- Prozess bei Betroffenenrechten
- Rasche Meldung bei Datenschutzverletzung
Personendaten
Jede Art von Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Identifizierbar ist die natürliche Person, wenn sich aus den vorhandenen Informationen Rückschlüsse auf die Identität der Person ziehen lassen (beispielsweise vollständiger Name, Privatadresse, Ausweisnummer, persönliche E-Mail-Adresse, Standort etc.).
Informationspflicht
Neu sind alle Betroffenen über jede Datenbearbeitung ihrer Personendaten im Voraus zu informieren. Ebenso muss der Bearbeitungszweck um- bzw. beschrieben werden. Die vorsätzliche Pflichtverletzung kann gebüsst werden.
Der Informationspflicht wird primär mittels (interner und externer) Datenschutzerklärung begegnet. Nicht nur Ihre Kundinnen und Kunden müssen wissen, was mit Ihren Personendaten geschieht. Auch Ihre Mitarbeiter:innen müssen sich der Datenbearbeitung bewusst sein.
Bussenmöglichkeit
Nichtstun kann teuer werden. Das neue Datenschutzgesetz sieht nicht einfach Bussen für Unternehmen vor, sondern auch für natürliche Personen, welche in den Unternehmen arbeiten und Verantwortung tragen (primär die Geschäftsleitung). Die Busse kann maximal CHF 250‘000 betragen. Man tut also gut daran, sich wenigstens mit dem Thema auseinanderzusetzen – einfach und pragmatisch. Primär werden nur Bussen für Vorsatztaten verhängt, d. h. ich will das Datenschutzgesetz aktiv verletzen oder Unterlasse aktiv bspw. die Information. TIPP: Informiert proaktiv. Mehr ist hier auch mehr.
Weitergabe von Daten, auch ins Ausland
Unter der Ägide des neuen Datenschutzgesetzes dürfen Daten nicht mehr an Dritte weitergegeben werden, es sei denn, dies sei vertraglich geregelt mittels eines Auftragsbearbeitungsvertrags. Personendaten dürfen weiterhin ins Ausland bekanntgegeben werden, sofern im entsprechenden Land ein gleichwertiges Datenschutzniveau besteht. Ob dies der Fall ist oder nicht, kann anhand von einfach zugänglichen Listen überprüft werden. Der Datentransfer in die EU ist aktuell unter dem neuen Datenschutzgesetz unproblematisch. Achtung: Die USA gehören nicht zu den Ländern mit einem gleichwertigen Datenschutzniveau. Werden Daten in die USA transferiert, sind weitere Massnahmen notwendig. Dies trifft oft bereits dann zu, wenn der Cloudanbieter Sitz und daher Speicherkapazitäten in den USA hat. Im Zweifelsfall ist die Einwilligung der Betroffenen für den Datentransfer ins Ausland einzuholen.
Betroffenenrechte
Die Betroffenen haben unter anderem ein Recht auf Auskunft, Datenherausgabe, Löschung und Berichtigung. Neu ist die Datenherausgabe in einem gängigen elektronischen Format. Neu ist aber auch, dass Sie auf diese Begehren innert 30 Tagen antworten müssen. Daher ist eine vorgängige diesbezügliche Prozessfestlegung empfehlenswert. Eine falsche Auskunftserteilung kann bussenrelevant sein.
Rasche Meldung bei Datenschutzverletzung
Im Falle einer Datenschutzverletzung (Leck, Hack) mit hohen Risiken sind Unternehmen neu verpflichtet, den EDÖB so rasch als möglich und ev. die betroffenen Personen zu benachrichtigen. Die Frist von 72 Stunden gemäss DSGVO kann als Richtwert gelten.
Wie kann ich konkret vorgehen?
Mit einer Checkliste lässt sich einfach & pragmatisch klären, ob für das Unternehmen Handlungsbedarf besteht und was es ggf. zu tun gibt. Sind Anpassungen notwendig, haben wir Vorlagen zur Hand, welche Sie unterstützen. Setzen Sie sich am besten mit unserem Datenschutzspezialisten, Rechtsanwalt Niklaus Mürner, in Verbindung (niklaus.muerner@bracherpartner.ch oder 031 326 71 71).
Ähnliche Beiträge
Der digitale Nachlass: Was muss ich regeln?
Das digitale Bewerbungsdossier
