Datenschutzgesetz (DSG) der Schweiz
Was muss von den Unternehmen umgesetzt werden?
Wir zeigen hier die erforderlichen Schritte zur Umsetzung des Datenschutzgesetzes (DSG), das am 1. September in Kraft tritt. Im Anschluss bieten wir Ihnen eine Checkliste mit Erläuterungen zur schrittweisen Abwicklung.
Die schrittweise Abarbeitung dieser Checkliste mag zunächst einen gewissen Aufwand erfordern, jedoch ist dies von grundlegender Bedeutung. Unternehmen, die diese Anforderungen nicht erfüllen, riskieren, von Wettbewerbern ausgeschlossen zu werden, die sich an die neuen Bestimmungen halten. Dies könnte zu einem Verlust von Geschäftschancen führen.
Um den Anforderungen des DSG gerecht zu werden, ist es für ein Unternehmen verpflichtend, mit allen seinen Subunternehmern Datenverarbeitungsverträge abzuschliessen. Um also DSG konform zu sein, kann man nur mit DSG konformen Firmen zusammenarbeiten, Dieser Schritt ist notwendig, um sich vor möglichen rechtlichen Konsequenzen zu schützen.
Vor diesem Hintergrund sollte jedes Unternehmen, unabhängig von seiner Grösse, bestrebt sein, die Einhaltung des Datenschutzgesetzes sicherzustellen.
Bearbeitungsverzeichnis (Art. 12 DSG)
Das Schweizer Datenschutz Gesetz verlangt neu von Unternehmen, ein Bearbeitungsverzeichnis zu erstellen, in dem alle Bearbeitungsvorgänge von personenbezogenen Daten festgehalten werden. Das Bearbeitungsverzeichnis ist also ein Inventar aller datenschutzrelevanten Bearbeitungstätigkeiten eines Unternehmens.
In der Schweiz ist die Erstellung eines Bearbeitungsverzeichnisses generell erst für Unternehmen ab 250 Mitarbeitenden verpflichtend. Für kleinere Unternehmen gilt: Sie benötigen nur dann ein Bearbeitungsverzeichnis, wenn sie besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder Profilings mit hohem Risiko für die Persönlichkeit durchführen.
Das Bearbeitungsverzeichnis dient in jedem Fall dem internen Gebrauch und muss nur auf Anfrage den Aufsichtsbehörden zur Verfügung gestellt werden.
Wir empfehlen allen Unternehmen das zu erstellen, da man damit sich die Struktur und Verteilung der eigenen Daten vor Augen führt und Gedanken zur Sicherheit macht. Oft etwas, wo viele Unternehmen grössere Probleme haben.
Besonders schützenswerte Daten betrifft zum Beispiel:
- Alle Unternehmen/Personen im Gesundheits-, Finanzwesen
- Unternehmen die Geburtstage von Kunden oder Mitarbeitern speichern!
- Profiling betreiben
Beispiele
Checkliste Tasks
Datensicherheit (Art. 8 DSG)
Bei der Datensicherheit geht es drum, die Sicherheit genauer anzuschauen. Wie werden die Daten genau gespeichert, gesichert oder gelöscht. Wer ist verantwortlich für die Einhaltung und Anweisungen.
Übersicht der Massnahmen kann beinhalten:
- Verschlüsselung der Daten
- Backup der Daten auf externen Medien
- Schulung der Mitarbeiter
- Audits zum Prüfen der Einhaltung
- Umgang mit Löschanfragen
- Richtlinien zur Aufbewahrungsdauer der Daten: Erläutere, wie lange die erfassten Daten aufbewahrt werden und nach welchen Kriterien sie gelöscht werden
- Meldepflicht bei Verstössen: Festlegung von Verfahren und Fristen für die Meldung von Datenschutzverletzungen
Checkliste Tasks
Bekanntgabe von Daten im Ausland (Kapitel 2 DSG)
Hat man die Systemlandschaft bereits aufgezeichnet, sollte klar sein, welche Daten bei welchen Firmen liegen. Dadurch sollte sich bestimmen lassen, ob die Daten im Inland Schweiz oder Ausland liegen.
Daten welche im Ausland liegen oder gar im Ausland weiterverarbeitet werden, müssen den Kunden offengelegt werden und der Kunde muss darüber Bescheid erhalten.
Checkliste Tasks
Bearbeitung durch Auftragsbearbeiter (Art. 9 DSG)
Bei diesem Punkt geht es um alle Firmen, welche Daten von Kunden erhalten und Bearbeiten, sowohl diese im Ausland, wie auch im Inland.
Mit Firmen, wo man selbst Daten weiter gibt, als Subverarbeiter wie:
- Online CRM/ERP Systeme
- Newsletter Tools
- Online Speichermedien
- etc.
Mit diesen Firmen muss der Datenverarbeitungsvertrag der externen Firma geschlossen werden.
Firmen oder Kunden, welche als Auftragsgeber agieren, müssen den eigenen Datenverarbeitungsvertrag abschliessen.
So sollte ein lückenloser Prozess mit Datenverarbeitungsverträgen entstehen, wo die Verarbeituung der Daten geregelt und protokolliert ist.
Checkliste Tasks
Ausübung der Rechte (Kapitel 4 DSG)
Jede Person hat die Rechte an seinen eigenen Daten und kann Auskünfte darüber einholen, oder auch eine Löschung beantragen.
Doch wie gibt man die Auskünfte?
- Kann man einfach, aus allen Systemen alle Daten von einem Kunden zusammenziehen und exportieren?
- Wieviele Systeme sind darin involviert?
- Wer führt diese Aktion durch und stellt sicher, dass keine fremden Daten exportiert werden?
- In welchem Medium werden die Daten geliefert?
Nicht nur bei Auskünften ist viel zu beachten, sondern auch beim Löschen, da man gerichtlich zur Aufbewahrung gewisser Daten verpflichtet ist. Dies kann aber auch sehr trickreich sein:
- Der Kunde bestellt mit seinem Account im Onlineshop
- Löschantrag wird eingereicht für seine Daten
- Auftragsdaten und Adressdaten müssen aus rechtlichen Gründen gespeichert beleiben
- Kunde eröffnet wieder einen Account mit der alten Mailadresse
Was passiert nun, bekommt er wieder Zugriff auf die alte Bestellung in der Historie? Wurde die „Löschung“ überhaupt durchgeführt oder wurde nur sein Account „deaktiviert“?
Alte Daten, welche Aufbewahrt werden müssen, sollten korrekt archiviert werden, so dass der Kunde nie wieder Zugriff darauf hat und wirklich nur die Daten noch gespeichert sein, die rechtlich nötig sind. Dies muss alles im Vorfeld definiert sein, damit man dann im Fall der Fälle nicht zuerst tagelang die entsprechenden Vorbereitungen treffen muss. Den man hat nur 30 Tage Zeit auf ein Auskunfts- oder Löschbegehren zu erledigen/antworten.
Checkliste Tasks
Informationsschreiben (Art. 19 DSG)
Es müssen alle Kunden, Lieferanten, Mitarbeiter und Websitenbesucher über den Datenschutz jederzeit informiert sein. Aus diesem Grund macht es Sinn, die Datenschutzbestimmungen und den Vertrag zur Datenverarbeitung zu aktualisieren, sowie all diese Personen darüber zu informieren.
Checkliste Tasks
Cookie Banner & Website
Das Schweizer DSG übernimmt nicht die Cookie-Richtlinien vom DSGVO.
Haben Sie nur Schweizer Kunden, dann benötigen Sie weiterhin keinen Cookie-Banner. ABER: Generell muss man sicherstellen, dass sich die Personendatensammlung auf ein Minimum beschränkt, solange die Person nichts anderes festlegt oder dazu einwilligt. Es kann daher durchaus sinnvoll sein, wenn man Kunden intensiv trackt eine Einwilligung dazu einzuholen (was nichts mehr mit Cookies zu tun hat).
Wollen Sie oder haben Sie Kunden aus der Europäischen Union (EU), dann unterstehen Sie weiterhin auch der DSGVO und benötigen deshalb einen Cookiebanner inkl. der Einwilligung in das Tracking.
Eine Datenschutzerklärung wird in beiden Fällen benötigt. Haben Sie bereits eine DSGVO konforme Datenschutzerklärung, ist nichts weiter zu unternehmen.
Checkliste Tasks
Zusammenfassung
Wir sind keine Rechtsanwälte und geben keine Gewähr auf die obengenannten Angaben.
Der gesamte Prozess ist zeitaufwändig und erfordert viel Zeit und Ressourcen. Dennoch ist dieser Aufwand unvermeidlich, um zukünftig die Sicherheit der Kundendaten zu erhöhen und zu gewährleisten.
Falls Sie Fragen haben oder Unterstützung benötigen, sind wir gerne bereit, Ihnen beizustehen. Auf Wunsch können wir auch einen Rechtsanwalt hinzuziehen, um sicherzustellen, dass Ihre Einhaltung der Datenschutzgrundverordnung (DSG) rechtlich abgesichert ist.
Stefan Murawski hat als ehemaliger IT in grossen und mittleren Unternehmen die Qualifikation und das (technische) Wissen, wie Systemlandschaften und Sicherheitskonzepte ausgearbeitet.