Datenschutzgesetz (DSG) der Schweiz

Was muss von den Unternehmen umgesetzt werden?

Wir zeigen hier die erforderlichen Schritte zur Umsetzung des Datenschutzgesetzes (DSG), das am 1. September in Kraft tritt. Im Anschluss bieten wir Ihnen eine Checkliste mit Erläuterungen zur schrittweisen Abwicklung.

Die schrittweise Abarbeitung dieser Checkliste mag zunächst einen gewissen Aufwand erfordern, jedoch ist dies von grundlegender Bedeutung. Unternehmen, die diese Anforderungen nicht erfüllen, riskieren, von Wettbewerbern ausgeschlossen zu werden, die sich an die neuen Bestimmungen halten. Dies könnte zu einem Verlust von Geschäftschancen führen.

Um den Anforderungen des DSG gerecht zu werden, ist es für ein Unternehmen verpflichtend, mit allen seinen Subunternehmern Datenverarbeitungsverträge abzuschliessen. Um also DSG konform zu sein, kann man nur mit DSG konformen Firmen zusammenarbeiten, Dieser Schritt ist notwendig, um sich vor möglichen rechtlichen Konsequenzen zu schützen.

Vor diesem Hintergrund sollte jedes Unternehmen, unabhängig von seiner Grösse, bestrebt sein, die Einhaltung des Datenschutzgesetzes sicherzustellen.

Bearbeitungsverzeichnis (Art. 12 DSG)

Das Schweizer Datenschutz Gesetz verlangt neu von Unternehmen, ein Bearbeitungsverzeichnis zu erstellen, in dem alle Bearbeitungsvorgänge von personenbezogenen Daten festgehalten werden. Das Bearbeitungsverzeichnis ist also ein Inventar aller datenschutzrelevanten Bearbeitungstätigkeiten eines Unternehmens.

In der Schweiz ist die Erstellung eines Bearbeitungsverzeichnisses generell erst für Unternehmen ab 250 Mitarbeitenden verpflichtend. Für kleinere Unternehmen gilt: Sie benötigen nur dann ein Bearbeitungsverzeichnis, wenn sie besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder Profilings mit hohem Risiko für die Persönlichkeit durchführen.

Das Bearbeitungsverzeichnis dient in jedem Fall dem internen Gebrauch und muss nur auf Anfrage den Aufsichtsbehörden zur Verfügung gestellt werden.

Wir empfehlen allen Unternehmen das zu erstellen, da man damit sich die Struktur und Verteilung der eigenen Daten vor Augen führt und Gedanken zur Sicherheit macht. Oft etwas, wo viele Unternehmen grössere Probleme haben.

Besonders schützenswerte Daten betrifft zum Beispiel:

  • Alle Unternehmen/Personen im Gesundheits-, Finanzwesen
  • Unternehmen die Geburtstage von Kunden oder Mitarbeitern speichern!
  • Profiling betreiben

Checkliste Tasks

  • Systemlandschaft definieren

    Wie sieht ihre Systemlandschaft aus:

    • Welche Daten speichern Sie und warum?
    • Welche Geräte nutzen Sie, welche auf die Daten zugreifen können?
    • Werden die gespeicherten Daten an externe Dienste synchronisiert oder gespeichert?
    • Wie werden Backups erstellt und wo gespeichert?

    Wer hat darauf Zugriff (Verarbeiter)?

    • Welche Personen können auf die Daten zugreifen?
    • Gibt es ein IT-Partner der Zugriff hat?
    • Wer ist der Webhoster / Supporter?
  • Verantwortlichen bestimmen

    Hat ihre Firma mehr als 1 Person, dann ist die Frage, wer hat die Verantwortung über die Daten?

Datensicherheit (Art. 8 DSG)

Bei der Datensicherheit geht es drum, die Sicherheit genauer anzuschauen. Wie werden die Daten genau gespeichert, gesichert oder gelöscht. Wer ist verantwortlich für die Einhaltung und Anweisungen.

Übersicht der Massnahmen kann beinhalten:

  • Verschlüsselung der Daten
  • Backup der Daten auf externen Medien
  • Schulung der Mitarbeiter
  • Audits zum Prüfen der Einhaltung
  • Umgang mit Löschanfragen
  • Richtlinien zur Aufbewahrungsdauer der Daten: Erläutere, wie lange die erfassten Daten aufbewahrt werden und nach welchen Kriterien sie gelöscht werden
  • Meldepflicht bei Verstössen: Festlegung von Verfahren und Fristen für die Meldung von Datenschutzverletzungen

Checkliste Tasks

  • Übersicht aller Massnahmen

    Zu jedem einzelnen Punkt der Systemlandschaft sollte man sich folgende Punkte notieren:

    • Werden die Daten verschlüsselt?
    • Wie werden die Logins gesichert (z.B. 2nd Pass)?
    • Gibt es Backups?
  • Systemlandschaft und Administration

    Die Fragen wiederholen sich zum Teil, aber die Fragen sollten unterdessen beantwortet sein:

    • Wo werden die Daten gespeichert?
    • Wie werden die Backups gemacht und wo abgelegt?
    • Wer hat Zugriff auf die Daten + Backups?
    • Welche Firmen haben alles Zugriff auf die Daten (verschlüsselt oder unverschlüsselt)?
  • Backup Disaster Recovery

    Was passiert, wenn alle Stricke reissen und alle Systeme gleichzeitig ausfallen?

    Beispiel: Es gibt ein Erdbeben, alle Server / Systeme und PCs fallen aus. Wie lange dauert es, ein komplettes System wieder lauffähig zu bekommen und Arbeitsplätze für die Mitarbeiter zu organisieren (in dem Fall kann die Neubesorgung von PCs/Servern auch massiv erschwert sein).

  • Arbeitsanweisung, Mitarbeiterschulung und Audits

    • Wer schreibt die Arbeitsanweisungen?
    • Werden die Mitarbeiter darauf hingewiesen, wie mit Daten umgegangen werden muss?
    • Wird dies regelmässig geprüft, in welchen Abständen?
    • Wer führt die Schulungen / Audits durch (verantwortliche Person)?
  • Vertraulichkeitserklärung

    • Hat jeder Mitarbeiter die Vertraulichkeitserklärung unterzeichnet?
    • Hat diese auch Bestand, wenn der Mitarbeiter die Firma verlässt?
  • Löschstrategie

    • Wann werden welche Daten vom Kunden gelöscht?
    • Wie ist der Prozess für Anfragen zur Datenlöschung von Personen?
    • Wer ist verantwortlich für die Datenlöschung / Datenauskunft?

Bekanntgabe von Daten im Ausland (Kapitel 2 DSG)

Hat man die Systemlandschaft bereits aufgezeichnet, sollte klar sein, welche Daten bei welchen Firmen liegen. Dadurch sollte sich bestimmen lassen, ob die Daten im Inland Schweiz oder Ausland liegen.

Daten welche im Ausland liegen oder gar im Ausland weiterverarbeitet werden, müssen den Kunden offengelegt werden und der Kunde muss darüber Bescheid erhalten.

Checkliste Tasks

  • Liste aller Firmen erstellen

    Liste von allen Unternehmen erstellen, inkl. Angaben, welche Daten die Firmen zur Verarbeitung erhalten.

    Dies kann alles Mögliche betreffen, wie:

    • Newsletter Tool, wo die Mailadresse und Namen stehen
    • Online-Speicher, wo Dateien abgespeichert werden können
    • Buchhaltung / Treuhand Unternehmen, welches die Kunden und die Kontoführung sehen können
    • etc.
  • Risikobeurteilung der Daten im Ausland

    Es muss abgewogen werden, welche Risiken für die Kundendaten entstehen, wenn diese ins Ausland übermittelt werden. Nicht jede ausländische Firma bietet DSG konforme Verträge an.

    Die Risiken muss jede Firma selbst abwägen. Es ist aber sicherlich weniger tragisch, wenn Name und Mailadresse an ein Newsletter Tool übertragen werden, als wenn Gesundheitsdaten mit Geburtsdatum im Ausland gespeichert werden.

Bearbeitung durch Auftragsbearbeiter (Art. 9 DSG)

Bei diesem Punkt geht es um alle Firmen, welche Daten von Kunden erhalten und Bearbeiten, sowohl diese im Ausland, wie auch im Inland.

Mit Firmen, wo man selbst Daten weiter gibt, als Subverarbeiter wie:

  • Online CRM/ERP Systeme
  • Newsletter Tools
  • Online Speichermedien
  • etc.

Mit diesen Firmen muss der Datenverarbeitungsvertrag der externen Firma geschlossen werden.

Firmen oder Kunden, welche als Auftragsgeber agieren, müssen den eigenen Datenverarbeitungsvertrag abschliessen.

So sollte ein lückenloser Prozess mit Datenverarbeitungsverträgen entstehen, wo die Verarbeituung der Daten geregelt und protokolliert ist.

Checkliste Tasks

  • Datenverarbeitungsvertrag

    Es muss ein Datenverarbeitungsvertrag mit allen Firmen, sowohl Inland als Ausland abgeschlossen werden.

    Gewisse Firmen bieten den Vertrag elektronisch an, andere auf Papier. So oder so sollten alle Verträge aufbewahrt werden und jederzeit einsichtig sein.

    Sollte eine Datenschutzverletzung bei einer Subverarbeiter auftreten, ist dieser nur haftbar, wenn ein Datenverarbeitungsvertrag geschlossen wurde. Anderenfalls kann man haftbar gemacht werden, für Verletzungen anderer der eigenen Kundendaten!

Ausübung der Rechte (Kapitel 4 DSG)

Jede Person hat die Rechte an seinen eigenen Daten und kann Auskünfte darüber einholen, oder auch eine Löschung beantragen.

Doch wie gibt man die Auskünfte?

  • Kann man einfach, aus allen Systemen alle Daten von einem Kunden zusammenziehen und exportieren?
  • Wieviele Systeme sind darin involviert?
  • Wer führt diese Aktion durch und stellt sicher, dass keine fremden Daten exportiert werden?
  • In welchem Medium werden die Daten geliefert?

Nicht nur bei Auskünften ist viel zu beachten, sondern auch beim Löschen, da man gerichtlich zur Aufbewahrung gewisser Daten verpflichtet ist. Dies kann aber auch sehr trickreich sein:

  • Der Kunde bestellt mit seinem Account im Onlineshop
  • Löschantrag wird eingereicht für seine Daten
  • Auftragsdaten und Adressdaten müssen aus rechtlichen Gründen gespeichert beleiben
  • Kunde eröffnet wieder einen Account mit der alten Mailadresse

Was passiert nun, bekommt er wieder Zugriff auf die alte Bestellung in der Historie? Wurde die „Löschung“ überhaupt durchgeführt oder wurde nur sein Account „deaktiviert“?
Alte Daten, welche Aufbewahrt werden müssen, sollten korrekt archiviert werden, so dass der Kunde nie wieder Zugriff darauf hat und wirklich nur die Daten noch gespeichert sein, die rechtlich nötig sind. Dies muss alles im Vorfeld definiert sein, damit man dann im Fall der Fälle nicht zuerst tagelang die entsprechenden Vorbereitungen treffen muss. Den man hat nur 30 Tage Zeit auf ein Auskunfts- oder Löschbegehren zu erledigen/antworten.

Checkliste Tasks

  • Vorlage für die Ausübung der Rechte

    Wenn eine Person oder Unternehmen die eigenen Daten gelöscht haben möchte, wie soll diese Anfrage eingehen und welche Angaben sind nötig zur Verifikation der Berechtigung?

    Will man das per Formular oder schriftlichen Antrag? Das muss den Personen mitgeteilt werden, damit diese entsprechend ihre Rechte wahrnehmen können.

  • Bearbeitung der Anfragen

    wenn eine Löschanfrage eingeht:

    • welche Daten müssen (gesetzlich verpflichtend) aufbewahrt werden?
      Wie sichert man die Daten vor versehentlichem erneutem Zugriff?
    • welche Daten können und müssen gelöscht werden?

    wenn eine Auskunft Anfrage eingeht:

    • Wer bearbeitet diese?
    • Wer stellt die Auskunft innert der gesetzlich vorgegebenen Frist zur Verfügung?

Informationsschreiben (Art. 19 DSG)

Es müssen alle Kunden, Lieferanten, Mitarbeiter und Websitenbesucher über den Datenschutz jederzeit informiert sein. Aus diesem Grund macht es Sinn, die Datenschutzbestimmungen und den Vertrag zur Datenverarbeitung zu aktualisieren, sowie all diese Personen darüber zu informieren.

Checkliste Tasks

  • Datenschutzbestimmungen

    Sind die Datenschutzbestimmungen auf der Website aktualisiert?

  • Datenverarbeitungsvertrag

    Haben Sie mit allen Subunternehmern, mit welchen Sie Daten teilen, einen Datenverarbeitungsvertrag?

    Bieten Sie Ihren Kunden einen Datenverarbeitungsvertrag an?

  • Kundeninformation

    Informieren Sie Ihre Kunden darüber!

Cookie Banner & Website

Das Schweizer DSG übernimmt nicht die Cookie-Richtlinien vom DSGVO.

Haben Sie nur Schweizer Kunden, dann benötigen Sie weiterhin keinen Cookie-Banner. ABER: Generell muss man sicherstellen, dass sich die Personendatensammlung auf ein Minimum beschränkt, solange die Person nichts anderes festlegt oder dazu einwilligt. Es kann daher durchaus sinnvoll sein, wenn man Kunden intensiv trackt eine Einwilligung dazu einzuholen (was nichts mehr mit Cookies zu tun hat).

Wollen Sie oder haben Sie Kunden aus der Europäischen Union (EU), dann unterstehen Sie weiterhin auch der DSGVO und benötigen deshalb einen Cookiebanner inkl. der Einwilligung in das Tracking.

Eine Datenschutzerklärung wird in beiden Fällen benötigt. Haben Sie bereits eine DSGVO konforme Datenschutzerklärung, ist nichts weiter zu unternehmen.

Checkliste Tasks

  • Datenschutzerklärung Website

    Ist bereits eine Datenschutzerklärung auf der Website vorhanden?

  • Nur CH Kunden

    Kein Cookie-Banner nötig.

  • Auch EU Kunden

    Cookie-Banner und Einwilligungen zum Tracking werden benötigt.

Zusammenfassung

web updates kmu DSG-Checkliste

Wir sind keine Rechtsanwälte und geben keine Gewähr auf die obengenannten Angaben.

Anfrage DSG Unterstützung

0 + 3 = ?

Der gesamte Prozess ist zeitaufwändig und erfordert viel Zeit und Ressourcen. Dennoch ist dieser Aufwand unvermeidlich, um zukünftig die Sicherheit der Kundendaten zu erhöhen und zu gewährleisten.

Falls Sie Fragen haben oder Unterstützung benötigen, sind wir gerne bereit, Ihnen beizustehen. Auf Wunsch können wir auch einen Rechtsanwalt hinzuziehen, um sicherzustellen, dass Ihre Einhaltung der Datenschutzgrundverordnung (DSG) rechtlich abgesichert ist.

Stefan Murawski hat als ehemaliger IT in grossen und mittleren Unternehmen die Qualifikation und das (technische) Wissen, wie Systemlandschaften und Sicherheitskonzepte ausgearbeitet.

web-updates-kmu-wuk-Stefan-Murawski