X

META10 | News

 

Secure Cloud E-News

 

04Jul

Am 1. September 2023 tritt das neue Datenschutzgesetz in Kraft: Ein Online-Datenschutz-Check schafft Klarheit

Datenschutz, Gesetz, KMU | News | 0 Comments | | Return| 04.07.2023|

Bald ist es so weit: Am 1. September 2023 treten das neue Bundesgesetz über den Datenschutz und die dazugehörige Verordnung über den Datenschutz in Kraft. Mit dem neuen Gesetz und dessen Verordnung müssen alle Unternehmen in der Schweiz verschärfte Datenschutzregeln beachten. Wichtig sind namentlich die im Unternehmen geltenden Datenschutzrichtlinien und die vom Unternehmen abgegebene Datenschutzerklärung. Ein Online-Datenschutz-Check schafft Klarheit, ob ein Unternehmen den Anforderungen des neuen Schweizer Datenschutzrechts genügt.

 

Der YLEX-Online-Datenschutz-Check

Die Anwaltsgemeinschaft YLEX bietet in ihren Büros in Bern, St. Gallen, Winterthur und Zürich sowie telefonisch, per Video-Call oder online Unterstützung bei Rechtsfragen an. Im Zusammenhang mit dem neuen Schweizer Datenschutzrecht zählt dazu der Online-Datenschutz-Check: Damit kann online geprüft werden, ob ein Unternehmen den Anforderungen des am 1. September 2023 in Kraft tretenden neuen Schweizer Datenschutzgesetzes entspricht. Der Basischeck ist kostenlos.

 

Obligatorische Datenschutzerklärung

Webseiten benötigen eine Datenschutzerklärung. Oft wird im Cookie-Banner auf die Datenschutzerklärung verwiesen. Auf jeden Fall muss die Datenschutzerklärung auf der Homepage auffindbar sein, beispielsweise durch eine Verlinkung in der Fusszeile. Aber auch Unternehmen, welche keine Webseite betreiben, benötigen eine Datenschutzerklärung, sobald personenbezogene Daten erhoben werden. Hier zur Illustration das Muster für eine Datenschutzerklärung des Digital Innovation Lab:

Datenschutzerklärung

Die Datenschutzerklärung beschreibt, wie und wozu wir Personendaten erheben, bearbeiten und verwenden. Der verantwortungsvolle Umgang mit Daten war uns schon immer ein wichtiges Anliegen. Wir nehmen kontinuierlich Anpassungen vor, um die persönlichen Daten unserer Kundinnen und Kunden noch besser zu schützen. Der Schutz Ihrer persönlichen Daten ist uns ein grosses Anliegen.
Bei Fragen oder Anliegen zum Schutz Ihrer Daten durch uns oder für Datenauskunftsbegehren erreichen Sie uns jederzeit per E-Mail unter admin@musterag.ch. Verantwortlich für die Datenbearbeitungen, die über diese Website erfolgen, ist: Fritz Muster, Adresse, E-Mail, Telefon.

 

Das sind die Daten, die wir erheben:

Allgemeine Personendaten

Wir bearbeiten Ihre allgemeinen Personendaten. Personendaten sind jede Art von Information, die sich auf eine identifizierbare natürliche Person beziehen. Identifizierbar ist die natürliche Person, wenn sich aus den vorhandenen Informationen Rückschlüsse auf die Identität der Person ziehen lassen. Beispiel: Bei Ihrem Namen, IP-Adresse und Privatadresse handelt es sich um Personendaten.

Überlassene Daten

Sie stellen uns häufig Ihre Personendaten selbst zur Verfügung. Immer wenn Sie Ihre Personendaten eingeben und an uns übermitteln, so gelten diese als an uns überlassen. Die Übermittlung der Daten an uns erfolgt grundsätzlich freiwillig, ist aber teilweise zwingend erforderlich, um unsere Angebote nutzen zu können. Beispiel: Sie geben Ihre Daten in einem Kontaktformular ein oder melden sich für einen Newsletter an.

Erhobene Daten

Wenn Sie unsere Dienste benutzen, erheben wir teilweise Ihre Daten, ohne dass Ihre aktive Mitwirkung erforderlich ist. Bei diesen Daten handelt es sich in der Regel um Daten über Ihr Gerät und um Daten über das Nutzerverhalten. Beispiel: Wir erheben Daten über das Betriebssystem des Geräts, mit dem Sie unsere Webseite aufgerufen haben.

Marketing

Die Daten, die Sie uns überlassen haben und die wir erhoben haben, verwenden wir zu Marketing und Werbung. Unser Ziel ist es, das Verhalten der Besucher zu verstehen, um gezielte Marketingentscheidungen treffen zu können und gezielt Werbung schalten zu können. Beispiel: Wir analysieren wie viele Besucher sich für welches unserer Angebote am meisten interessieren.

Produktentwicklung

Wir sind bestrebt unser Angebot fortlaufend zu verbessern. Zu diesem Zweck nutzen wir Ihre Personendaten für die Entwicklung und Verbesserung von unseren Produkten und Dienstleistungen. Beispiel: Wir erheben Daten über das Besucherverhalten auf der Webseite, um die Nutzerfreundlichkeit ständig zu verbessern.

Datenweitergabe

Wir geben Ihre Personendaten an Unternehmen weiter, die selbst entscheiden können, wie sie die Daten nutzen. Meist erfolgt dies, weil es zur Einhaltung von gesetzlichen Vorschriften erforderlich ist, wenn eine offene Forderung an ein Inkassounternehmen übertragen wird oder um betrügerische Aktivitäten festzustellen. Beispiel: Eine gesetzliche Vorschrift verpflichtet uns, ihre Daten an eine Behörde weiterzugeben.

Weltweit

Wir arbeiten für die Bearbeitung Ihrer Personendaten mit Anbietern aus der gesamten Welt zusammen. So können wir vom weltweiten Angebot profitieren und auf die besten und zuverlässigsten Dienste zurückgreifen. Unter Umständen weist das Land, in das die Daten exportiert werden, nicht denselben Datenschutzstandard wie die Schweiz auf. Beispiel: Wir verwenden die Dienste eines Cloud-Anbieters wie Google, der seinen Sitz in den USA hat.

Verzeichnis der Bearbeitungstätigkeiten

Artikel 12 des neuen Datenschutzgesetzes verlangt von den Unternehmen, ein Verzeichnis der Datenbearbeitungstätigkeiten zu führen. Dieses dient im Rahmen des Datenschutzes als Übersicht über die Bearbeitung von Personendaten im Unternehmen. Die gute Nachricht für etliche Klein- und Mittelunternehmen KMU: Gemäss Artikel 24 der Verordnung über den Datenschutz sind «Unternehmen und andere privatrechtliche Organisationen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen von der Pflicht befreit, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, ausser eine der folgenden Voraussetzungen ist erfüllt:

a. Es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet.

b. Es wird ein Profiling mit hohem Risiko durchgeführt.»

Somit entfällt die Pflicht zur Führung eines «Verzeichnisses der Datenbearbeitungstätigkeiten» für etliche KMU. Das gilt beispielsweise aber kaum für Anwaltskanzleien oder Arztpraxen bezüglich der besonders schützenswerten, berufsgeheimnisgeschützten Personendaten im Rahmen ihrer Tätigkeiten.

 

Scharfe Sanktionen

Es lohnt sich, die strengen Bestimmungen des neuen Datenschutzgesetzes minutiös einzuhalten. Im «8. Kapitel: Strafbestimmungen» des Datenschutzgesetzes wird nämlich festgehalten: Die Verletzungen von Informations-, Auskunfts- und Mitwirkungspflichten, die Verletzungen von Sorgfaltspflichten, die Verletzungen der beruflichen Schweigepflicht sowie das Missachten von Verfügungen können allesamt mit Bussen bis zu 250'000 Franken geahndet werden. Zur Vermeidung von Sanktionen ist es namentlich wichtig, allfällige Datenauskunftsbegehren rasch und richtig zu beantworten. Gemäss dem Datenschutzgesetz hat nämlich jede Person ein Auskunftsrecht darüber, welche Daten über sie gespeichert sind. Zudem besteht das Recht, die Daten löschen oder korrigieren zu lassen. Wer für die Daten verantwortlich ist, muss in der Datenschutzerklärung zu finden sein. Dort muss das Unternehmen zudem die Kontaktadresse angeben, an welche das Datenauskunftsbegehren gestellt werden kann. Die betroffene Person muss anschliessend diejenigen Informationen erhalten, die erforderlich sind, damit sie ihre Rechte nach dem Datenschutzgesetz geltend machen kann.

Einen raschen und kompetenten Einblick in die Regelungen des neuen Datenschutzgesetzes bietet die Publikation «Das neue Datenschutzgesetz aus Sicht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB».

Related