Neues Datenschutzgesetz
Letzte Chance, sich anzuschnallen
29. August 2023 agvs-upsa.ch – Per 1. September 2023 gilt das neue Datenschutzgesetz. Grundsätzlich sind Missachtungen ab diesem Zeitpunkt auch strafbar. Deshalb ist es wichtig, rechtzeitig Massnahmen in die Wege zu leiten, um im Fall der Fälle bereit zu sein. Denn Vergehen können richtig teuer werden.
Ab dem 1. September 2023 gilt in der SChweiz das neue Datenschutzgesetz. Foto:Shutterstock
srh. Sich im Strassenverkehr nicht anzugurten, zieht eine Busse nach sich – wenn man erwischt wird. Und im Falle eines Unfalls verfallen Versicherungsleistungen und vor allem setzt man sich der Gefahr von gravierenden Verletzungen aus. Ein bisschen ähnlich verhält es sich mit dem Datenschutzgesetz: Man kann es ignorieren. Wenn es aber zu einem Datenunfall oder einer Klage eines verärgerten Kunden kommt, wird es teuer. Sehr teuer. Es sind Bussen bis zu 250000 Franken möglich. Und diese gehen nicht an das Unternehmen, sondern es haftet die für den Datenschutz verantwortliche Person. Überdies zieht es einen Eintrag im Strafregister nach sich. Ein wenig Zeit bleibt noch, die notwendigen Massnahmen einzuleiten, um sich vor strafrechtlichen Konsequenzen zu schützen Oder übertragen: Sich auf der Quartierstrasse noch anzuschnallen, bevor man auf die Hauptstrasse einbiegt.
Die Datenschutzspezialisten von AGVS-Partner Impunix haben zehn Schritte zum neuen revidierten Datenschutzgesetz zusammengestellt. Vorsätzliche Verletzungen der rot markierten Artikel sind strafbewehrt. Andere Vorgaben können zivilrechtlich eingeklagt werden.
Liste der Daten-Bearbeitungen
Datenschutzerklärung – DSE
Auftragsbearbeitervertrag – ABV
Datensicherheit – Toms & DSFA
Auslandsübermittlung
Betroffenenrechte
Datenschutzgrundsätze
Privacy by Default
Kleines Berufsgeheimnis
Schulung der Mitarbeiter
Ab dem 1. September 2023 gilt in der SChweiz das neue Datenschutzgesetz. Foto:Shutterstock
srh. Sich im Strassenverkehr nicht anzugurten, zieht eine Busse nach sich – wenn man erwischt wird. Und im Falle eines Unfalls verfallen Versicherungsleistungen und vor allem setzt man sich der Gefahr von gravierenden Verletzungen aus. Ein bisschen ähnlich verhält es sich mit dem Datenschutzgesetz: Man kann es ignorieren. Wenn es aber zu einem Datenunfall oder einer Klage eines verärgerten Kunden kommt, wird es teuer. Sehr teuer. Es sind Bussen bis zu 250000 Franken möglich. Und diese gehen nicht an das Unternehmen, sondern es haftet die für den Datenschutz verantwortliche Person. Überdies zieht es einen Eintrag im Strafregister nach sich. Ein wenig Zeit bleibt noch, die notwendigen Massnahmen einzuleiten, um sich vor strafrechtlichen Konsequenzen zu schützen Oder übertragen: Sich auf der Quartierstrasse noch anzuschnallen, bevor man auf die Hauptstrasse einbiegt.
Die Datenschutzspezialisten von AGVS-Partner Impunix haben zehn Schritte zum neuen revidierten Datenschutzgesetz zusammengestellt. Vorsätzliche Verletzungen der rot markierten Artikel sind strafbewehrt. Andere Vorgaben können zivilrechtlich eingeklagt werden.
Liste der Daten-Bearbeitungen
- Art. 12 Erstellen Sie eine Liste mit den Prozessen und Aktivitäten, bei denen Ihre Organisation(en) Personendaten bearbeiten (z.B. Verkauf, Cookies, Marketing, Aftersales, Vermietung, Pannenhilfe, Buchhaltung, Personalverwaltung, E-Shop, Videoüberwachung). Die Liste enthält: mind. Bearbeitung, Zweck, Kategorie-Personen, Kategorie-Daten, Empfänger / Auftragsbearbeiter, Speicherdauer. Evtl. weitere Informationen nach Bedarf.
- Art. 19 Immer, wenn Sie Personendaten, die gesetzlich nicht erforderlich sind, erfassen oder bearbeiten, müssen Sie vor der Bearbeitung transparent in der DSE informieren. Am besten stellen Sie die DSE auf die Webseite, Links auf diese bei Videokameras, in Verträgen (Verweis auf DSE). Für Bewerber und Mitarbeiter, empfiehlt sich eine separate DSE im Mitarbeiterreglement. Die DSE enthält: Ihre Kontaktdaten, Zweck der Datenbearbeitung, Kategorien von Empfängern, Auslandsübertragung (Länder), Rechte der Betroffenen.
- Art. 9 Die meisten Unternehmen geben oder überlassen den Zugriff auf Daten auch Dritten, so z.B. IT-Provider, Marketing etc. Der Auftragsbearbeiter darf nur tun, was wir auch tun dürfen. Mit Dritten muss daher ein «ABV» geschlossen werden, ein Vertrag, der Ihre Datenhoheit festhält und den Dritten zum Datenschutz und zur Datensicherheit verpflichtet. Ein ABV nach EU-Recht mit einem Verweis auf das DSG genügt (Vorlage: z.B. bei der Datenschutzstelle Liechtenstein).
- Art. 8 Personendaten schützen wir durch technische und organisatorische Massnahmen. Technisch: Zugang nur mit persönlichem Account und «MFA», Zugriff von Dritten nur auf Anfrage und mit Audit-Trail, Firewalls, Antiviren-Software, Backups. Organisatorisch: Clean-Desk, Need-to-Know, Verpflichtung zum Datenschutz und Schulungen, Schreddern, etc. Meldepflicht Art. 24: Wenn Daten verloren gegangen sind, muss eine Meldung an den EDÖB (edoeb.admin.ch) und ggf. auch eine Meldung an Betroffene geprüft werden.
- Art. 22 Wenn die Organisation viele, sehr sensitive oder besonders schützenswerte Personendaten bearbeitet und Fehler oder sonstige Risiken für den Betroffenen risikoreich sein könnten, ist eine Datenschutz-Folgenabschätzung – DSFA (Risiko-Assessment) zu erstellen und zu dokumentieren. Mit der DSFA werden die getroffenen Massnahmen zum Schutz der Personendaten vertieft und auf ihre tatsächliche Eignung geprüft.
- Art. 16 Kein unsicheres Ausland und daher Länder, in die Personendaten übermittelt werden können: die EU, UK, der EWR und einzelne weitere Länder der Länderliste. Denken Sie daran, dass die Länder in der DSE zu nennen sind.
In anderen Ländern dürfen Daten bearbeitet werden, wenn dies im Einzelfall in einem Vertrag erforderlich und festgehalten ist, falls der Betroffene auf einen separaten Schutz verzichtet hat oder es liegen sog. SCC also Standardvertragsklauseln der EU mit Hinweis auf die Schweiz vor.
- Art. 25ff Wir geben den Betroffenen die in der DSE genannten Rechte auf Auskunft über ihre eigenen Personendaten (nicht Dokumente) und auf Wunsch weitere Informationen. Das Gesetz räumt für die kostenlose Auskunft eine Frist von 30 Tagen ein. Zuvor müssen wir die auskunftsersuchende Person identifizieren. Achtung: eine falsche bzw. unvollständige Auskunft ist strafbar. Der Zweck der Auskunft muss dem Persönlichkeitsschutz dienen. Weitere Rechte sind: Berichtigung falscher Daten. Löschung kann nur verlangt werden, wenn wir keinen besseren Grund haben oder eine gesetzliche Pflicht. Bei einer vollautomatischen Entscheidung, Art. 21, entscheidet auf Verlangen auch noch ein Mensch.
- Art. 6 Wir setzen in unseren Prozessen in der Organisation die Grundsätze zum Datenschutz um: Rechtmässigkeit, Treu und Glauben, Zweckbindung, Löschgebot, Richtigkeit, Transparenz und Datensicherheit. Diese Grundsätze und die Verfahren zur Einhaltung der Sorgfaltspflichten dokumentiert die Organisation.
- Art. 7 Wenn wir einem Betroffenen eine Auswahl geben, sollen die Datenschutz- und die Sicherheitseinstellungen eines Systems, einer Anwendung oder eines Produkts standardmässig auf die sichersten oder datenschutzfreundlichsten Optionen eingestellt werden.
- Art. 62 Personendaten, die der Organisation übergeben wurden, sind vertraulich zu halten, sofern dem Betroffenen nichts anders mitgeteilt wurde.
- Bei der Umsetzung und Einhaltung des Datenschutzes sind die Mitarbeiter sehr wichtig. Es gibt viele Gründe, warum die Mitarbeiter im Datenschutz zu schulen sind: Strafen vermeiden: Verstösse gegen Datenschutzgesetze können zu erheblichen persönlichen Strafen von bis zu CHF 250000 führen. Datensicherheit: Ausgebildete Mitarbeiter sind besser darauf vorbereitet, potenzielle Sicherheitsrisiken zu erkennen und zu vermeiden, wie Phishing-Angriffe, unsichere Passwörter und andere Sicherheitsprobleme. Vertrauen der Kunden: Kunden vertrauen eher Unternehmen, die ihre Daten schützen. Eine gute Datenschutzpraxis kann zur Kundenzufriedenheit beitragen.
Brauchen Sie Unterstützung? Im Webinar der AGVS Business Academy erhalten Sie alle Informationen, die Sie zum neuen Gesetz wissen müssen:
Das neue Schweizer Datenschutzgesetz: Das müssen Sie jetzt wissen!
Das neue Schweizer Datenschutzgesetz: Das müssen Sie jetzt wissen!
Tipps
Weitere Infos unter: impunix.ch
KMU sollten unbedingt ihre Bestellformulare und andere relevante Datenerhebungstools genau anschauen und gegebenenfalls anpassen, damit diese im September 2023 rechtskonform sind. Es empfiehlt sich auf jeden Fall, sämtliche Daten genau zu analysieren und folgende Punkte zu klären:
Der AGVS kooperiert beim Thema Datenschutz mit dem spezialisierten Unternehmen Impunix, das die umfassende Umsetzung des Schweizer Datenschutzgesetzes, die Importeurs- bzw. Herstellerrichtlinien sowie die Empfehlungen des AGVS in Unternehmen überprüft und zertifiziert.- Welche Daten werden von wem erhoben (Kunden und Angestellte)?
- Welche dieser Daten stehen nicht in unmittelbarem Zusammenhang mit der erbrachten Leistung?
- Welche Daten gelten als besonders schützenswert?
- Wo sind diese Daten gespeichert?
- Ist der Schutz der Daten ausreichend?
- Wer hat intern oder extern Zugriff auf die Daten und ist dieser Zugriff wirklich notwendig?
- Wer ist intern für die Sicherheit der Daten zuständig? Ist diese Person ausreichend geschult?
- Welcher Prozess greift bei einem Datenleck und wer ist dafür verantwortlich?
Weitere Infos unter: impunix.ch
Kommentar hinzufügen
Kommentare
217375 11. März 2024 - 11:11
agvs_admin 12. März 2024 - 9:14