DATENSCHUTZ – Per 1. September 2023 tritt das neue Datenschutzrecht in Kraft. Jetzt ist der Zeitpunkt für Unternehmen und Organisationen gekommen, sich damit auseinanderzusetzen. Der Schweizerische Gewerbeverband sgv hat Musterdokumente erarbeitet.
In unterschiedlichem Kontext beschaffen und bearbeiten Unternehmen und Organisationen aller Art wie z. B. Verbände Personendaten. Betroffen sind in der Regel die Kundschaft, Lieferanten oder Mitarbeitende des Unternehmens bzw. Mitglieder eines Vereins. Standard ist heute der Betrieb einer Website, was ebenfalls zu einer Beschaffung und Bearbeitung von Daten führt.
Die Anforderungen an die Beschaffung und Bearbeitung von Daten werden per 1. September 2023 erhöht. Auf diesen Zeitpunkt treten das totalrevidierte Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der Form der Verordnung zum Datenschutzgesetz (DSV) in Kraft. Ebenfalls in Kraft tritt die neue Verordnung über Datenschutzzertifizierungen (VDSZ). Letztere betrifft die KMU kaum, weshalb keine weiteren Ausführungen dazu gemacht werden. Das totalrevidierte DSG und die entsprechenden Verordnungsbestimmungen sorgen für einen besseren Schutz der persönlichen Daten. Der Datenschutz wird den technologischen Entwicklungen angepasst, die Selbstbestimmung über die persönlichen Daten gestärkt und die Transparenz bei der Beschaffung von Personendaten erhöht.
Das Datenschutzrecht konkretisiert das Grundrecht auf informationelle Selbstbestimmung, das in Art. 13 Abs. 2 der Bundesverfassung verankert ist. Mit ihm soll die Privatsphäre der Menschen geschützt werden. Es sorgt dafür, dass dieses Grundrecht nicht nur im Verhältnis zum Staat, sondern auch unter Privaten wirksam wird, legt die Grundsätze für die Bearbeitung von Personendaten fest und regelt die Pflichten derjenigen, welche die persönlichen Daten bearbeiten, und verankert die Rechte der betroffenen Person. Neben einer generellen Verbesserung der Transparenz beinhaltet das neue Recht die Berücksichtigung des Datenschutzes bereits bei der Planung der Datenbearbeitung («privacy by design») und durch datenschutzfreundliche Voreinstellungen («privacy by default»), eine Verschärfung der Strafbestimmungen, eine Pflicht zur Datenschutz-Folgenabschätzungen, das Recht auf Datenherausgabe und -übertragung, die Förderung der Datensicherheit und Meldung der Verletzungen der Datensicherheit sowie die Stärkung der Aufsichtskompetenzen und der Unabhängigkeit des eidgenössischen Datenschutzbeauftragten (EDÖB).
Grundsätzlich sollen Betroffene mehr Transparenz darüber haben, wer ihre Personendaten bearbeitet und zu welchem Zweck die Bearbeitung erfolgt, damit sie ihre Rechte geltend machen können. Eine Datenschutzerklärung ist ein geeignetes Mittel, den Informationspflichten gegenüber den betroffenen Personen nachzukommen.
Bevor eine Datenbearbeitung durchgeführt wird, müssen die Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person erkannt und bewertet werden. Diese sogenannte Datenschutz-Folgenabschätzung ist zwingend durchzuführen, wenn besonders schützenswerte Personendaten wie z. B. Gesundheitsdaten bearbeitet oder risikoreiche Datenbearbeitungen geplant werden, wie z. B. beim Profiling. Profiling bezeichnet jede Art der automatisierten Bearbeitung von Personendaten, die z.B. Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person analysiert oder vorhersagt. Ein Profiling ist dadurch gekennzeichnet, dass Personendaten automatisiert ausgewertet werden, um auf der Grundlage dieser Auswertung, ebenfalls in automatisierter Weise, die Merkmale einer Person zu bewerten.
Eine Unternehmung oder ein Verband muss jetzt eine individuelle Lagebeurteilung vornehmen. Oftmals wird die Einhaltung gewisser Mindestinformationen genügen. Es gibt aber auch neue Pflichten wie die Meldepflicht bei Datenschutzverletzungen oder die erweiterte Informationspflicht. Solange die Bearbeitungsgrundsätze Transparenz, Zweckbindung, Verhältnismässigkeit und Datensicherheit eingehalten werden, die betroffene Person der Bearbeitung nicht widersprochen hat und Dritten keine besonders schützenswerten Personendaten mitgeteilt werden, ist in der Schweiz für die Bearbeitung von Personendaten durch private Unternehmen und Organisationen keine Einwilligung erforderlich.
Dieter Kläy, Ressortleiter sgv
Musterunterlagen
Der sgv hat eine Reihe von Musterunterlagen erarbeitet, die kostenlos auf www.sgv-usam.ch bezogen werden können. Das sind: Datenschutzerklärung, Datenschutzrichtlinie, Datenbearbeitungsverzeichnis, Datenschutzfolgeabschätzung, Auftragsbearbeitungsvertrag, AGB-Datenschutzklausel und ein Merkblatt. Kl
So ist das EU-Datenschutzrecht anwendbar
Seit 2018 in Kraft ist die europäische Datenschutzgrundverordnung (DSGVO). Sie erweitert den räumlichen Anwendungsbereich gemäss dem Kriterium des Zielmarktes (sog. Marktortprinzip), was im Ergebnis zu einer extraterritorialen Anwendung führen kann. Damit ist das europäische Datenschutzrecht für Unternehmen in der Schweiz in folgenden Konstellationen anwendbar:
• Kriterium der Niederlassung: Die Datenverarbeitung erfolgt durch ein Unternehmen (oder einen beauftragten Dritten) im Rahmen der Tätigkeit einer Niederlassung innerhalb der EU, unabhängig davon, ob die Verarbeitung tatsächlich in der EU stattfindet.
• Kriterium des Zielmarktes: Die Datenverarbeitung durch ein Unternehmen (oder einen beauftragten Dritten) ohne Niederlassung in der EU bezieht sich auf Personen, die sich in der EU befinden und sofern diesen Personen in der EU Waren oder Dienstleistungen entgeltlich oder unentgeltlich angeboten werden oder das Verhalten dieser Personen in der EU beobachtet wird (z. B. ein Online-Shop bearbeitet Personendaten von Kunden in der EU oder ein Hotel in der Schweiz bietet über Website Buchungssystem auch Gästen in der EU an).
Nicht unter die DSGVO fallen Schweizer Unternehmen, welche weder über eine Niederlassung in der EU verfügen noch Waren oder Dienstleistungen an Personen mit Niederlassung in der EU anbieten bzw. deren Verhalten auch nicht beobachten. Die blosse Zugänglichkeit einer Website eines Schweizer Unternehmens ist kein Indiz für die Absicht des Unternehmens, in der EU seine Dienstleistungen und Waren anzubieten. Werden hingegen Angebote in Euro gemacht oder richtet sich das Angebot offensichtlich an Personen in der EU, untersteht das Unternehmen der DSGVO. Kl
Der sgv spricht sich vehement gegen die Erhöhung der Lohnprozente aus
sgv begrüsst das Vorgehen des Bundesrates in Sachen Verhandlungsmandat mit der EU
Der sgv bedauert das Ja zur 13. AHV-Rente und das Nein zur Rentenaltererhöhung
Der sgv beurteilt den Paketansatz als möglichen Weg
sgv fasst Parolen zur Abstimmung vom 9. Juni 2024
Feuerwerk ist Lebensfreude: sgv begrüsst Nein des Bundesrats zur Feuerwerksinitiative
