Schweizer Datenschutzgesetz per 1. September 2023
Sind Sie und Ihre Mitarbeitenden bereit für die strengeren Anforderungen an den Schutz von Personendaten, die seit 1. September 2023 gelten? Andernfalls können Sie Ihr Wissen mit diesem Beitrag auffrischen.
Datenschutz dient dem Schutz der Persönlichkeit und der Grundrechte von Personen, deren Daten bearbeitet werden. Der Schutz ist weitreichend: Geschützt sind sämtliche Personendaten, insbesondere heikle wie beispielsweise Daten über die ethnische Herkunft sowie religiöse oder weltanschauliche Überzeugungen. Als Bearbeitung gilt jeder Umgang mit Personendaten wie Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen, Vernichten usw. Das neue Datenschutzgesetz konzentriert sich auf den Schutz von natürlichen Personen. Daten juristischer Personen sind nicht mehr geschützt.
Grundsätze der Datenbearbeitung
Rechtmässigkeit:
Personendaten dürfen nur im Rahmen des rechtlich Zulässigen bearbeitet werden. Insbesondere dürfen die Daten nicht an unberechtigte Dritte und ohne Einwilligung der betroffenen Person weitergegeben werden.
Treu und Glaube:
Eine rechtsmissbräuchliche Datenbearbeitung ist unzulässig.
Verhältnismässigkeit:
Es dürfen nur diejenigen und nur so viele Daten bearbeitet werden, wie erforderlich sind. Zudem dürfen nur diejenigen Personen Zugriff auf die Daten haben, für deren Aufgabenerfüllung dies notwendig ist.
«Datenschutz ist Chefsache.»
Zweckbindung:
Die Daten dürfen nur für den festgelegten bzw. erkennbaren Zweck bearbeitet werden.
Transparenz:
Die Datenbearbeitung muss für die betroffene Person aus den Umständen heraus oder aufgrund einer expliziten Information erkennbar sein. Die Person kann beim Verantwortlichen Auskunft darüber verlangen, ob über sie Personendaten bearbeitet werden, und die Herausgabe bzw. Übertragung in elektronischer Form verlangen.
Privacy by Default und by Design:
Die Datenbearbeitung muss technisch und organisatorisch so ausgestaltet sein, dass die Datenschutzgrundsätze eingehalten sind. Insbesondere muss die Datenbearbeitung mittels Voreinstellungen auf das nötige Mindestmass beschränkt sein.
Richtigkeit:
Die bearbeiteten Daten müssen sachlich richtig und in Bezug auf den Zweck der Datenbearbeitung vollständig sein. Falsche Daten müssen berichtigt, gelöscht oder vernichtet werden.
Sicherheit:
Die Sicherheit der bearbeiteten Daten muss durch technische und organisatorische Massnahmen gewährleistet sein. Daten müssen insbesondere vor unbeabsichtigter oder widerrechtlicher Veränderung, Löschung oder Vernichtung sowie unbefugtem Zugriff geschützt werden. Im Unternehmen kann ein Datenschutzberater ernannt werden, der als Anlaufstelle für betroffene Personen oder für die Behörden dient. Verantwortlich für den Datenschutz ist, wer über Zweck und Mittel der Bearbeitung entscheidet. Datenschutz ist damit Chefsache!
Neue Pflichten:
Verantwortliche und Auftragsbearbeiter müssen künftig ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Wer Personendaten beschafft, muss die betroffene Person angemessen über die Beschaffung informieren. Die Information umfasst mindestens die Identität und die Kontaktdaten des Verantwortlichen sowie den Bearbeitungszweck.
Wenn die Bearbeitung von Personendaten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person in sich birgt, muss der Verantwortliche vorab eine Datenschutzfolgeabschätzung mit einer Beschreibung der geplanten Bearbeitung, einer Risikobewertung und Massnahmen erstellen. Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit und die Grundrechte der betroffenen Person führen, müssen so rasch wie möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und allenfalls der betroffenen Person gemeldet werden.
Bei einer vorsätzlichen Verletzung dieser Pflichten drohen eine strafrechtliche Verfolgung und Bussen bis zu 250'000 Franken.
Testen Sie sich selbst...
Ein Mitarbeiter ist krank. Sie vereinbaren, dass er sein Arztzeugnis per E-Mail übermittelt.
Das sollten Sie nur tun, wenn Ihr E-Mail-Programm so eingerichtet ist, dass Daten verschlüsselt übermittelt werden. Ein Arztzeugnis enthält persönliche Gesundheitsinformationen. Diese gelten als besonders schützenswerte Personendaten.
Der kranke Mitarbeiter übermittelt Ihnen zusätzlich ein Röntgenbild.
Sie müssen dieses Röntgenbild löschen. Der Grundsatz besagt, dass immer nur die Daten erfasst und bearbeitet werden dürfen, die für den jeweiligen Zweck unbedingt notwendig sind. Das ist beim Röntgenbild nicht der Fall.
Vor drei Jahren haben Sie mit einem externen Berater alles getan, um der europäischen Datenschutz-Grundverordnung (DSGVO) konform zu sein. Insofern ist für Sie das Thema Datenschutz abgehakt.
Stimmt nicht. Das neue Datenschutzgesetz unterscheidet sich gegenüber der DSGVO. Es gibt zusätzliche Aspekte zu beachten. Dies ist zum Beispiel der Fall, wenn man Daten in Drittländer (Länder ausserhalb der EU) exportiert. Die Liste des Bundesrats kann in diesem Punkt von der Liste der EU-Kommission abweichen.
Zwei Mitarbeitende sprechen auf dem Weg zur Arbeit über eine Kundin.
Besser nicht! Auch im öffentlichen Raum oder in Verkehrsmitteln müssen die persönlichen Daten der Kundin, über die gesprochen wird, vor fremden Ohren geschützt werden.
Als Vorbereitung für ein Kundenmeeting stellen Sie bestimmte Dokumente zu diesem Kunden im Online-Kalender zusammen.
Aufgepasst, wenn die anderen Mitarbeitenden Zugriff auf Ihren Kalender haben und Sie hier Personendaten ablegen. Möglicherweise dürfen diese nicht von Dritten eingesehen werden.
Dank Ihrem Laptop arbeiten Sie auch unterwegs an Ihren Kundendossiers.
Wenn Sie das zum Beispiel im Zug oder in einem Café tun, müssen Sie sicherstellen, dass niemand Ihren Bildschirm einsehen kann, beispielsweise mithilfe einer Sichtschutzfolie.
Ihre Firma erhält einen Antrag auf Datenauskunft einer Privatperson. Sie finden das ein bisschen übertrieben.
Sie müssen die Daten trotzdem zur Verfügung stellen. Und zwar kostenlos und innerhalb von 30 Tagen, sofern sich die Person identifizieren kann.
Mitarbeitende schulen
Es ist nicht damit getan, im Hintergrund die organisatorischen und technischen Vorbereitungen zu treffen. Ab 1. September 2023 müssen auch Ihre Mitarbeitenden dafür sensibilisiert sein, wie sie ihr Verhalten im Umgang mit Personendaten anpassen müssen.
