Am 1. September 2023 treten das neue Datenschutzgesetz (revDSG) und die neue Datenschutzverordnung in Kraft. Entsprechend sollten sich Unternehmen auf das neue Recht vorbereiten. Wir haben die wesentlichen Neuerungen zusammengestellt und hilfreiche Tipps für die Praxis für Sie gesammelt.
Wen betrifft das neue Datenschutzgesetz der Schweiz?
Das neue Datenschutzgesetz betrifft alle Unternehmen mit Sitz in der Schweiz und ausländische Unternehmen, die in der Schweiz tätig sind oder deren Datenbearbeitung sich in der Schweiz auswirkt. Das Datenschutzgesetz und die dazugehörige Verordnung gelten für die Bearbeitung von Personendaten durch Private, womit Unternehmen in privater Hand, aber auch Privatpersonen gemeint sind. Diese Zusammenfassung richtet sich in erster Linie an kleine und mittlere Unternehmen bis 250 Mitarbeiter.
Was sind die wichtigsten Änderungen im Schweizer Datenschutzgesetz?
Informationspflichten und Datenschutzerklärung
Wenn es um die Bearbeitung von Personendaten geht, ist es erforderlich, dass die betroffenen Personen über den Umfang und den Zweck der Datenbearbeitungen informiert werden. In der Regel geschieht dies mittels einer Datenschutzerklärung. Hier sind einige Empfehlungen:
- Die Datenschutzerklärung sollte über sämtliche Datenbearbeitungen informieren, d.h. nicht nur über die Bearbeitung der Daten auf der Website, sondern auch über solche in anderen Systemen.
- Die Datenschutzerklärung sollte auf der Website einfach auffindbar sein - am besten auf jeder Seite im Footer.
- Datenschutzerklärungen sollten nicht durch den Benutzer extra akzeptiert werden müssen (z.B. bei Formularen). Stattdessen darauf hinweisen, wo die Datenschutzerklärung zu finden ist.
Löschen von Personendaten
Personendaten müssen gelöscht oder anonymisiert werden, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind.
Betroffenenrechte
Die betroffene Person hat das Recht, vom Verantwortlichen Auskunft darüber zu verlangen, ob und welche Personendaten über sie bearbeitet werden. Art. 25 revDSG beschreibt den Inhalt der Auskunft ausführlicher als unter dem bisherigen Recht. Ferner besteht auch das Recht der Personen, fehlerhafte Daten korrigieren zu lassen oder die Löschung von Daten zu verlangen.
Inventar der Bearbeitungen
Unternehmen ab 250 Mitarbeitenden müssen ein Verzeichnis über die Bearbeitungen mit Informationen zu Bearbeitungszwecken, Kategorien der betroffenen Personen und Daten sowie der Aufbewahrungsdauer führen.
Auftragsbearbeiter
Auftragsbearbeitungen, etwa durch Anbieter wie mailXpert, sollten vertraglich durch sog. Auftragsdatenbearbeitungsvereinbarungen (ADV) geregelt sein.
Datensicherheit
Der Zugriff auf Personendaten sollte nur für diejenigen Personen (z.B. Support-Mitarbeiter, Entwickler) möglich sein, welche den Zugriff für die Erfüllung ihrer Arbeit auch wirklich benötigen. IT-Systeme sollten technisch auf dem aktuellsten Stand gehalten werden, damit keine Sicherheitslücken entstehen, die unter Umständen verheerende Auswirkungen haben könnten.
Verletzungen der Datensicherheit müssen dem EDÖB gemeldet werden, wenn sie zu einem hohen Risiko für die Persönlichkeit oder der Grundrechte der betroffenen Person führen.
Datenbekanntgabe ins Ausland
Prüfen Sie, welche Dienstleister und Anbieter Sie im Zusammenhang mit mailXpert und sonstigen Angeboten nutzen. Sollten sich diese im Ausland befinden, vergewissern Sie sich, dass das jeweilige Land über einen angemessenen Datenschutz verfügt, und falls nicht, dass Sie die notwendigen zusätzlichen Massnahmen ergriffen haben.
«Privacy by Default» und «Privacy by Design»
Damit ist der Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen gemeint. Neu besteht die Pflicht, Voreinstellungen möglichst datenschutzfreundlich zu gestalten. Bieten Betreiber von Apps oder Softwares unterschiedliche Einstellungen zum Datenschutz an, muss stets die datenschutzfreundlichste Variante als Standardeinstellung definiert sein.
Kleines Berufsgeheimnis
Neben den allgemein bekannten Berufsgeheimnissen (z.B. Anwalts- oder Arztgeheimnis) wurde auch das Berufsgeheimnis im Datenschutzrecht ausgebaut. Geheime Personendaten, die Sie im Rahmen der Ausübung Ihrer beruflichen Tätigkeit anvertraut erhalten, müssen geheim gehalten werden.
Datenschutz-Folgenabschätzung
Wenn Verantwortliche Datenbearbeitungen planen, welche potentiell ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen können, müssen sie vorgängig eine Datenschutz-Folgeabschätzung durchführen. In einer solchen sind sowohl das genaue Vorhaben zu dokumentieren als auch entsprechende Massnahmen zum Schutz der betroffenen Personen zu prüfen.
Datenschutzberater und Vertreter in der Schweiz
Es ist unter dem neuen Datenschutzrecht möglich, einen Datenschutzberater im Unternehmen zu benennen. Es besteht hingegen keine Pflicht, dies zu tun.
Strafbarkeit
In Bezug auf die Strafbarkeit ist insbesondere zu berücksichtigen, dass ab dem 1. September 2023 die Verletzung gewisser Pflichten eine Strafbarkeit begründet, welche – im Gegensatz zu der DSGVO – nicht das Unternehmen trifft, sondern die dafür verantwortliche natürliche Person, z.B. an eine Führungsperson, einen Datenschutzberater oder aber auch diejenigen Personen sein, welche eine Pflichtverletzung begangen haben. Wer gegen solche Bestimmungen verstösst, wird mit einer Busse bis zu CHF 250'000 bestraft.
Folgende Verletzungen des DSG stehen unter Strafe:
- Verletzung von Informationspflichten (z.B. keine oder nur eine ungenügende Datenschutzerklärung)
- Kein Vertrag mit Auftragsbearbeiter
- Verletzung der Datensicherheit (Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität der Daten, TOMs)
- Bekanntgabe von Personendaten in Länder ohne ein angemessenes Datenschutzniveau, ohne das Treffen zusätzlicher Schutzmassnahmen oder ohne dass eine Ausnahme einschlägig ist (z.B. Einwilligung)
- Verletzung von Auskunftspflichten
- Verletzung des «kleinen Berufsgeheimnisses»
Tipps für Ihr E-Mail-Marketing
Wenn Sie ihr E-Mail-Marketing in üblichem Ausmass betreiben und betroffene Personen transparent darüber informieren, brauchen Sie sich keine Sorgen zu machen.
Grundsätzlich sind in mailXpert Daten gespeichert, die Sie ohnehin bereits in anderen Systemen verarbeiten. Wir empfehlen Ihnen, nur Daten in mailXpert zu übermitteln, die Sie für Ihr E-Mail-Marketing benötigen. Im minimalsten Fall ist dies allein eine E-Mail-Adresse. Aber natürlich spricht nichts dagegen, Namen und Segmentierungen abzubilden, um Informationen personalisierter per E-Mail verschicken zu können.
mailXpert erhebt zum Zweck der Auswertung automatisch Daten zu Abmeldungen und Klicks, diese dienen aber lediglich der Erfolgskontrolle und Verbesserung Ihrer Newsletter-Inhalte und Versandfrequenz.
Verzichten Sie wenn immer möglich, auf die Erhebung besonders schützenswerter Daten. Die folgende Auflistung zeigt Beispiele für Informationen, die als besonders schützenswerte Daten definiert sind:
- Ethnische Herkunft und Rasse
- Politische Meinungen
- Gesundheitsdaten
- Biometrische Daten
- Genetische Daten
- Religiöse oder weltanschauliche Überzeugungen
- Sexuelle Orientierung
Falls diese für Ihre Organisation (z.B. Gesundheitswesen) relevant sind, bearbeiten Sie diese Daten nur dort, wo dies unbedingt notwendig ist, aber laden Sie solche Daten nicht in andere Systeme wie z.B. mailXpert hoch.
Weitere praktische Infos
Die Kanzlei VISCHER hat zu diesem Zweck das, was für das bisherige und das revidierte DSG von einem KMU (aber auch von grösseren Unternehmen) zu tun ist, auf einem einzigen Blatt zusammengefasst – kurz und knapp, ohne juristische Floskeln. Die Handreichung gibt es kostenlos, sie darf frei weitergegeben und verwendet werden und kann gleich auch als interne Datenschutzweisung benutzt werden, falls ein Betrieb noch keine solche hat: https://www.vischer.com/fileadmin/uploads/vischer/Photos/New-Blog/VISCHER-revDSG-Survival-Guide.pdf
Das neue Datenschutzgesetz aus Sicht des EDÖB:
Leitfaden des Bundes
