Datenschutz: die 5 wichtigsten Punkte, die Sie jetzt anpacken müssen

1. Dokumentation von Datenschutzvorgängen 

Ab sofort besteht eine Dokumentationspflicht über alle datenschutzrelevanten Vorgänge in Ihrem Unternehmen. Einige der Pflichtangaben sind mitunter die Folgenden: 

• Identität & Kontaktdaten des Verantwortlichen 
• Empfänger oder Empfängerkategorie 
• Kategorien der Daten, die verarbeitet werden 
• Bearbeitungszweck
• Aufbewahrungsdauer von Personendaten (ggf. Hintergründe zur Festlegung dieser) 

2. Ausweitung des Datenschutzes bei Personendaten 

Der Schutzumfang für Einzelpersonen wurde erweitert. Der Begriff «besonders schützenswerte Personendaten» umfasste bisher bereits eine Reihe persönlicher Informationen wie Angaben über die Herkunft, Weltanschauung, politische und religiöse Zugehörigkeiten, gesundheitsrelevante Informationen, Informationen über Sozialhilfeempfang oder auch strafrechtliche Angaben. Nachvollziehbar sinnvoll ist der Beschluss über die Integration dieser neuen Themen: 

• Daten über die Zugehörigkeit zu einer Ethnie
• biometrische Daten, die eine Person eindeutig identifizieren 
• genetische Daten

Diese hochgradig sensiblen Daten unterliegen nun ebenfalls besonders intensivem Datenschutz, welcher streng überprüft wird. 

Wichtig ist ausserdem, dass das DSG zukünftig nur noch für Daten natürlicher Personen gilt. Stellen, die sich auf juristische Personen bezogen haben, wurden gestrichen. Doch aufgepasst, wer denkt, Datenschutz tangiere nun nur noch den B2C-Datenverkehr. Auch innerhalb des B2B-Geschäftsverkehrs kommt es unter Umständen zur Sammlung und Verarbeitung personenbezogener Daten. Von Geschäftskunden werden nicht selten persönliche Informationen wie Geburtsdaten oder Hinweise auf Lebensumstände wie Heirat oder Kinder für den Zweck von Kundenbindungsmassnahmen gesammelt. Diese Daten fallen auch unter den Datenschutz laut neuem DSG.

Die revidierte Datenschutzverordnung

Der Rahmen der Pflichtangaben, die Personen mitgeteilt werden müssen, deren Daten verarbeitet werden, wurde ausgebaut. Jeder Datenschutzbeauftragte sollte sich mit diesen deshalb intensiv auseinandersetzen. Eine Gesamtliste besteht leider nicht. Sie können sich jedoch an der bestehenden DSGVO der EU orientieren. Sollten Sie zukünftig Datenverarbeitungen durchführen, die aus verschiedenen Gründen ein besonders hohes Risiko für Personendaten darstellen, ist es nun gesetzlich erforderlich, vorab eine Datenschutz-Folgeabschätzung durchführen zu lassen. Innerhalb dieses Prozesses müssen die Risiken der Verarbeitung abgeschätzt und alle geplanten Massnahmen zur Risikominimierung angegeben werden.

Die Weitergabe von Personendaten ins Ausland unterliegt nun einer strengen Voraussetzung: Sie darf grundsätzlich nur noch erfolgen, wenn ein ausreichender Datenschutz im Zielland möglich ist. Diesen müssen Sie nachweisen. Wenige Ausnahmen unterbinden Sie von dieser Regel. Eine solche Ausnahme ist, wenn die Vertragserfüllung in unmittelbarem Zusammenhang mit der Datenweitergabe steht. Eine andere ist, wenn die betreffende Person der Weitergabe ihre ausdrückliche Zustimmung erteilt hat. Werden die Kriterien erfüllt, ist es nun verpflichtend, den Staat sowie die dahinterstehende Datenschutzgarantie zu benennen.

Bei jeglichen groben Datenschutzverletzungen, wie etwa einem Datenverlust, sind Sie nun in der Pflicht, diese umgehend beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden. Sollte es ferner der Fall sein, dass Grund- oder Persönlichkeitsrechte von Personen verletzt wurden, müssen diese ebenfalls informiert werden.

3. Profiling: Umsetzung der neuen Richtlinien

Der vielen bereits aus der DSGVO bekannte Begriff «Profiling» bekommt nun auch innerhalb des schweizerischen Datenschutzgesetzes eine hohe Priorität zugeteilt. Die neue Klausel zu «Profiling» sowie zum weiterführenden «Profiling mit hohem Risiko» bezieht sich auf einen rechtlich einwandfreien Umgang mit speziellen Personendaten, mithilfe deren eine Schlussfolgerung auf Charaktereigenschaften und das Verhalten einer Person möglich ist. Diese Daten werden oft zu Analysezwecken gesammelt und durch automatische Datenverarbeitung weiter genutzt. Beispiele hierfür sind: 

• Hobbys & persönliche Interessen
• Verhalten & Charaktereigenschaften 
• Aufenthaltsort oder Ortswechsel
• wirtschaftliche Lage
• Gesundheitszustand
• Arbeitsleistung

Die genauen Voraussetzungen, die Sie datenschutztechnisch künftig erfüllen müssen, sind bislang noch nicht hundertprozentig genau definiert. Aktuell und vermutlich auch zukünftig, dürfen solche Daten zwar noch weiterverarbeitet werden, allerdings unter strengen Bedingungen. Fest steht bereits, dass Sie sicherstellen müssen, dass die Datenverarbeitung keinerlei Grund- oder Persönlichkeitsrechte verletzt. Könnte dies der Fall sein, dürfen die Daten nur weiterverarbeitet werden, wenn die Person diesem Prozess ausdrücklich zugestimmt hat. 

4. Stichworte «Privacy-By-Default» und «Privacy-By-Design»

Wer sich mit den neuen Datenschutzrichtlinien auseinandersetzt, dem sind diese Begrifflichkeiten bestimmt schon zu Ohren gekommen. Sie bilden die Herzstücke der neuen Verordnung, sind sie doch elementar für die dringend notwendigen Anpassungen an die neue, digitale Geschäftswelt. 

Es gibt eine Reihe von technischen und organisatorischen Anforderungen, die nun langfristig zum neuen Standard werden sollen. Primär beschäftigen sich die neuen Vorgaben etwa mit systemrelevanten Voreinstellungen, die innerhalb von Websites und Apps nötig sind. Sie sollen dem Nutzer die Möglichkeit bieten, dass seine Daten ohne viel Aufwand sicher sind. Insgesamt sollen weniger Daten erhoben und nur noch eindeutig zweckrelevante gespeichert werden. Die Anpassungen gelten für alle Arten von Websites und Online-Shops. 

5. Datenschutzmassnahmen bei ausländischem Firmensitz 

Einer der wichtigsten Punkte innerhalb des grenzüberschreitenden Handels stellt das Auswirkungsprinzip dar. Es besagt, dass sich ausländische Unternehmen ebenfalls an die Inhalte des DSG zu halten haben, sobald sie von in der Schweiz ansässigen Personen Daten verarbeiten. 

Ferner besteht für viele dieser Unternehmen zukünftig die Notwendigkeit, einen Datenschutzbeauftragten mit Sitz in der Schweiz zu benennen. Das gilt vor allem dann, wenn dieses Unternehmen fortlaufend Daten in Form von Angebotsausrichtung in grösserem Umfang verarbeitet oder besonders schutzwürdige Personendaten fortlaufend trackt. 

Fazit

Auch wenn noch kein exaktes Datum für das Inkrafttreten der neuen Datenschutzrichtlinien besteht, ist es immens wichtig, sich zum jetzigen Zeitpunkt mit den umfangreichen Änderungen auseinanderzusetzen und darauf hinzuarbeiten, alle Schutzmassnahmen frühzeitig umzusetzen. Wer die Wichtigkeit nicht erkennt, geht nicht nur ein vermeidbares rechtliches Risiko für sich selbst, sondern auch ein persönliches für Privatpersonen ein. Und das wird nun hart bestraft.

Falls Sie haben Angst, wichtige Punkte bei der Umsetzung zu vergessen oder etwas falsch zu machen, kann Ihnen ein Fachanwalt eine grosse Stütze sein. Er kennt die neuen Anforderungen und kann Ihnen helfen, Ihr Unternehmen in kurzer Zeit fit für alle kommenden Herausforderungen im Datenschutz zu wappnen. Auch fortlaufend kann er Sie bei Fragen unterstützen und Sie im Ernstfall kompetent vor Gericht vertreten. Wir von GetYourLawyer haben es uns zur Aufgabe gemacht, Sie bei der Suche nach einem kompetenten Fachanwalt zu unterstützen. Durch Ihre Onlineanfrage erhalten Sie Offerten von Anwälten aus Ihrer Umgebung – kostenlos und passend zu Ihrem Fall.