Datenschutzerklärung für Schweizer Unternehmen

Die Datenschutzerklärung

Sobald Sie Personendaten bearbeiten, sind Sie gemäss Artikel 19 DSG verpflichtet, die betroffenen Personen in transparenter und möglichst verständlicher Weise darüber zu informieren, wie ihre Daten bearbeitet werden.

Mit der Datenschutzerklärung informieren sie die von ihrer Bearbeitungstätigkeit betroffenen Personen.

Die Datenschutzerklärung muss mindestens über folgende Punkte informieren

• Identität und Kontaktdaten des Unternehmens oder der Organisation (und insbesondere einer verantwortlichen Person, die auch kontaktiert werden kann)
• Art, Zweck der Verarbeitung und Dauer der Speicherung der erhobenen personenbezogenen Daten
• Empfänger bei Weitergabe an Dritte und Zweck der Weitergabe
• Garantien zur Sicherstellung des Datenschutzes bei Datenübermittlungen ins Ausland
• Rechte der Betroffenen und wie sie diese wahrnehmen können

Sofern Sie Daten im Online-Bereich erheben, müssen Sie auch diese Bearbeitungsschritte erklären und Ihren Umgang mit Cookies und ähnlichen Technologien offenlegen. Wenn sich die Datenschutzerklärung an Dritte richtet, wird sie in der Regel auf der Website veröffentlicht.

Hinweis zum Cookie-Banner: Ein Cookie-Banner ist für Schweizer Websites - sofern sie sich an Besucherinnen und Besucher aus der Schweiz richten - nicht notwendig. Es genügt, im Rahmen der Datenschutzerklärung über die Verwendung von Cookies zu informieren und darüber, wie man sich deren Bearbeitung widersetzen kann.

Da im Unternehmen zwangsläufig auch Daten der Mitarbeitenden gesammelt werden, müssen diese auch in geeigneter Weise über die Datenbearbeitung informiert werden. In der Regel wird dazu eine interne Datenschutzerklärung erstellt und im Arbeitsvertrag oder im Personalreglement darauf verwiesen.

Datenbearbeitungsverzeichnis

Gemäss Artikel 12 DSG müssen Unternehmen, die bestimmte Voraussetzungen erfüllen, ein Verzeichnis führen, in dem alle Bearbeitungstätigkeiten im Zusammenhang mit Personendaten des Unternehmens festgehalten werden. Das Verzeichnis muss grundsätzlich nur dann geführt werden, wenn ein Unternehmen entweder mehr als 250 Mitarbeitende beschäftigt oder die Datenbearbeitung ein hohes Risiko für die Persönlichkeitsverletzung der betroffenen Personen mit sich bringt (z.B. weil in grossem Umfang besonders schützenswerte Personendaten bearbeitet werden oder Profiling eingesetzt wird).

Auch wenn Sie als Unternehmen diese Voraussetzungen nicht erfüllen und nicht zur Erstellung eines Registers verpflichtet sind, kann es sich lohnen, ein solches zu erstellen. Im Rahmen der Erstellung können Sie überprüfen, wann Sie konkret Daten bearbeiten, zu welchem Zweck Sie diese bearbeiten, wie lange Sie diese aufbewahren oder an wen Sie diese Daten weitergeben. Ausserdem sollten Sie prüfen, welche Massnahmen Sie ergriffen haben, um den Schutz dieser Daten zu gewährleisten. So können Sie direkt eine Bestandsaufnahme Ihrer Bearbeitungstätigkeiten vornehmen und prüfen, ob in Ihrem Unternehmen Handlungsbedarf besteht.

Datenschutz-Folgeabschätzung

Eine Datenschutzfolgenabschätzung (DSFA) dient gemäss Artikel 22 DSG dazu, die möglichen Auswirkungen geplanter Datenbearbeitungen auf die Privatsphäre und die Rechte der betroffenen Personen abzuschätzen. Damit soll sichergestellt werden, dass risikobehaftete Datenbearbeitungen erkannt und entsprechende Massnahmen ergriffen und protokolliert werden können.

Konkret ist die Durchführung einer DSFA erforderlich, wenn eine Datenverarbeitung ein erhebliches Risiko für die Privatsphäre oder die Grundrechte einer Person darstellen könnte. Dieses Risiko kann sich aus verschiedenen Faktoren wie dem Einsatz neuer Technologien, dem Umfang der Datenbearbeitung und dem Zweck der Datenbearbeitung ergeben. Ein solches Risiko besteht beispielsweise bei der umfangreichen Verarbeitung besonders sensibler personenbezogener Daten und bei der systematischen Überwachung grosser öffentlicher Bereiche.

Ein Beispiel hierfür könnte der Einsatz von Datenanalysealgorithmen sein, um das Verhalten von Nutzern in sozialen Medien zu überwachen und daraus Schlüsse zu ziehen. Dies kann Auswirkungen auf die Privatsphäre und die Freiheit der betroffenen Personen haben.

Technische und organisatorische Massnahmen

Geeignete technische und organisatorische Massnahmen stellen sicher, dass personenbezogene Daten angemessen und risikogerecht geschützt werden - dies ist zwingend und im DSG in Artikel 8 festgehalten. Alle Bearbeitungstätigkeiten sind zu evaluieren und es ist zu beurteilen, ob die Daten in diesen Schritten ausreichend geschützt sind. Je höher das Risiko, desto umfassendere Massnahmen sind zu treffen, um die Daten entsprechend zu schützen.

Die getroffenen Massnahmen sollten regelmässig überprüft und gegebenenfalls angepasst werden. Grundsätzlich ist es ratsam, alle Aktivitäten zur Risikominderung sorgfältig zu dokumentieren, um im Ernstfall die Sorgfaltspflicht des Unternehmens nachweisen zu können.

Interne Organisation

Die Verantwortung für die Einhaltung des Datenschutzes liegt bei der Geschäftsleitung. Diese muss durch organisatorische Massnahmen sicherstellen, dass auch alle Abteilungen und Mitarbeitenden die geltenden Datenschutzgesetze einhalten. Zu diesem Zweck müssen Sie sich als Unternehmen überlegen, ob Sie eine Datenschutzberaterin oder einen Datenschutzberater ernennen und wie Sie die Umsetzung in den einzelnen Abteilungen und bei den Mitarbeitenden selbst sicherstellen.

Datenschutzberaterin oder Datenschutzberater

Nach Artikel 10 DSG kann eine Datenschutzberaterin oder ein Datenschutzberater ernannt werden. Wenn Sie eine Datenschutzberaterin oder einen Datenschutzberater haben, ist sie oder er unabhängige Beraterin oder unabhängiger Berater und zentrale Ansprechperson im Unternehmen für alle Belange und Fragen des Datenschutzes. In dieser Funktion erarbeitet er datenschutzrechtliche Vorgaben und ist für deren Kommunikation, Kontrolle und Einhaltung verantwortlich. Dabei handelt, entscheidet und empfiehlt die Datenschutzberaterin weisungsfrei und unabhängig.

Verantwortliche in Teilbereichen

Wenn ein Unternehmen eine gewisse Grösse erreicht hat, ist es schwierig, den Überblick über alle Geschäftsprozesse zu behalten. Häufig übernehmen Abteilungsleiterinnen und Abteilungsleiter die Funktion der ersten Anlaufstelle für Mitarbeitende bei Informationen und Fragen zum Datenschutz sowie die Überwachung der Geschäftsprozesse in ihrer Abteilung.

Mitarbeitende

Um sicherzustellen, dass alle Mitarbeitenden die datenschutzrechtlichen Verpflichtungen einhalten, können verschiedene Massnahmen ergriffen werden, um sie entsprechend zu schulen. Die Art und Weise, wie die Mitarbeitenden adäquat informiert werden, ist Ihnen überlassen und hängt auch von der Organisation und Grösse des Unternehmens ab (z.B. Schulungen vor Ort oder E-Learning).

Folgende Dokumente oder Richtlinien werden in diesem Zusammenhang als sinnvoll erachtet:

• Internes Datenschutzreglement: In einem internen Datenschutzreglement können die wesentlichen Informationen, Vorgaben und Prozesse festgehalten werden. Dieses Dokument kann auch praktische Hinweise zu konkreten Geschäftsfällen im Unternehmen, neuen Tools oder anderen wichtigen Dokumenten zum Datenschutz enthalten und als Nachschlagewerk für die Mitarbeitenden dienen.
• Interner Leitfaden mit den wichtigsten Erläuterungen: Nicht alle Mitarbeitenden sind Datenschutzexpertinnen und -experten oder haben wenig Berührungspunkte mit dem Recht. Wenn die Mitarbeitenden über den Datenschutz informiert werden, sollte dies auf einfache und verständliche Weise geschehen. Mit einem internen Leitfaden, in dem die wichtigsten Punkte verständlich erklärt werden.
• Vertraulichkeitsvereinbarung: Wenn Mitarbeitende Zugang zu personenbezogenen Daten haben, muss das Unternehmen sicherstellen, dass diese Daten vertraulich behandelt werden. Dies gilt insbesondere dann, wenn beispielsweise Daten bearbeitet werden, die einem Berufsgeheimnis unterliegen. Es empfiehlt sich deshalb, mit den Mitarbeitenden eine Geheimhaltungsvereinbarung abzuschliessen.

Sind die Mitarbeitenden über den Datenschutz im Unternehmen gut informiert und sensibilisiert, gibt es noch einen weiteren wichtigen Punkt, den Unternehmen in Bezug auf die Mitarbeitenden beachten müssen:

• Interne Datenschutzerklärung: Die Mitarbeitenden müssen darüber informiert werden, welche Daten über sie im Unternehmen bearbeitet werden. Als Unternehmen müssen Sie daher auch eine interne Datenschutzerklärung für die Mitarbeitenden erstellen, in der die Mitarbeitenden darüber informiert werden, warum und wie ihre Daten bearbeitet werden und welche Rechte sie in Bezug auf diese Bearbeitung haben.

Vereinbarungen zur Auftragsbearbeitung

Gemäss Artikel 9 DSG kann die Datenbearbeitung an einen Auftragsbearbeiter delegiert werden. Konkret dürfen Verantwortliche die Bearbeitung von Personendaten mittels Auftragsbearbeitungsvereinbarung (oder durch Gesetz) nur dann an eine Auftragsbearbeiterin übertragen, wenn diese die Daten nur so bearbeitet, wie es der Verantwortlichen erlaubt wäre. In diesem Fall bleibt die verantwortliche Stelle für den Datenschutz verantwortlich. Sie muss also dafür sorgen, dass die Auftragsbearbeiterin die Datensicherheit gewährleisten kann.

Zudem dürfen Personendaten vorerst nur in Ländern bearbeitet werden, die einen dem schweizerischen gleichwertigen Datenschutz gewährleisten können. Im Anhang zum DSG findet sich eine Liste von Staaten mit angemessenem Datenschutzniveau, die vom EDÖB laufend aktualisiert wird. Gewährleistet ein Land keinen angemessenen Datenschutz, so gilt das schweizerische Datenschutzniveau als angemessen.

Auskunftsbegehren

Gemäss Artikel 25 DSG hat jede Person das Recht, vom Verantwortlichen Auskunft darüber zu verlangen, ob Personendaten über sie bearbeitet werden. Werden Personendaten bearbeitet, so ist der betroffenen Person in jedem Fall mitzuteilen:

1. welche Daten über sie bearbeitet werden
2. den Zweck der Bearbeitung
3. wie lange die Daten aufbewahrt werden
4. woher die Daten stammen
5. ob es sich gegebenenfalls um eine automatisierte Einzelentscheidung handelt
6. ob die Daten gegebenenfalls an Dritte weitergegeben wurden.

Die Auskunft muss innerhalb von 30 Tagen erteilt werden. Es ist daher unerlässlich, stets einen Überblick über die Verarbeitungsprozesse im Unternehmen zu haben. Ein Auskunftsformular ist zwar nicht vorgeschrieben, kann aber eine standardisierte, gesetzeskonforme und zügige Abwicklung der Auskunft sicherstellen.

Es ist sinnvoll, im Unternehmen eine Stelle klar zu bezeichnen, die für die Umsetzung der geltenden Datenschutzmassnahmen verantwortlich ist und den Überblick behält. Wenn im Unternehmen das Fachwissen fehlt oder keine Ressourcen vorhanden sind, kann auch eine externe Stelle bestimmt werden, die sich um diese Belange kümmert. Wenn Sie Rechtsberatung in Datenschutzfragen suchen, kann Ihnen GetYourLaywer bei der Suche nach einem geeigneten Anwalt behilflich sein.