Datenschutz
«Es gibt Grundsätze, die im Datenschutz beachtet werden müssen. Der Wichtigste ist das Prinzip der Verhältnismässigkeit», erklärt Thomas Casanova im Gespräch mit dem «Bündner Gewerbe». Zuletzt war er, je näher der 1. September kam, ein gefragter Mann - und ist es noch immer. Er erhielt auch viele Anfragen von Unternehmen. Meist schaffte er es, Unsicherheiten mit wenigen Worten zu klären. «Seien wir ehrlich, Datenschutz interessiert erst, wenn ein Datenmissbrauchsvorfall eintritt. In solchen Fällen ist es für einen Unternehmer aber wichtig, wenn er aufzeigen kann, wie er mit den Kundendaten umgeht.» Wenn man sich bisher mit dem Datenschutz auseinandergesetzt habe, sei es darum nicht falsch, so weiterzufahren, wie man es immer getan habe.
Was ist Datenschutz?
Konkret bezweckt der Datenschutz den Schutz der Persönlichkeit und der Grundrechte von Personen. Er regelt, was beachtet werden muss, wenn Personendaten bearbeitet werden. Als solche gelten alle Angaben, welche einer Person zugeordnet werden können wie Kontaktangaben, Fingerabdrücke, Aufenthaltsorte aber auch Video- und Bildaufnahmen. Der Datenschutz schützt Personen vor dem ungerechtfertigten Beschaffen, Speichern, Bearbeiten und Verwenden von Daten. Das heisst, es dürfen nur Daten bearbeitet werden, die für den Zweck der Bearbeitung geeignet und erforderlich sind. Zentral ist dabei eine Einwilligung der Personen, insbesondere bei der Weitergabe von Daten sowie die transparente Information welche Daten für was gesammelt werden. Darüber hinaus ist die Datensicherheit im Grundsatz beim Datenschutz. Die Daten müssen sorgfältig und sicher verwaltet werden. «Wichtig ist, dass nur die Daten gesammelt werden, welche das Unternehmen für die Ausführung des Auftrags benötigt.» Wichtig zu wissen ist auch, dass nichtpersonenbezogene Daten wie Finanzzahlen oder Produktedaten dem Datenschutz nicht unterliegen. Ebenfalls fallen auch anonymisierte Kundendaten, welche für Statistikzwecke ausgewertet werden, nicht darunter. Solche Daten können aber anderswertig geschützt sein, beispielsweise über das Betriebsgeheimnis oder das Urheberrecht.
Was hat sich geändert?
Casanova erklärt, dass es mit dem neuen Gesetz «vor allem im Bereich der Transparenz und Information» Änderungen gibt. «Die Prinzipien sind dieselben. Die Transparenz wird aber höher gewichtet. Darum müssen die Datenschutzbestimmungen nun auf der Webseite aufgeführt und es muss erläutert werden, was mit den Daten gemacht wird.» Alle Unternehmen seien nun auch verpflichtet, Datenmissbrauchsvorfälle dem Eidgenössischen Datenschutzbeauftragten zu melden. Neu wird beim Datenschutzgesetz zudem zwischen kleineren und grösseren Unternehmen unterschieden. Für Unternehmen mit mehr als 250 Mitarbeitende oder Unternehmen mit sensitiven Daten (z.B. Arztpraxen) gelten weitere Bestimmungen im Bereich der Dokumentation.
Datensicherheit
Die Datensicherheit ist eine Grundlage im Datenschutz. So müssen Unternehmen für die Sicherheit ihrer Personendaten einstehen und diese vor unberechtigten, widerrechtlichen Übergriffen schützen. Werden externe Tools zur Verwaltung von Personendaten verwendet (z.B. Online-Mitgliederverwaltungssoftware), muss der Datenschutz mit dem Lieferanten vertraglich festgehalten sein. «Grundsätzlich ist im Umgang mit Daten immer Vorsicht geboten. Der wirksamste Schutz ist, möglichst wenig Daten herauszugeben. Zudem sollte man immer verifizieren, dass man Daten nicht über gefälschte Webseiten eingibt. Gerade für die Sozialen Netzwerke gilt: Man sollte in den Sozialen Medien nichts bekannt geben, was man in einer Woche nicht mehr lesen will. Der Umgang mit Passwörtern ist genauso ein wichtiges Thema. Sie sollten vierteljährlich gewechselt werden», erklärt Casanova.
Sanktionen und Bussen
Neu könnten aufgrund des Datenschutzgesetzes Bussen ausgesprochen werden. Wer eine betroffene Person zum Zeitpunkt der Datenerhebung nicht ordentlich informiert oder ihr nachträglich auf deren Anfrage keine genügende Auskunft über die erhobenen Daten erstattet, kann sich mit Bussen bis zu 250'000 Franken konfrontiert sehen. «Wie hoch die Bussen bei uns in der Schweiz schlussendlich sein werden, werden wir sehen», so Casanova. Die Höhe von Bussen werde der Richter und nicht er als Datenschutzbeauftragter festlegen. Er geht davon aus, dass bei einem Datenmissbrauchsvorfall der Reputationsschaden bei Kunden, Lieferanten Mitarbeitenden und der Öffentlichkeit meist grösser als die Busse sein wird.
Das ganze Gespräch mit Thomas Casanova und alles Wissenswerte zum Datenschutz finden Sie unter: www.kgv-gr.ch/datenschutz.html.
Vorlagen und Tipps
Schweizerischer Gewerbeverband
Muster Auftragsbearbeitungsvertrag
Muster Datenschutzerklärung
Muster Datenschutzklausel AGB
Muster Datenschutzrichtlinie
Muster_Folgenabschätzung
Muster_Datenverarbeitungsverzeichnis
Weitere Informationen
- Bund: Informationen für KMU
- Anwaltskanzlei Walder Wyss AG: Checkliste
- Anwaltskanzlei Vischer: Schulungsvideo, Anleitung zum One-Pager, Hilfestellung für KMU.
- Thurgauer Gewerbeverband: Dokumente
Was ändert sich mit dem neuen Datenschutzgesetz?
Neu wird beim Datenschutzgesetz zwischen kleineren und grösseren Unternehmen unterschieden. Für Unternehmen mit mehr als 250 Mitarbeitende oder Unternehmen mit sensitiven Daten (beispielsweise Arztpraxis) gelten weitere Bestimmungen vor allem im Bereich der Dokumentation über den Datenschutz.
Die wichtigsten Punkte, welche beim neuen Datenschutzgesetz umzusetzen sind, sind nachfolgend aufgeführt. Für ein KMU sind vor allem die Punkte 1 bis 4 zu beachten.
- Datenschutzerklärung auf der Webseite prüfen und allenfalls anpassen.
- Richtlinien für die Datenbearbeitung innerhalb der Firma festlegen.
- Abmachungen und Verträge mit Lieferanten und Partnerunternehmen schriftlich festlegen. Zwingend ist die Art der Datenspeicherung und die Meldung von Datenschutzverletzungen festzuhalten.
- Datenschutzverantwortliche Person im Unternehmen benennen.
- Verzeichnis der Datenbearbeitung anlegen. Ausgenommen sind Unternehmen mit weniger als 250 Beschäftigten, wenn kein hohes Risiko für Verletzungen der Persönlichkeit vorliegt.
- Vorgehen für die Auskunftspflicht und Antrag zur Löschung von Daten festlegen.
- Vorgehen für Meldung von Datenschutzverletzungen festlegen.
- Prozess für die geforderten Folgenabschätzungen erstellen, sofern das Unternehmen ein hohes Risiko in der Datenverarbeitung eingeht.
- Prüfen, ob Daten in andere Länder übermittelt werden. Falls dies der Fall ist, abklären, ob diese vom Bundesrat als autorisierte Länder eingetragen sind. Ansonsten gelten strengere Auflagen an den Datenschutz.