Aktuell wird gerade ein Schweizer Pendant zur DSGVO, ein neues Bundesgesetz über den Datenschutz, ausgearbeitet. Firmen, die sich schon auf die DSGVO eingestellt haben, dürften, wenn die Schweizer Version fertig ist, bei deren Umsetzung eine erhebliche Zeitersparnis haben.
Folgende Pflichten sind ab 25. Mai 2018 einzuhalten:
- informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
- "Privacy by design" und "Privacy by default" garantieren
- einen Vertreter in der EU benennen
- ein Verzeichnis der Verarbeitungstätigkeiten erstellen
- Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
- eine Datenschutz-Folgenabschätzung durchführen
- bei Verstössen gegen die DSGVO Bussgelder zahlen.
Informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
Gesetzestext
Im EU-Datenschutzrecht gilt – anders als in der Schweiz – das sogenannte Verbot mit Erlaubnisvorbehalt. Das heisst, die Datenverarbeitung ist generell verboten, so lange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder die betroffene Person in die Verarbeitung eingewilligt hat.
Damit die Einwilligung der betroffenen Person gültig ist, müssen bestimmte Voraussetzungen gegeben sein:
− Freie Entscheidung
Die Einwilligung ist nur gültig, wenn die betroffene Person sie freiwillig abgegeben hat. Die betroffene Person muss also eine echte Wahl haben, d.h. sie darf im Zuge der Einholung der Einwilligung nicht vor vollendete Tatsachen gestellt oder sonst in ihrer Entscheidung eingeschränkt werden. In diesem Zusammenhang ist insbesondere auch auf das sogenannte "Koppelungsverbot" hinzuweisen, wonach der Abschluss eines Vertrags nicht von der Verarbeitung weiterer Daten abhängig gemacht werden darf, die für die eigentliche Vertragsdurchführung gar nicht benötigt werden.
− Ausführliche, erkennbare und bestimmte Information
Die betroffene Person muss vor Abgabe der Einwilligungserklärung über den Zweck der Beschaffung und Verarbeitung ihrer personenbezogenen Daten informiert werden. Dabei müssen alle für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen genügend konkret sein. Eine Einwilligung ist also immer an einen bestimmten Zweck gebunden, welcher nicht zu allgemein gehalten werden darf. Die betroffene Person muss schliesslich in die Lage versetzt werden, die Informationen leicht zu erkennen und zu erkennen, dass ihr Handeln als Einwilligung qualifiziert wird.
− Form und aktive Handlung
Gemäss EU-DSGVO genügt die Nachweisbarkeit der Einwilligung durch die verantwortliche Stelle. Die Einwilligung ist also nicht an eine bestimmte Form gebunden und kann auch elektronisch oder mündlich erfolgen. Allerdings soll die Einwilligung nur durch eine eindeutige Handlung zustande kommen. Damit ist regelmässig eine aktive Handlung der betroffenen Person notwendig, andere Varianten wie eine stillschweigende Zustimmung, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person würden daher keine Einwilligung darstellen. Erfolgt die Einwilligung schriftlich, so hat die Aufforderung dazu in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache sowie von anderen Sachverhalten getrennt zu erfolgen.
− Widerruflichkeit
Die betroffene Person kann ihre Einwilligung jederzeit widerrufen. Es muss sichergestellt werden, dass dieser Widerruf
genauso einfach erfolgen kann, wie die Einwilligung selbst.
Tipp des Schweizerischen KMU Verbandes
Wenn Sie eine WebSite oder einen Onlineshop betreiben oder einen eNewsletter versenden, so sollten Sie unbedingt bei den Formularen zur Erfassung von Daten, E-Mail etc. dass Sie auf die Einhaltung des Datenschutzes Ihrerseits bedacht sind.
Schreiben Sie vor den «Senden» Button Ihres Formulares zum Beispiel:
Wir benötigen Ihre E-Mail-Adresse für die Zustellung des Gratis-Downloads oder eNewsletters.
Sie können sich jederzeit über einen Link in unserem eNewsletter oder mittels einer kurzen Nachricht wieder abmelden.
Bitte beachten Sie auch unseren Datenschutz-Hinweis. [Hier ein Link zu Ihrer WebSite mit dem Datenschutzhinweis]
Wichtig:
Wenn Sie in Ihren Formularen Funktionen integriert haben wie:
□ Ich möchte den eNewsletter erhalten
so darf dieses Feld standardmässig NICHT angekreuzt sein.
Unsere Empfehlung:
Bauen Sie in alle Formulare ein:
□ Ich habe Ihre AGB gelesen, verstanden und akzeptiere diese
□ Ich habe die Widerrufsbelehrungen gelesen und akzeptiere diese
□ Ich möchte den eNewsletter erhalten
Unterbinden Sie, dass ohne das Ankreuzen der ersten 2 Kästchen ein Absenden des Formulares überhaupt möglich ist.
Alle Formulare, welche Sie so erhalten, sollten Sie mit der IP Adresse, Datum und Uhrzeit speichern.
In einem Newsletter müssen Sie sicherstellen, dass man sich sowohl über einen einfachen Klick auf einen Abmeldelink oder mittels Rücksendung des eNewsletters mit einem kurzen Hinweis austragen kann.
Tipp:
Erfassen Sie nur Daten, welche Sie wirklich zur Verarbeitung benötigen. Ein Geburtsdatum ist in den seltensten Fällen notwendig, um einen Auftrag zu realisieren. Allenfalls ist es besser, dass Sie eine Abfrage integrieren:
□ Ich bestätige, das 18. Altersjahr erreicht zu haben
"Privacy by design" und "Privacy by default" garantieren
Gesetzestext (Art. 25 DSGVO)
Der Grundsatz "Privacy by Design" (Datenschutz durch Technik) bedeutet, dass der Verantwortliche bereits ab dem Zeitpunkt der Planung einer Datenverarbeitung (z.B. mittels eines neuen IT-Systems oder Prozesses) das Risiko von Verletzungen der Persönlichkeit oder der Grundrechte betroffener Personen verringern und solchen Verletzungen vorbeugen muss. Beispiels weise sollen eine regelmässige Löschung von Daten oder deren standardmässige Anonymisierung vorgesehen werden. Als besonders bedeutsam für den technikgestützten Datenschutz wird jeweils die Datenminimierung hervorgehoben.
Der Grundsatz "Privacy by Default" (Datenschutz durch datenschutzfreundliche Voreinstellung) bedeutet, dass der Verantwortliche verpflichtet ist, mittels geeigneter Voreinstellungen sicherzustellen, dass standardmässig nur diejenigen Personendaten verarbeitet werden, die für den jeweiligen Verwendungszweck erforderlich sind. Beispielsweise muss eine Webseite grundsätzlich Einkäufe erlauben, ohne dass ein Benutzerprofil erstellt werden muss.
Tipp des Schweizerischen KMU Verbandes
Gestalten Sie die Erfassungsmasken auf Ihrer WebSite so, dass nur die wirklich relevanten Daten abgefragt werden. Alle optionalen Daten welche Sie erfassen möchten, sollten klar gekennzeichnet sein.
Das beginnt übrigens schon bei der Anrede, welche ja darüber Auskunft gibt, ob man männlich oder weiblich ist und geht weiter zum Geburtsdatum. Sind diese Daten wirklich zwingend notwendig bei einem Onlinekauf?
Desweiteren könnte man ja zum Beispiel in den eignen Datenschutzbestimmungen schreiben, dass die Daten ausschliesslich in den eigenen Datenverarbeitungssystemen gespeichert sind und der Zugang zu diesen Daten mittels Verschlüsselung und Passwortabfrage den heutigen Anforderungen an den Stand des Datenschutzes entsprechen.
Einen Vertreter in der EU benennen
Gesetzestext
Grundsätzlich müssen Schweizer Verantwortliche oder Auftragsdatenverarbeiter, die vom Anwendungsbereich der EU-DSGVO erfasst werden, einen Vertreter in der EU bezeichnen.
Tipp des Schweizerischen KMU Verbandes
Diese Pflicht entfällt, wenn die Verarbeitung nur gelegentlich erfolgt, keine besonderen Datenkategorien verarbeitet werden und die Verarbeitung nicht zu einem Risiko für die Rechte und Freiheiten der natürlichen Person führt.
Ein Verzeichnis der Verarbeitungstätigkeiten erstellen
Gesetzestext
Der Verantwortliche hat ein Verzeichnis von Verarbeitungstätigkeiten im Unternehmen zu erstellen. Auftragsverarbeiter müssen ein analoges Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten führen. Beim Verzeichnis handelt es sich um eine Dokumentation oder Übersicht über alle Prozesse und Verfahren im Unternehmen, bei welchen personenbezogene Daten verarbeitet werden. Dabei sind die wesentlichen Angaben zur Datenverarbeitung anzugeben, wie z.B. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und allfällige Datenempfänger.
Ein Unternehmen muss dafür zunächst ermitteln, in welchen Fällen personenbezogene Daten von z.B. Kunden, Lieferanten oder Beschäftigten erhoben und verarbeitet werden. Hierzu bietet es sich an, zuerst alle innerhalb der Systemlandschaft des Unternehmens eingesetzten Anwendungen und Tools (z.B. Zeiterfassungssystem, CRM System, HR-Informationssystem) aufzulisten, in denen personenbezogene Daten gespeichert werden. Dies hilft gleichsam bei der Ermittlung der Datenflüsse im Unternehmen und kann auch als Grundlage für das Verzeichnis von Verarbeitungstätigkeiten dienen. Ausserdem werden Schweizer Unternehme ohnehin als Erstes eine Bestandesaufnahme vornehmen müssen, um eruieren zu können, ob sie vom Anwendungsbereich der EU-DSGVO erfasst werden.
Tipp des Schweizerischen KMU Verbandes
Im Artikel 30 DSGVO steht:
Unternehmen mit weniger als 250 Beschäftigten sind – mit einigen Ausnahmen – von dieser Pflicht ausgenommen (vgl. Art. 30 § 5 DSGVO).
Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
Verletzungen des Schutzes personenbezogener Daten müssen der Aufsichtsbehörde möglichst innert 72 Stunden gemeldet werden. Es besteht nur dann keine Meldepflicht, wenn ein Risiko für Rechte und Freiheiten von Individuen unwahrscheinlich ist. Häufig müssen auch die betroffenen Personen benachrichtigt werden.
Tipp des Schweizerischen KMU Verbandes
Natürlich ist es wichtig, ein solches Szenario (Datenverlust durch Hacker o.ä.) einmal komplett «durchzuspielen», entsprechende Massnahmen beim Eintreten eines solchen Falles schriftlich festzuhalten und bei den entsprechenden Stellen (Personalabteilung, Marketing, IT) zu hinterlegen. Ebenso muss dort auch verzeichnet sein, wer von der Firma wo genau die Verletzung des Datenschutzes zu melden hat.
Ein Beispiel:
Sie haben eine umfassende Adressdatenbank und müssen feststellen, dass bei einem Einbruch Ihre IT-Systeme entwendet wurden.
In diesem Fall müssten Sie ein neues IT-System in Betrieb nehmen, den Backup der Adressdaten zurückspielen und danach alle Personen/Firmen informieren, dass möglicherweise Ihre Daten Drittpersonen ohne Berechtigung zugänglich wurden. Natürlich können Sie dann aber vermerken, dass die Daten auf den besagten IT Systemen verschlüsselt und passwortgeschützt waren. In der Datenbank des Schweizerischen KMU Verbandes wurden eigenes dazu so genannte «Fangadressen» integriert, so dass im Falle eines Datendiebstahles und Missbrauchs dies sofort erkannt wird.
Eine Datenschutz-Folgenabschätzung durchführen
Gesetzestext
Wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Wenn die Datenschutz-Folgenabschätzung ergibt, dass eine Datenverarbeitung ohne Massnahmen ein hohes Risiko bedeutet, muss die Aufsichtsbehörde konsultiert werden.
Tipp des Schweizerischen KMU Verbandes
Wenn Sie Daten mit einem hohen Risikofaktor (Zum Beispiel komplette Personen und Firmenprofile, Auslagerung der daten bei externen Datenverarbeitern, externe Datenspeicherung zum Beispiel in der Cloud) sollten Sie unbedingt die Mindestanforderungen der DSGVO Artikel 35 § 7 erfüllen.
Bei Verstössen gegen die DSGVO Bussgelder zahlen
Gesetzestext
Die maximale Geldbusse beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten, weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Dabei gilt der Jahresumsatz des gesamten Konzerns, nicht der einer einzelnen juristischen Person. Ausserdem sieht die EU-DSGVO neu ein Verbandsklagerecht vor, womit zukünftig Verbraucherschutzverbände Rechte von Betroffenen geltend machen können.
Tipp des Schweizerischen KMU Verbandes
Wenn Sie die oben genannten Punkte entsprechend umsetzen und laufend kontrollieren, so müssen Sie sich auch nicht vor Abmahnungen geschäftstüchtiger Anwälte oder dergleichen sorgen.
Quelle:
kmu.admin
KellerhalsCarrard
Muster eines Datenschutzhinweises auf einer Website
hier downloaden
Quelle:
wirtschaftswissen.de