Wie setzen Unternehmen das neue Datenschutzgesetz sinnvoll um?
Veröffentlicht am 17.05.2024 von Fredy Pillinger, Verkaufsleiter ostjob.ch - Bildquelle: Getty Images
Das revidierte Schweizer Datenschutzgesetz ist im September 2023 in Kraft getreten. Dies stellt Unternehmen und Vereine vor die Herausforderung, die neuen rechtlichen Bedingungen sinnvoll umzusetzen, damit keine Strafzahlungen drohen.
Praktische Umsetzung des neuen Datenschutzgesetzes in Schweizer Betrieben
Nicht jedes Sammeln und Bearbeiten von personenbezogenen Daten ist unzulässig. Es gibt zahlreiche rechtmässige Möglichkeiten der Datenverarbeitung. Ein wichtiger Grundsatz, der unbedingt eingehalten werden muss, ist jedoch die Verhältnismässigkeit. So ist es nicht zulässig, ohne einen wichtigen Grund personenbezogene Daten zu sammeln. Darüber hinaus muss der Zweck der Datensammlung jederzeit ersichtlich sein, damit keine Persönlichkeitsverletzung vorliegt. Falls der ursprüngliche Zweck der Datenerhebung nicht mehr zutrifft, ist eine Löschung oder alternativ eine Anonymisierung von Daten unvermeidlich.
Von grosser Bedeutung ist eine Datenschutzerklärung, die Nutzerinnen und Nutzer über den Zweck und Umfang von Datenbearbeitungen informiert, die beispielsweise durch die Nutzung einer Website auftreten. Es ist zwar nicht notwendig, dass eine Datenschutzerklärung separat durch ein Formular akzeptiert werden muss. Allerdings ist wichtig, dass die Datenschutzerklärung auf einer Website leicht gefunden werden kann.
"Privacy by Default" und "Privacy by Design"
Für jeden Betrieb und jeden Verein ist es wichtig, dass sie sich technisch auf den neuesten Stand bringen. Firewalls und eingeschränkte Zugriffsrechte sind hilfreiche technische Möglichkeiten, um eine Datensicherheit zu gewährleisten. Darüber hinaus sollte jedes Unternehmen grundlegende Prinzipien wie "Privacy by Default", also datenschutzfreundliche Voreinstellungen, kennen. Konkret bedeutet das: Die Standardeinstellung muss jeweils die datenschutzfreundlichste Variante sein.
Beispielsweise darf die Voreinstellung nicht die Benutzernamen für andere Personen standardmässig erkenntlich machen, wenn es möglich ist, die Sichtbarkeit des Benutzernamens zu deaktivieren. Ein weiterer Grundsatz, den Betriebe erfüllen sollten, ist das Prinzip des "Privacy by Design". Das bedeutet: Die Gewährleistung von Betroffenenrechten in punkto Datenschutz soll generell schon in einem ersten Schritt durch technische Massnahmen gewährleistet werden.
Bei Missachtung der Gesetze drohen Sanktionen und Strafen
Es ist empfehlenswert, das Datenschutzgesetz ernst zu nehmen und sich penibel an die Bestimmungen zu halten. Ansonsten kann nicht nur ein grosser Vertrauensverlust bei betroffenen Kundinnen und Kunden oder Vereinsmitgliedern die Folge sein, sondern es drohen im Einzelfall auch hohe Bussgelder. Betriebsinterne Schulungen sind sinnvolle Massnahmen, damit alle Beschäftigten eines Unternehmens die Relevanz von Persönlichkeitsrechten und Datenschutz erfahren.
Jedes Unternehmen und jeder Verein in der Schweiz sollte idealerweise eine Person auswählen, die sich innerhalb der Organisation für das Thema Datenschutz einsetzt und eine beratende Funktion einnimmt. Grundsätzlich sind auch Privatpersonen von den neuen gesetzlichen Bestimmungen betroffen. Wenn Sie Fotos oder andere personenbezogene Informationen Ihrer engen Freunde oder Familienmitglieder lediglich zu Ihrem persönlichen Gebrauch bearbeiten und nutzen, sind Sie von den strengen Regelungen nicht betroffen.
Falls Sie allerdings persönliche Daten anderer Personen auf einer privaten Website veröffentlichen, kann Sie dies vor grosse Herausforderungen stellen. Dann müssen Sie nämlich darauf achten, dass Sie wie ein privates Unternehmen oder ein Verein alle Datenschutzvorgaben erfüllen.
Nicht jedes Sammeln und Bearbeiten von personenbezogenen Daten ist unzulässig. Es gibt zahlreiche rechtmässige Möglichkeiten der Datenverarbeitung. Ein wichtiger Grundsatz, der unbedingt eingehalten werden muss, ist jedoch die Verhältnismässigkeit. So ist es nicht zulässig, ohne einen wichtigen Grund personenbezogene Daten zu sammeln. Darüber hinaus muss der Zweck der Datensammlung jederzeit ersichtlich sein, damit keine Persönlichkeitsverletzung vorliegt. Falls der ursprüngliche Zweck der Datenerhebung nicht mehr zutrifft, ist eine Löschung oder alternativ eine Anonymisierung von Daten unvermeidlich.
Von grosser Bedeutung ist eine Datenschutzerklärung, die Nutzerinnen und Nutzer über den Zweck und Umfang von Datenbearbeitungen informiert, die beispielsweise durch die Nutzung einer Website auftreten. Es ist zwar nicht notwendig, dass eine Datenschutzerklärung separat durch ein Formular akzeptiert werden muss. Allerdings ist wichtig, dass die Datenschutzerklärung auf einer Website leicht gefunden werden kann.
"Privacy by Default" und "Privacy by Design"
Für jeden Betrieb und jeden Verein ist es wichtig, dass sie sich technisch auf den neuesten Stand bringen. Firewalls und eingeschränkte Zugriffsrechte sind hilfreiche technische Möglichkeiten, um eine Datensicherheit zu gewährleisten. Darüber hinaus sollte jedes Unternehmen grundlegende Prinzipien wie "Privacy by Default", also datenschutzfreundliche Voreinstellungen, kennen. Konkret bedeutet das: Die Standardeinstellung muss jeweils die datenschutzfreundlichste Variante sein.
Beispielsweise darf die Voreinstellung nicht die Benutzernamen für andere Personen standardmässig erkenntlich machen, wenn es möglich ist, die Sichtbarkeit des Benutzernamens zu deaktivieren. Ein weiterer Grundsatz, den Betriebe erfüllen sollten, ist das Prinzip des "Privacy by Design". Das bedeutet: Die Gewährleistung von Betroffenenrechten in punkto Datenschutz soll generell schon in einem ersten Schritt durch technische Massnahmen gewährleistet werden.
Bei Missachtung der Gesetze drohen Sanktionen und Strafen
Es ist empfehlenswert, das Datenschutzgesetz ernst zu nehmen und sich penibel an die Bestimmungen zu halten. Ansonsten kann nicht nur ein grosser Vertrauensverlust bei betroffenen Kundinnen und Kunden oder Vereinsmitgliedern die Folge sein, sondern es drohen im Einzelfall auch hohe Bussgelder. Betriebsinterne Schulungen sind sinnvolle Massnahmen, damit alle Beschäftigten eines Unternehmens die Relevanz von Persönlichkeitsrechten und Datenschutz erfahren.
Jedes Unternehmen und jeder Verein in der Schweiz sollte idealerweise eine Person auswählen, die sich innerhalb der Organisation für das Thema Datenschutz einsetzt und eine beratende Funktion einnimmt. Grundsätzlich sind auch Privatpersonen von den neuen gesetzlichen Bestimmungen betroffen. Wenn Sie Fotos oder andere personenbezogene Informationen Ihrer engen Freunde oder Familienmitglieder lediglich zu Ihrem persönlichen Gebrauch bearbeiten und nutzen, sind Sie von den strengen Regelungen nicht betroffen.
Falls Sie allerdings persönliche Daten anderer Personen auf einer privaten Website veröffentlichen, kann Sie dies vor grosse Herausforderungen stellen. Dann müssen Sie nämlich darauf achten, dass Sie wie ein privates Unternehmen oder ein Verein alle Datenschutzvorgaben erfüllen.