Braucht jede Webseite eine Datenschutzerklärung?
Ein wesentliches Novum des neuen Datenschutzgesetzes der Schweiz ist die Pflicht zur Erteilung gewisser Datenschutzinformationen bei der Beschaffung von Personendaten. Doch was heisst das eigentlich? Braucht jetzt jede Webseite eine Datenschutzerklärung? Fangen wir mal damit an … nach dem revDSG hat jeder Verantwortliche nun die Pflicht – sofern er oder sie auch Personendaten bearbeitet – bereits „bei Beschaffung“ den betroffenen Personen zu erläutern, warum (zu welchem Zweck) Personendaten bearbeitet werden und ob bzw. an wen diese weitergeleitet werden usw. Dieses „Recht auf Information“ der Betroffenen dürfte schon bekannt sein, denn mit Inkrafttreten der DS-GVO (der EU) vor über 5 Jahren wurde auch dort eine solche Verpflichtung aufgenommen. Hintergrund ist, dass Betroffene zumindest die Möglichkeit bekommen sollen, jederzeit zu wissen, wer über sie Personendaten bearbeitet und warum. Eine Einwilligung braucht man für das Bearbeiten von Personendaten in der Schweiz ja grundsätzlich erstmal nicht – das ist alles so lange erlaubt, bis eine betroffene Person der Datenbearbeitung widerspricht oder es ein Verbot gibt. Und nun zur eigentlichen Frage: Auch auf jeder Webseite werden Personendaten bearbeitet. Meist gibt es ein Kontaktformular, wo Personendaten eingetragen werden können (z.B. die E-Mail-Adresse oder eine Telefonnummer). Auch die IP-Adresse, die im Hintergrund mitgetrackt und erfasst wird, stellt wohl ein Personendatum dar. Und daher müssen die Webseitenbesucher (also die betroffenen Personen) über die auf der Webseite stattfindende Datenbearbeitung informiert werden. Und das geschieht über eine „Datenschutzerklärung“. Welche Inhalte in die Datenschutzerklärung rein müssen, ist im Art. 19 revDSG aufgelistet. Ein Blick ins Gesetz lohnt sich also. Das bedeutet: Ja, so gut wie jede Webseite braucht eine Datenschutzerklärung. Wenn Sie bei der Erstellung Unterstützung benötigen, dann schreiben Sie uns gern. Am besten über unser Kontaktformular oder direkt an contact@morgenstern-privacy.ch. Und wie wir mit Ihren Personendaten umgehen, haben wir Ihnen ebenfalls in unserer Datenschutzerklärung dargestellt. Lesen Sie doch einfach mal nach.
Das neue Schweizer Datenschutzgesetz – was ändert sich zum 01.09.2023?
Dass das Schweizer Datenschutzgesetz einer Totalrevision unterzogen wurde, dürfte inzwischen allen Unternehmen und Bundesbehörden in der Schweiz bekannt sein. Auch die meisten Unternehmen ausserhalb der Schweiz, die jedoch in Geschäftsbeziehungen mit Schweizern stehen, haben davon gehört. Doch was genau ändert sich zum September 2023 denn jetzt nun? Wir haben Ihnen die wichtigsten neuen Regelungen im Überblick zusammengefasst. Natürlich ist diese Liste nicht abschliessend. Sie dient ja aber auch nur dazu, einen ersten Überblick zu bekommen. Bei weiteren Fragen rund um Datenschutz und Datensicherheit können Sie sich gern telefonisch oder über unser Kontaktformular an uns wenden. Neuer Geltungsbereich Die neuen Regelungen des revDSG sind nur noch auf Personendaten natürlicher Personen anzuwenden. Juristische Personen (also „Unternehmensdaten“) werden nicht mehr erfasst. Besonders schützenswerte Daten Grundsätzlich dürfen Personendaten in der Schweiz ohne Einwilligung bearbeitet werden. Eine Ausnahme gilt für „besonders schützenswerte Daten“. Wie der Name schon sagt, muss hier das Schutzniveau etwas höher ausfallen und somit ist eine Einwilligung für das Bearbeiten dieser Daten erforderlich. Neu werden nun auch „genetische und biometrische Daten“ vom Begriff der besonders schützenswerten Daten umfasst. Privacy by Design und Privacy by Default Die Grundsätze „Privacy by Design“ (Datenschutz durch Technikgestaltung) und “Privacy by Default” (Datenschutz durch datenschutzfreundliche Voreinstellungen) werden eingeführt. Auch das dürfte manchen bereits aus der DS-GVO der EU bekannt sein. Unternehmen und Bundesbehörden sind also schon ab der Planung entsprechender neuer Vorhaben verpflichtet, entsprechende angemessene technische und organisatorische Massnahmen umzusetzen, um Personendaten zukünftig besser zu schützen. Informationspflichten Eine der zentralsten Änderungen ist die neue Pflicht zur Erteilung gewisser Informationen über die Datenbearbeitung. Bereits bei Beschaffung von Personendaten müssen Betroffene informiert werden. Auch dann, wenn die Personendaten noch nicht mal bei der betroffenen Person selbst erhoben werden. Verzeichnis der Bearbeitungstätigkeiten Es wird obligatorisch. Der Verantwortliche muss nun ein Verzeichnis über sämtliche Bearbeitungstätigkeiten führen. Für Bundesbehörden dürfte das allerdings nichts Neues sein. Doch bevor Sie jetzt loslegen und ein solches Verzeichnis erstellen, sollten Sie zunächst prüfen, ob Sie gegebenenfalls von der Pflicht zur Führung eines Verzeichnis der Bearbeitungstätigkeiten befreit sind. Denn die Datenschutzverordnung (DSV) sieht Ausnahmen vor! Aber auch hier gilt Vorsicht: nur weil Ihr Unternehmen weniger als 250 Mitarbeiter*innen beschäftigt, ist es nicht automatisch von der Pflicht befreit. Datenschutz-Folgenabschätzung Neu ist auch die Pflicht zum Erstellen einer Datenschutz-Folgenabschätzung, sofern die Datenbearbeitung ein hohes Risiko für die Persönlichkeit und die Grundrechte betroffener Personen mit sich bringt. Zunächst muss also erstmal eine Risikoanalyse stattfinden, ob überhaupt ein hohes Risiko besteht. Und denken Sie daran, dass Sie solch eine „aufwändige“ Prüfung eigentlich bereits vor Einführung einer neuen Software oder Ähnlichem durchführen sollten. Meldung von Datenschutzverletzungen Verletzungen der Datensicherheit müssen nun dem EDÖB gemeldet werden, sofern diese für die Betroffenen zu einem hohen Beeinträchtigungsrisiko ihrer Persönlichkeit oder ihrer Grundrechte führen. Eine solche Meldung erfolgt meist online über ein entsprechendes Formular und muss so rasch wie möglich erfolgen. Vorab sollte der Verantwortliche jedoch erst eine Prognose zu den möglichen Auswirkungen der Verletzung erstellen und eine Beurteilung darüber vornehmen, ob die betroffenen Personen ebenfalls über das Ereignis zu informieren sind.
Ist Ihr Unternehmen bereit für das revidierte Schweizer Datenschutzgesetz?
Die Tage sind gezählt. Am 01.09.2023 tritt das totalrevidierte Schweizer Datenschutzgesetz (revDSG) in Kraft. Ebenso wie die Verordnung über den Datenschutz (DSV) und die Verordnung über Datenschutzzertifizierungen (VDSZ). Die Änderungen sind vielfältig. Von der Einführung neuer Pflichten wie z.B. der Informationspflicht oder der Pflicht zur Erstellung einer Datenschutz-Folgenabschätzung bei gewissen Datenbearbeitungen hin zu kleineren Anpassungen wie etwa der Aufnahme neuer Begrifflichkeiten, die nun ebenfalls unter den Schutzbereich der „besonders schützenswerter Personendaten“ fallen (biometrische und genetische Daten). Die Pflicht zur Meldung von Datensammlungen entfällt (zumindest für alle Unternehmen, nicht hingegen für Bundesbehörden), dafür müssen Verantwortliche nun ein Verzeichnis der Bearbeitungstätigkeiten führen und auf Anfrage vorhalten können. Doch bevor Sie jetzt loslegen und wahllos irgendwelche Dokumente erstellen, machen Sie doch einfach unseren Selbsttest und finden Sie heraus, wie es um Ihr Unternehmen in Sachen Datenschutz und Datensicherheit steht. Gern können Sie uns im Anschluss kontaktieren und wir erstellen gemeinsam einen Plan, welche Anforderungen und Pflichten aus dem neuen Datenschutzgesetz Sie nun in Ihrem Unternehmen umsetzen sollten (und wie man das am besten macht). Hier geht’s zum Selbsttest revDSG!
Die Nutzung von Microsoft-365 aus Sicht des revDSG
Die Gewährleistung der digitalen Datensicherheit ist für viele Unternehmen eine anspruchsvolle und herausfordernde Aufgabe. Eine Alternative zur eigenständigen Gewährleistung der Datensicherheit ist das Outsourcing. Datenschutzrechtlich handelt es sich dabei um eine Auftragsbearbeitung. Microsoft 365 ist ein Angebot der amerikanischen Microsoft Corporation, ermöglicht aber die Auswahl der Schweiz als Datenstandort. Somit werden Daten von Schweizer Unternehmen automatisch in der Schweiz gespeichert, sofern die Erstellung der Microsoft365- Umgebung nach der Eröffnung der Microsoft Rechenzentren erfolgte. Die Nutzung von Microsoft 365 ist für Unternehmen in der Schweiz aus datenschutzrechtlicher Sicht zulässig, sofern beim Umstieg bestimmte technische, organisatorische und vertragliche Massnahmen zum Schutz der Datensicherheit umgesetzt werden. Es ist ferner zu empfehlen, die getroffenen Massnahmen zu dokumentieren, um auf Verlangen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nachweisen zu können, dass insbesondere die Datensicherheit gewährleistet ist. Gerne unterstützen wir Sie dabei!