Schweizer Datenschutzgesetz: Wissenswertes für Unternehmer und Privatpersonen
Datenschutz dient dem Schutz der Persönlichkeit und der Grundrechte von Personen, deren Daten bearbeitet werden. Der Schutz ist weitreichend: Geschützt sind sämtliche Personendaten, insbesondere heikle wie beispielsweise Daten über die ethnische Herkunft sowie religiöse oder weltanschauliche Überzeugungen. Als Bearbeitung gilt jeder Umgang mit Personendaten wie Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen, Vernichten usw. Das neue Datenschutzgesetz konzentriert sich auf den Schutz von natürlichen Personen.
Grundsätze der Datenbearbeitung
Rechtmässigkeit: Personendaten dürfen nur im Rahmen des rechtlich Zulässigen bearbeitet werden. Insbesondere dürfen die Daten nicht an unberechtigte Dritte und ohne Einwilligung der betroffenen Person weitergegeben werden.
Treu und Glaube: Eine rechtsmissbräuchliche Datenbearbeitung ist unzulässig.
Verhältnismässigkeit: Es dürfen nur diejenigen und nur so viele Daten bearbeitet werden, wie erforderlich sind. Zudem dürfen nur diejenigen Personen Zugriff auf die Daten haben, für deren Aufgabenerfüllung dies notwendig ist.
Zweckbindung: Die Daten dürfen nur für den festgelegten bzw. erkennbaren Zweck bearbeitet werden.
Transparenz: Die Datenbearbeitung muss für die betroffene Person aus den Umständen heraus oder aufgrund einer expliziten Information erkennbar sein. Die Person kann beim Verantwortlichen Auskunft dar- über verlangen, ob über sie Personendaten bearbeitet werden, und die Herausgabe bzw. Übertragung in elektronischer Form verlangen.
Privacy by Default und by Design: Die Datenbearbeitung muss technisch und organisatorisch so ausgestaltet sein, dass die Datenschutzgrundsätze eingehalten sind. Insbesondere muss die Datenbearbeitung mittels Voreinstellungen auf das nötige Mindestmass beschränkt sein.
Richtigkeit: Die bearbeiteten Daten müssen sachlich richtig und in Bezug auf den Zweck der Datenbearbeitung vollständig sein. Falsche Daten müssen berichtigt, gelöscht oder vernichtet werden.
Sicherheit: Die Sicherheit der bearbeiteten Daten muss durch technische und organisatorische Massnahmen gewährleistet sein. Daten müssen insbesondere vor unbeabsichtigter oder widerrechtlicher Veränderung, Löschung oder Vernichtung sowie unbefugtem Zugriff geschützt werden. Im Unternehmen kann ein Datenschutzberater ernannt werden, der als Anlaufstelle für betroffene Personen oder für die Behörden dient. Verantwortlich für den Datenschutz ist, wer über Zweck und Mittel der Bearbeitung entscheidet. Datenschutz ist damit Chefsache!
Neue Pflichten
Verantwortliche und Auftragsbearbeiter müssen künftig ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Wer Personendaten beschafft, muss die betroffene Person angemessen über die Beschaffung informieren. Die Information umfasst mindestens die Identität und die Kontaktdaten des Verantwortlichen sowie den Bearbeitungszweck. Wenn die Bearbeitung von Personendaten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person in sich birgt, muss der Verantwortliche vorab eine Datenschutzfolgeabschätzung mit einer Beschreibung der geplanten Bearbeitung, einer Risikobewertung und Massnahmen erstellen. Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit und die Grundrechte der betroffenen Person führen, müssen so rasch wie möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und allenfalls der betroffenen Person gemeldet werden. Bei einer vorsätzlichen Verletzung dieser Pflichten drohen eine strafrechtliche Verfolgung und Bussen bis zu 250 000 Franken.
So sichern Sie Ihr Unternehmen ab
1. | Saubere Auslegeordnung der IT-Infrastruktur; Problempunkte beheben. |
2. | Thema und Lösungsvorschläge mit den Kunden besprechen (z. B. unverschlüsselter Datenversand). |
3. | Bereiche auflisten, wo potenzielle Fallen bestehen (z. B. Ablage von Buchungsunterlagen), und Handhabung definieren. |
4. | Intern die Gefahren aufzeigen, die im Umgang mit E-Mails und mobilen Endgeräten auftreten können. Handlungsregeln definieren. |
5. | Auftragsbestätigungen mit Info zu Datenschutz und -haltung versehen. |