Datenschutz FAQ Schweiz: Wirklich verwirrende Fragen und klare Antworten

Inhalt

Wen betrifft das DSG und das revDSG?
Was sind Personendaten?
Was sind besonders schützenswerte Personendaten?
Wer muss einen Datenschutzberater bestellen?
Welche Vorteile hat ein externer Datenschutzberater gegenüber einem intern bestellten Datenschutzberater?
Was kostet ein externer Datenschutzberater im Vergleich zu einer internen Bestellung?
Welche Vorteile hat die Bestellung eines Datenschutzberaters?
Was sollte bei der Benennung eines externen Datenschutzberaters beachtet werden?
Wann spricht man von einer Verletzung der Datensicherheit?
Wann muss eine Datenschutzverletzung gemeldet werden?
Welche Konsequenzen hat ein Datenschutzverletzung?
Was ist eine Datenschutzinformation und wofür wird sie benötigt?
Welche Informationspflichten haben Unternehmen gegenüber Betroffenen?
Gibt es Ausnahmen zu den datenschutzrechtlichen Informationspflichten?
Welche Informationspflichten sind beim Newsletterversand zu beachten?
Ist eine Datenschutzerklärung für eine Facebook-Seite erforderlich?
Was ist ein Auftragsbearbeiter?
Wann muss ein Vertrag zur Auftragsbearbeitung abgeschlossen werden?
Was ist das Verzeichnis der Bearbeitungstätigkeiten?

Allgemeines

Unsere Antworten auf allgemeine Fragen zum Thema Datenschutz:

Wen betrifft das DSG und das revDSG?

Das Datenschutzgesetz (DSG) gilt für alle Organisationen, die in der Schweiz ansässig sind und Personendaten automatisiert bearbeiten. Das revisionierte Datenschutzgesetz (revDSG) gilt auch für Organisationen ausserhalb der Schweiz, wenn sich ihre Datenbearbeitung ausserhalb der Schweiz auf Sachverhalten in der Schweiz auswirkt.

Was sind Personendaten?

Personendaten sind alle Informationen, die eine natürliche Person bestimmen oder bestimmbar machen. Dies sind neben allgemeinen Daten, wie zum Beispiel Name, Anschrift, Geburtsdatum, E-Mail, Adresse, Beruf und Staatsangehörigkeit auch besonders schützenswerte Personendaten, die einen erhöhten Schutzbedarf haben und damit strengeren Vorschriften bei der Datenbearbeitung unterliegen. Auch die IP-Adresse stellt ein Personendatum dar.

Was sind besonders schützenswerte Personendaten?

Neben den allgemeinen Personendaten existieren auch besonders schützenswerte Daten. Dies beinhaltet Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten, Gesundheitsdaten, Daten über die Intimsphäre oder die Zugehörigkeit zu einer Rasse der Ethnie, biometrische und genetische Daten, Daten über verwaltungs- und strafrechtliche Verfolgungen und Daten über Massnahmen der sozialen Hilfe. Diese Datenkategorien werden in der Bearbeitung vom Gesetzgeber als besonders schützenswert eingestuft.

Datenschutzberater

Unsere Antworten auf Fragen zu Bestellpflicht und Aufgaben des Datenschutzberaters:

Wer muss einen Datenschutzberater bestellen?

Die Bestellung eines Datenschutzberaters ist freiwillig, sie hat jedoch Vorteile für Unternehmen mit komplexen Datenbearbeitungsvorgängen.

Welche Vorteile haben externe Datenschutzberater gegenüber einem intern bestellten Datenschutzberater?

Bei der Entscheidung ob ein interner oder externer Datenschutzberater bestellt wird, sind Faktoren wie z.B. Fachwissen, Haftung, Kündigung und Kosten zu berücksichtigen. Ein externer Datenschutzberater verfügt über fundierte Fachkunde. Er ist stets auf dem aktuellen Stand der Entwicklungen im Datenschutzrecht. Ein externer Datenschutzberater minimiert das Haftungsrisiko des Unternehmens. Er hat keinen besonderen Kündigungsschutz. Kündigungsfristen für das Mandat werden vertraglich geregelt. Die Kosten für die externe Dienstleistung des Datenschutzberaters sind den Kosten für Gehalt, sowie Aus- und Weiterbildungskosten bei einer internen Bestellung gegenüberzustellen.

Was kostet ein externer Datenschutzberater im Vergleich zu einer internen Bestellung?

Bei der Bestellung eines externen Datenschutzberaters fallen zunächst unterschiedliche Kosten für die Bestandsaufnahme an. Bei der OBSECOM GmbH ist der erste Schritt üblicherweise eine umfangreiche Bestandsaufnahme, die separat abgerechnet wird. Für die fortflaufende Zusammenarbeit wird eine monatliche Pauschale vereinbart. Die Höhe der Pauschale ist abhängig vom Beratungsbedarf des Unternehmens. Da hingegen ein interner Datenschutzberater ausgebildet und regelmässig fortzubilden ist, fallen die Gesamtkosten für einen externen Datenschutzberater, langfristig betrachtet, voraussichtlich geringer aus.

Welche Vorteile hat die Bestellung eines Datenschutzberaters?

Der Datenschutzberater ist Anlaufstelle für Betroffene und Aufsichtsbehörden. Er arbeitet mit dem Compliance-Team des Unternehmens zusammen, berät die Geschäftsleitung und Beschäftigte in Fragen des Datenschutzes und sorgt dafür, dass Datenschutz als Anforderung bei allen Compliance Maßnahmen mitgedacht wird. Er prüft die Bearbeitung von Personendaten und empfiehlt Korrekturmassnahmen. Ist bei risikoreichen Datenbearbeitungen eine Datenschutz-Folgenabschätzung auszuführen, so kann das Unternehmen von der Konsultation des EDÖB absehen, wenn ein Datenschutzberater einbezogen wurde.

Was sollte bei der Benennung eines externen Datenschutzberater beachtet werden?

Bei der Auswahl eines externen Datenschutzberater sollte auf dessen berufliche Qualifikation und insbesondere sein Fachwissen geachtet werden. Der Datenschutzberater soll auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis kompetent sein und sich regelmässig fortbilden. Daher fällt die Auswahl einer geeigneten Person leichter, wenn der Datenschutzberater Mitglied in Fachverbänden ist und eine entsprechende Expertise in IT-Recht, Beschäftigtendatenschutz oder anderen, für das Unternehmen wichtigen Datenschutzthemen hat.

Hier finden Sie weitere Informationen zu den Dienstleistungen der OBSECOM GmbH als externe Datenschutzberater Schweiz.

Verletzungen der Datensicherheit

Unsere Antworten auf Fragen zu Verletzungen zur Datensicherheit und Meldepflichten:

Wann spricht man von einer Verletzung der Datensicherheit?

Eine Verletzung der Datensicherheit (Datenschutzverletzung) liegt vor, wenn die Sicherheit oder der Schutz von Personendaten verletzt wird. Dabei ist irrelevant, ob dies unbeabsichtigt oder unrechtmässig geschieht. Eine Datenschutzverletzung kann z.B. durch den Verlust oder die Vernichtung von Personendaten entstehen, oder wenn Personendaten einem Dritten unbefugt offengelegt oder zugänglich gemacht werden (z.B. Versand einer E-Mail an falsche Empfänger, Hackerangriff).

Wann muss eine Datenschutzverletzung gemeldet werden?

Eine Datenschutzverletzung ist zu melden, wenn die Verletzung zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt. Das Risiko muss sorgfältig abgewogen werden und Auswirkungen, die Entscheidungsgründe un die getroffenen Massnahmen sind schriftlich und nachvollziehbar zu dokumentieren. Die Dokumentation muss mindestens 2 Jahre aufbewahrt werden. Im Falle einer solchen Verletzung soll der Vorfall so rach als möglich dem EDÖB gemeldet werden. Ausserdem sind die Betroffenen zu benachrichtigen, wenn dies zu ihrem Schutz erforderlich ist. 

Welche Konsequenzen hat eine Datenschutzverletzung?

Je nach Schwere der Datenschutzvletzung können die Betroffenen einen Ersatz für den entstandenen Schaden verlangen. Sollten durch die Datenschutzverletzung auch Personen in der EU betroffen sein, so können die EU Aufsichtsbehörden ein Bussgeld verhängen. Bei der Entscheidung über die Höhe einer Geldbusse muss der Einzelfall betrachtet werden. Dabei sind unter anderem Schwere und Dauer des Verstosses zu berücksichtigen, vorsätzliches oder fahrlässiges Handeln des Verantwortlichen und welche Art Personendaten vom Verstoss betroffen sind. Die EU Datenschutz-Grundverordnung sieht Geldbussen von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr vor.

Informationspflichten

Unsere Antworten auf Fragen zu Informationspflichten:

Was ist eine Datenschutzinformation und wofür wird sie benötitgt?

Immer dann, wenn ein Unternehmen Personendaten erhebt, bearbeitet, nutzt oder an Dritte weitergibt, muss es die Betroffenen über die Bearbeitung dieser Daten zum Zeitpunkt der Beschaffung aufklären. Diese Information wird durch eine Datenschutzinformation (Datenschutzerklärung, Privacy Notice) erteilt. In Bezug auf die Datenbearbeitung durch eine Webseite soll die Datenschutzinformation generell leicht zugänglich auf der Website zu finden sein. Je nachdem zu welchen Zwecken das Unternehmen sonst noch Personendaten bearbeitet, müssen weitere Informationen vorgehalten werden (z.B. für Mitarbeitende oder Geschäftspartner).

Welche Informationspflichten haben Unternehmen gegenüber Betroffenen?

Verantwortliche Unternehmen müssen zum Zeitpunkt der Erhebung von Personendaten die Betroffenen über Umfang und Zwecke der Datenbearbeitung informieren. Betroffene können Kunden, Mitarbeitende und Bewerber sein, aber auch interessierte Geschäftspartner. Den Umfang der Auskunftserteilung ist in Artikel 19 revDSG geregelt. Es müssen mindestens folgende Angaben gemacht werden:

  • Identität und Kontaktdaten des Verantwortlichen.
  • Die Zweck der Bearbeitung von Personendaten.
  • Die Empfänger oder Kategorien von Empfängern, denen Personendaten übermittelt werden.
  • Wenn die Personendaten nicht bei der betroffenen Person beschafft werden, dann sind auch die Datenkategorien anzugeben.
  • Die Absicht des Verantwortlichen die Daten ins Ausland zu übermitteln und ggf. die Garantien,  mit denen die Rechte der Betroffenen im Zielland gewahrt werden.

Optional koennen weitere Angaben im Interesse der Transparenz gemacht werden:

  • Die Kontaktdaten des Datenschutzberaters.
  • Angaben zur Speicherdauer der Personendaten
  • Aufklärung über Betroffenenrechte: Auskunft, Berichtigung, Löschung und Einschränkung der Bearbeitung, sowie Datenübertragbarkeit und Widerspruchsrecht.

Gibt es Ausnahmen zu den datenschutzrechtlichen Informationspflichten?

Ja, eine Information nach Art. 19 revDSG muss nicht erneut erteilt werden, wenn die betroffene Person bereits über die Informationen verfügt, die Bearbeitung gesetzlich vorgesehen ist, der Verantwortliche gesetzlich zur Geheimhaltung verpflichtet ist oder das Medienprivileg in Anspruch nehmen kann. Eine Information zur Datenbearbeitung über Dritte muss ausserdem nicht erteilt werden, wenn die Erteilung der Information sich als unmöglich erweist oder einen unverhältnismässigen Aufwand erfordern würde.

Welche Informationspflichten sind beim Newsletterversand zu beachten?

Da bei Versand eines Newsletters Personendaten bearbeitet werden, sind auch hier die Informationspflichten der DSG einzuhalten. Der Empfänger eines Newsletters muss über die Bearbeitung seiner zur Verfügung gestellten Personendaten entsprechend informiert werden. Da die Anmeldung zum Newsletter üblicherweise auf der Einwilligung des Empfängers basiert, soll die Information alle relevanten Angaben enthalten, um dem Empfänger eine freie und informierte Entscheidung zu ermöglichen. Idealerweise beschreibt die Datenschutzinformation, wie mit den Nutzerdaten im Rahmen des Newsletter-Versand umgegangen wird und durch welche externen Dienstleister die Bearbeitung erfolgt. Die Datenschutzinformation soll zum Zeitpunkt der Datenbeschaffung (bei Anmeldung am Newsletter) einsehbar sein und kann danach bei jedem Versand des Newsletters mittels eines, in die E-Mail integrierten Links zugänglich gemacht werden.

Ist eine Datenschutzinformation für eine Facebook-Seite erforderlich?

Wird eine öffentlich zugängliche Facebook-Fanpage (Facebook-Unternehmensseite) betrieben, so werden dabei auch Personendaten verarbeitet (z.B. Webstatistiken / Facebook-Insights, Kontaktformulare oder Umfragen). Entsprechend muss eine Datenschutzinformation veröffentlicht werden. Dies kann entweder über einen Menüpunkt, einen Seitenreiter oder einen Eintrag im App-Bereich geschehen. Dabei kann entweder der vollständige Text oder eine Verlinkung auf ein externes Dokument (z.B. auf die Webseite des Unternehmens) integriert werden. Der Betreiber einer Fanpage ist zusammen mit Facebook für die Datenbearbeitung im Rahmen der Fanpage verantwortlich. Somit müssen beide Stellen über die jeweils von ihnen verantwortete Datenbearbeitung informieren. Im Besonderen soll die Datenschutzerklärung Hinweise enthalten, an welche Stelle die betroffenen Personen sich wenden können, wenn Sie ihre Betroffenenrechten in Anspruch nehmen möchten.

Sonstige Pflichten

Unsere Antworten auf Fragen zu sonstigen datenschutzrechtlichen Pflichten:

Was ist ein Auftragsbearbeiter?

Ein Auftragsbearbeiter ist eine natürliche oder juristische Person (ein Unternehmen), Bundesorgan oder andere Stelle, die Personendaten im Auftrag des Verantwortlichen bearbeitet. Der Auftragsbearbeiter darf die zur Bearbeitung übermittelten Personendaten nur auf Anweisung des Verantwortlichen und auf Grundlage eines Vertrages bearbeiten. Der Auftragsbearbeiter muss geeignete technische und organisatorische Massnahmen zum Schutz der Daten umsetzen. Beispiele für Auftragsbearbeiter sind IT-Dienstleister, Cloud-Provider oder Aktenvernichtungsunternehmen.

Wann muss ein Vertrag zur Auftragsbearbeitung abgeschlossen werden?

Ein Vertrag zur Auftragsbearbeitung muss immer dann abgeschlossen werden, wenn ein externer Dienstleister auf Personendaten zugreift und diese weisungsgebunden im Auftrag des Verantwortlichen bearbeitet.

Was ist das Verzeichnis der Bearbeitungstätigkeiten?

Nach dem revDSG ist jede Stelle, die Personendaten bearbeitet, dazu verpflichtet die Bearbeitungsvorgänge in einem Verzeichnis aufzuführen und zu dokumentieren. Welche Angaben das Verzeichnis enthalten muss regelt Artikel 12 revDSG. Das Verzeichnis enthält unter anderem folgende Angaben: Bearbeitungszwecke, Beschreibung der Kategorien betroffener Personen, Kategorien von Empfängern, Datenübermittlung ins Ausland, Löschfristen und eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen.