Question 1

Wen betrifft das DSG und das revDSG?

Accepted Answer

Das Datenschutzgesetz (DSG) gilt für alle Organisationen, die in der Schweiz ansässig sind und Personendaten automatisiert bearbeiten. Das revisionierte Datenschutzgesetz (revDSG) gilt auch für Organisationen ausserhalb der Schweiz, wenn sich ihre Datenbearbeitung ausserhalb der Schweiz auf Sachverhalten in der Schweiz auswirkt.

Question 2

Was sind Personendaten?

Accepted Answer

Personendaten sind alle Informationen, die eine natürliche Person bestimmen oder bestimmbar machen. Dies sind neben allgemeinen Daten, wie zum Beispiel Name, Anschrift, Geburtsdatum, E-Mail, Adresse, Beruf und Staatsangehörigkeit auch besonders schützenswerte Personendaten, die einen erhöhten Schutzbedarf haben und damit strengeren Vorschriften bei der Datenbearbeitung unterliegen. Auch die IP-Adresse stellt ein Personendatum dar.

Question 3

Was sind besonders schützenswerte Personendaten?

Accepted Answer

Neben den allgemeinen Personendaten existieren auch besonders schützenswerte Daten. Dies beinhaltet Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten, Gesundheitsdaten, Daten über die Intimsphäre oder die Zugehörigkeit zu einer Rasse der Ethnie, biometrische und genetische Daten, Daten über verwaltungs- und strafrechtliche Verfolgungen und Daten über Massnahmen der sozialen Hilfe. Diese Datenkategorien werden in der Bearbeitung vom Gesetzgeber als besonders schützenswert eingestuft.

Question 4

Wer muss einen Datenschutzberater bestellen?

Accepted Answer

Die Bestellung eines Datenschutzberaters ist freiwillig, sie hat jedoch Vorteile für Unternehmen mit komplexen Datenbearbeitungsvorgängen.

Question 5

Welche Vorteile haben externe Datenschutzberater gegenüber einem intern bestellten Datenschutzberater?

Accepted Answer

Bei der Entscheidung ob ein interner oder externer Datenschutzberater bestellt wird, sind Faktoren wie z.B. Fachwissen, Haftung, Kündigung und Kosten zu berücksichtigen. Ein externer Datenschutzberater verfügt über fundierte Fachkunde. Er ist stets auf dem aktuellen Stand der Entwicklungen im Datenschutzrecht. Ein externer Datenschutzberater minimiert das Haftungsrisiko des Unternehmens. Er hat keinen besonderen Kündigungsschutz. Kündigungsfristen für das Mandat werden vertraglich geregelt. Die Kosten für die externe Dienstleistung des Datenschutzberaters sind den Kosten für Gehalt, sowie Aus- und Weiterbildungskosten bei einer internen Bestellung gegenüberzustellen.

Question 6

Was kostet ein externer Datenschutzberater im Vergleich zu einer internen Bestellung?

Accepted Answer

Bei der Bestellung eines externen Datenschutzberaters fallen zunächst unterschiedliche Kosten für die Bestandsaufnahme an. Bei der OBSECOM GmbH ist der erste Schritt üblicherweise eine umfangreiche Bestandsaufnahme, die separat abgerechnet wird. Für die fortflaufende Zusammenarbeit wird eine monatliche Pauschale vereinbart. Die Höhe der Pauschale ist abhängig vom Beratungsbedarf des Unternehmens. Da hingegen ein interner Datenschutzberater ausgebildet und regelmässig fortzubilden ist, fallen die Gesamtkosten für einen externen Datenschutzberater, langfristig betrachtet, voraussichtlich geringer aus.

Question 7

Welche Vorteile hat die Bestellung eines Datenschutzberaters?

Accepted Answer

Der Datenschutzberater ist Anlaufstelle für Betroffene und Aufsichtsbehörden. Er arbeitet mit dem Compliance-Team des Unternehmens zusammen, berät die Geschäftsleitung und Beschäftigte in Fragen des Datenschutzes und sorgt dafür, dass Datenschutz als Anforderung bei allen Compliance Maßnahmen mitgedacht wird. Er prüft die Bearbeitung von Personendaten und empfiehlt Korrekturmassnahmen. Ist bei risikoreichen Datenbearbeitungen eine Datenschutz-Folgenabschätzung auszuführen, so kann das Unternehmen von der Konsultation des EDÖB absehen, wenn ein Datenschutzberater einbezogen wurde.

Question 8

Was sollte bei der Benennung eines externen Datenschutzberater beachtet werden?

Accepted Answer

Bei der Auswahl eines externen Datenschutzberater sollte auf dessen berufliche Qualifikation und insbesondere sein Fachwissen geachtet werden. Der Datenschutzberater soll auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis kompetent sein und sich regelmässig fortbilden. Die Auswahl einer geeigneten Person fällt leichter, wenn der Datenschutzberater Mitglied in Fachverbänden ist und eine entsprechende Expertise in IT-Recht, dem Beschäftigtendatenschutz oder anderen, für das Unternehmen wichtigen Datenschutzthemen hat.

Question 9

Wann spricht man von einer Verletzung der Datensicherheit?

Accepted Answer

Eine Verletzung der Datensicherheit (Datenschutzverletzung) liegt vor, wenn die Sicherheit oder der Schutz von Personendaten verletzt wird. Dabei ist irrelevant, ob dies unbeabsichtigt oder unrechtmässig geschieht. Eine Datenschutzverletzung kann z.B. durch den Verlust oder die Vernichtung von Personendaten entstehen, oder wenn Personendaten einem Dritten unbefugt offengelegt oder zugänglich gemacht werden (z.B. Versand einer E-Mail an falsche Empfänger, Hackerangriff).

Question 10

Wann muss eine Datenschutzverletzung gemeldet werden?

Accepted Answer

Eine Datenschutzverletzung ist zu melden, wenn die Verletzung zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt. Das Risiko muss sorgfältig abgewogen werden und Auswirkungen, die Entscheidungsgründe un die getroffenen Massnahmen sind schriftlich und nachvollziehbar zu dokumentieren. Die Dokumentation muss mindestens 2 Jahre aufbewahrt werden. Im Falle einer solchen Verletzung soll der Vorfall so rach als möglich dem EDÖB gemeldet werden. Ausserdem sind die Betroffenen zu benachrichtigen, wenn dies zu ihrem Schutz erforderlich ist.

Question 11

Welche Konsequenzen hat eine Datenschutzverletzung?

Accepted Answer

Je nach Schwere der Datenschutzvletzung können die Betroffenen einen Ersatz für den entstandenen Schaden verlangen. Sollten durch die Datenschutzverletzung auch Personen in der EU betroffen sein, so können die EU Aufsichtsbehörden ein Bussgeld verhängen. Bei der Entscheidung über die Höhe einer Geldbusse muss der Einzelfall betrachtet werden. Dabei sind unter anderem Schwere und Dauer des Verstosses zu berücksichtigen, vorsätzliches oder fahrlässiges Handeln des Verantwortlichen und welche Art Personendaten vom Verstoss betroffen sind. Die EU Datenschutz-Grundverordnung sieht Geldbussen von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr vor.

Question 12

Was ist eine Datenschutzinformation und wofür wird sie benötitgt?

Accepted Answer

Immer dann, wenn ein Unternehmen Personendaten erhebt, bearbeitet, nutzt oder an Dritte weitergibt, muss es die Betroffenen über die Bearbeitung dieser Daten zum Zeitpunkt der Beschaffung aufklären. Diese Information wird durch eine Datenschutzinformation (Datenschutzerklärung, Privacy Notice) erteilt. In Bezug auf die Datenbearbeitung durch eine Webseite soll die Datenschutzinformation generell leicht zugänglich auf der Website zu finden sein. Je nachdem zu welchen Zwecken das Unternehmen sonst noch Personendaten bearbeitet, müssen weitere Informationen vorgehalten werden (z.B. für Mitarbeitende oder Geschäftspartner).

Question 13

Welche Informationspflichten haben Unternehmen gegenüber Betroffenen?

Accepted Answer

Verantwortliche Unternehmen müssen zum Zeitpunkt der Erhebung von Personendaten die Betroffenen über Umfang und Zwecke der Datenbearbeitung informieren. Betroffene können Kunden, Mitarbeitende und Bewerber sein, aber auch interessierte Geschäftspartner. Den Umfang der Auskunftserteilung ist in Artikel 19 revDSG geregelt.

Question 14

Gibt es Ausnahmen zu den datenschutzrechtlichen Informationspflichten?

Accepted Answer

Ja, eine Information nach Art. 19 revDSG muss nicht erneut erteilt werden, wenn die betroffene Person bereits über die Informationen verfügt, die Bearbeitung gesetzlich vorgesehen ist, der Verantwortliche gesetzlich zur Geheimhaltung verpflichtet ist oder das Medienprivileg in Anspruch nehmen kann. Eine Information zur Datenbearbeitung über Dritte muss ausserdem nicht erteilt werden, wenn die Erteilung der Information sich als unmöglich erweist oder einen unverhältnismässigen Aufwand erfordern würde.

Question 15

Welche Informationspflichten sind beim Newsletterversand zu beachten?

Accepted Answer

Da bei Versand eines Newsletters Personendaten bearbeitet werden, sind auch hier die Informationspflichten der DSG einzuhalten. Der Empfänger eines Newsletters muss über die Bearbeitung seiner zur Verfügung gestellten Personendaten entsprechend informiert werden. Da die Anmeldung zum Newsletter üblicherweise auf der Einwilligung des Empfängers basiert, soll die Information alle relevanten Angaben enthalten, um dem Empfänger eine freie und informierte Entscheidung zu ermöglichen. Idealerweise beschreibt die Datenschutzinformation, wie mit den Nutzerdaten im Rahmen des Newsletter-Versand umgegangen wird und durch welche externen Dienstleister die Bearbeitung erfolgt. Die Datenschutzinformation soll zum Zeitpunkt der Datenbeschaffung (bei Anmeldung am Newsletter) einsehbar sein und kann danach bei jedem Versand des Newsletters mittels eines, in die E-Mail integrierten Links zugänglich gemacht werden.

Question 16

Ist eine Datenschutzinformation für eine Facebook-Seite erforderlich?

Accepted Answer

Wird eine öffentlich zugängliche Facebook-Fanpage (Facebook-Unternehmensseite) betrieben, so werden dabei auch Personendaten verarbeitet (z.B. Webstatistiken / Facebook-Insights, Kontaktformulare oder Umfragen). Entsprechend muss eine Datenschutzinformation veröffentlicht werden. Dies kann entweder über einen Menüpunkt, einen Seitenreiter oder einen Eintrag im App-Bereich geschehen. Dabei kann entweder der vollständige Text oder eine Verlinkung auf ein externes Dokument (z.B. auf die Webseite des Unternehmens) integriert werden. Der Betreiber einer Fanpage ist zusammen mit Facebook für die Datenbearbeitung im Rahmen der Fanpage verantwortlich. Beide Stellen müssen über die jeweils von ihnen verantwortete Datenbearbeitung informieren. Im Besonderen soll die Datenschutzerklärung Hinweise enthalten, an welche Stelle die betroffenen Personen sich wenden können, wenn Sie ihre Betroffenenrechten in Anspruch nehmen möchten.

Question 17

Was ist ein Auftragsbearbeiter?

Accepted Answer

Ein Auftragsbearbeiter ist eine natürliche oder juristische Person (ein Unternehmen), Bundesorgan oder andere Stelle, die Personendaten im Auftrag des Verantwortlichen bearbeitet. Der Auftragsbearbeiter darf die zur Bearbeitung übermittelten Personendaten nur auf Anweisung des Verantwortlichen und auf Grundlage eines Vertrages bearbeiten. Der Auftragsbearbeiter muss geeignete technische und organisatorische Massnahmen zum Schutz der Daten umsetzen. Beispiele für Auftragsbearbeiter sind IT-Dienstleister, Cloud-Provider oder Aktenvernichtungsunternehmen.

Question 18

Wann muss ein Vertrag zur Auftragsbearbeitung abgeschlossen werden?

Accepted Answer

Ein Vertrag zur Auftragsbearbeitung muss immer dann abgeschlossen werden, wenn ein externer Dienstleister auf Personendaten zugreift und diese weisungsgebunden im Auftrag des Verantwortlichen bearbeitet.

Question 19

Was ist das Verzeichnis der Bearbeitungstätigkeiten?

Accepted Answer

Nach dem revDSG ist jede Stelle, die Personendaten bearbeitet, dazu verpflichtet die Bearbeitungsvorgänge in einem Verzeichnis aufzuführen und zu dokumentieren. Welche Angaben das Verzeichnis enthalten muss regelt Artikel 12 revDSG. Das Verzeichnis enthält unter anderem folgende Angaben: Bearbeitungszwecke, Beschreibung der Kategorien betroffener Personen, Kategorien von Empfängern, Datenübermittlung ins Ausland, Löschfristen und eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen.

Datenschutz FAQ Schweiz: Wirklich verwirrende Fragen und klare Antworten

Inhalt

Allgemeines