Heute ist ein wichtiger Tag für uns alle in der Schweiz, denn das revidierte Datenschutzgesetz (revDSG) tritt in Kraft. Dieses Gesetz betrifft uns alle und es ist unsere Pflicht, auf dem neusten Stand zu sein. Auch wenn wir keine rechtlich abgesicherten Empfehlungen geben können, teilen wir gerne unsere Erfahrungen und Erkenntnisse.
Weshalb wir ein neues Gesetz benötigen?
In einer Welt, in der sich Technologie rasant entwickelt, ist es unerlässlich, dass auch unsere Gesetze Schritt halten. Mit dem bisherigen Gesetz aus dem Jahr 1992 ist es an der Zeit, auf einen aktuellen Stand zu kommen. Das revidierte Datenschutzgesetz stärkt die Selbstbestimmung der Nutzenden und sorgt für eine transparentere Handhabung unserer Daten. Zudem ist es notwendig, dass die Schweiz von der EU als Drittstaat mit angemessenem Datenschutz anerkannt wird, da in der EU die Datenschutz-Grundverordnung (DSGVO) gilt.
Was hat sich geändert?
Es gibt einige wichtige Änderungen, die Unternehmen beachten müssen:
Natürliche Personen Bis anhin waren auch Daten von juristischen Personen betroffen, neu nur noch diejenigen von natürlichen Personen (Art. 2 DSG).
Genetische und biometrische Daten Diese Daten, die eine Person eindeutig identifizieren, gehören neu auch zu den besonders schützenswerten Daten. In Artikel 5c DSG: finden sich zudem weitere besonders schützenswert Daten wie z. B. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten. Dazu gehören auch Gesundheitsdaten, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie. Und auch Daten über verwaltungs- und strafrechtliche Verfolgung, Sanktionen oder über Massnahmen der sozialen Hilfe.
Privacy by Design Bei Produkten, welche personenbezogene Daten sammeln, muss die Struktur von Anfang an technologisch so gestaltet sein, dass der Schutz und der Respekt der Privatsphäre der Nutzenden gewährleistet ist. Es sollen möglichst wenig Personendaten gesammelt werden, und wenn, dann sollen sie geschützt sein. So sollen beispielsweise bei Kontaktformularen nur noch jene Angaben Pflichtfelder sein, welche auch zwingend benötigt werden (Art. 7 DSG).
Privacy by Default Standardmässig müssen Hardware und Software, sowie jegliche Dienstleistungen so konfiguriert sein, dass sowohl Datenschutz als auch die Einschränkungen der Nutzung der Daten aktiviert ist, ohne dass Nutzende aktiv etwas dafür unternehmen müssen (Art. 7 DSG).
Folgenabschätzung Eine Folgenabschätzung ist erforderlich, wenn die Datenverarbeitung das Potenzial hat, die Persönlichkeitsrechte oder Grundrechte der Nutzenden erheblich zu gefährden. Dies ist insbesondere der Fall, wenn besonders schützenswerte Daten umfassend verarbeitet werden oder wenn im öffentlichen Sektor eine systematische und weitreichende Überwachung stattfindet (Art. 22 Abs. 1 DSG).
Strafbestimmungen Verstösse gegen das Datenschutzgesetz können zu Bussen von bis zu 250'000 CHF für Privatpersonen führen. Weitere Informationen dazu finden sich im Kapitel 8 DSG.
Verzeichnis der Bearbeitungstätigkeiten Grundsätzlich wird neu ein Verzeichnis der Bearbeitungstätigkeiten obligatorisch. Ausgenommen davon sind KMU, wenn nur ein geringes Risiko für Verletzungen der Persönlichkeitsrechte von Nutzenden durch die Datenbearbeitung besteht (Art. 12 DSG).
Meldung bei Datensicherheitsverletzungen Wenn die Datensicherheit verletzt wird, ist eine rasche Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zwingend (Art. 24 DSG).
Profiling Profiling bedeutet die automatisierte Bearbeitung von personenbezogenen Daten. Dieser Begriff wurde neu in das Gesetz aufgenommen. Verwendet wird das Profiling z. B. bei Bewerbungen oder im Online-Marketing, um genaue Kundenprofile zu erstellen. Über Profiling müssen die Nutzenden aktiv informiert werden und haben das Recht, automatisierte Entscheidungen überprüfen zu lassen (z. B. bei Bewerbungen, Bonitätsprüfungen) (Art. 5f DSG).
Datenherausgabe Die Nutzenden haben das Recht auf Datenherausgabe, was bedeutet, dass die gesammelten Daten jederzeit, kostenlos und in einem gängigen elektronischen Format (z. B. CSV) eingefordert werden können (Art. 28 DSG).
Transparenz ist das A und O
Unternehmen müssen klar, verständlich und transparent informieren, wann, zu welchem Zweck und welche Art von Personendaten bearbeitet werden. Auch wenn Daten ins Ausland gehen (z.B. für Hosting), muss dies kommuniziert werden, insbesondere wenn das Zielland keinen angemessenen Datenschutz gewährleistet. Anbei findet sich eine Liste mit den Ländern, die gemäss EDÖB keinen angemessenen Datenschutz gewährleisten.
Wie wir uns auf das Gesetz vorbereitet haben
Auch wir haben uns intensiv Gedanken gemacht, was das neue Gesetz für uns bedeutet und welche Anpassungen notwendig sind. Ein erster Schritt war die Diskussion über und die Dokumentation aller Stellen, an denen wir Daten bearbeiten. Dazu gehören etwa Kontaktformulare, Newsletter-Listen, Bewerbungsdaten oder unser CRM-System sowie die Daten unserer Mitarbeitenden. Wenn wir Anfragen zur Speicherung oder Löschung von Daten erhalten, haben wir definiert, wer sich um die Anfragen kümmert und eine zeitnahe, sympathische Mail-Antwort mit der gewünschten Auskunft gibt, natürlich in der gewohnten Renuo-Manier (Kapitel 4 DSG). Unser Impressum wurde ebenfalls aktualisiert, um den neusten Anforderungen des Datenschutzgesetzes zu entsprechen. Überdies haben wir das Risiko eines Verstosses gegen das Datenschutzgesetz bewertet, welches wir derzeit als gering einschätzen. Trotzdem haben wir in unserer LearningWeek (Weiterbildungswoche) einen speziellen Slot für Datenschutz eingeplant, um sicherzustellen, dass all unsere Mitarbeitenden auf dem neusten Stand sind. Zuletzt haben wir den Zugriff auf die Daten der Mitarbeitenden geregelt und es ihnen noch mehr ermöglicht, zu definieren, welche ihrer Daten zugänglich sein sollen. Dies ist ein wichtiger Schritt zur Stärkung der Selbstbestimmung der Mitarbeitenden und zur Gewährleistung eines verantwortungsvollen Umgangs mit den Daten.
Was wir schon lange umsetzen
Datenschutz ist für uns bei der Renuo kein neues Thema, daher gibt es einige Massnahmen, die wir bereits seit Langem umsetzen. Dazu gehören die Verschlüsselung aller Daten mit Secure Sockets Layer (SSL) und die Verschlüsselung sämtlicher Hardware. Auch Benutzerdaten wie z. B. Benutzernamen und Passwörter sind bei uns verschlüsselt und in einem Passwortmanager gespeichert. Falls diese Daten an Kunden übermittelt werden müssen, verwenden wir mit seme.li eine sichere Lösung. Unser Ansatz des "Privacy by Design" zeigt sich im Kontaktformular, in dem wir nur jene Daten sammeln, welche wir tatsächlich benötigen. Daten von Bewerbenden werden vertraulich behandelt und nach dem Bewerbungsprozess vernichtet oder im gegenseitigen Einverständnis aufbewahrt. Auch unser Impressum erhält ein Kapitel zum Datenschutz mit allen notwendigen Informationen, einschliesslich des Hinweises, dass durch das Klicken auf Social-Media-Buttons Daten an Drittanbieter weitergegeben werden können. Zudem überprüfen wir Plug-in's und Tools vor der Verwendung stets auf Datenschutzkonformität und ermöglichen es, sich jederzeit und selbstständig aus unserem Newsletter-Verteiler auszutragen - auch wenn das zum Glück nur selten passiert.
Fazit
Datenschutz ist ein wichtiges Thema, das uns alle betrifft. Mit dem neuen revDSG werden die Rechte der Nutzenden gestärkt und die Anforderungen an Unternehmen erhöht. Es ist wichtig, dass wir alle informiert sind und entsprechend Massnahmen ergreifen, um den Datenschutz zu gewährleisten. Bei Renuo haben wir bereits einige Anpassungen vorgenommen und sind bemüht, den Datenschutz noch weiter zu verbessern und auf dem neusten Stand zu halten.
