Datenschutz - was ändert sich

Sie haben über 250 Mitarbeitende und bearbeiten sensitive Daten in grossem Umfang oder betreiben Hochrisiko-Profiling, so ist ein Verzeichnis der Bearbeitungstätigkeiten neu für Sie vorgeschrieben. Aber auch der Übersicht halber empfiehlt sich die Führung eines Verzeichnisses aller Aktivitäten, bei denen Personendaten bearbeitet werden. Solche Kategorien sind beispielsweise die Verwaltung von Kundendaten, Buchhaltung, Personalverwaltung oder das Führen eines Online-Shops.

Wer der gesetzlichen Pflicht zur Führung des Verzeichnisses unterliegt, hat einem Mindestinhalt gemäss Art. 12 revDSG zu genügen. Im vorliegenden Beitrag erfahren Sie, was nach neuem Recht der Mindestinhalt einer Datenschutzerklärung ist.

Zum Beitrag

Das revidierte Datenschutzgesetz weitet die Informationspflicht weiter aus (Art. 19 revDSG). Genau wie bei einer Lebensmitteldeklaration, die alle notwendigen Angaben enthalten muss, verhält es sich künftig mit der Datenschutzerklärung. Betroffene Personen, beispielsweise Besucherinnen und Besucher von Websites, haben neu einen umfassenden Anspruch zu erfahren, für welche Zwecke ihre Daten bearbeitet werden und welche Drittparteien die Datensätze empfangen.

Spätestens mit dem revDSG führt kein Weg an einer aktualisierten und vollständigen Datenschutzerklärung vorbei. Eine umfassende Datenschutzerklärung kommt einer Visitenkarte gleich und gehört auf die Website eines jeden Unternehmens.

Im unserem Beitrag erfahren Sie, was nach neuem Recht der Mindestinhalt einer Datenschutzerklärung ist. Zudem geben wir Ihnen hilfreiche Anwendungsbeispiele.

Zum Beitrag

Nur wenige Unternehmen kommen ohne externe IT-Provider aus: Daten sind in der Cloud gespeichert, der Newsletterversand erfolgt mittels eines externen E-Mail Automatisierungsservices und Lohnausweise werden mit einer Buchhaltungssoftware erstellt. In solchen Fällen liegt in der Regel eine Auftragsdatenbearbeitung nach Art. 9 revDSG vor. Neue Verträge müssen entsprechend abgeschlossen und bestehende nach den neuen Richtlinien überprüft werden. Die Bearbeitung wird zwar an einen Dritten delegiert, der Auftraggeber bleibt jedoch in der Verantwortung.

In unserem Beitrag informieren wir, wie Sie die Rollen «Verantwortlicher» und «Auftragsdatenbearbeiter» abgrenzen, was dies für rechtliche Folgen hat, und was Sie bei der Auftragsdatenverarbeitung (ADV) unbedingt beachten sollten.

Zum Beitrag

In diesem Kapitel setzen wir uns mit Zugangs- Benutzer-, Transport- und Speicherkontrolle auseinander. Unter neuem Recht sind sowohl der Verantwortliche als auch die Auftragsdatenverarbeiterin verpflichtet, durch geeignete technische und organisatorische Massnahmen (sog. TOM’s) eine dem Risiko angemessene Datensicherheit zu gewährleisten. Diese Massnahmen sollen Verletzungen der Datensicherheit vermeiden (Art. 8 revDSG mit Konkretisierungen in der Datenschutzverordnung).

In unserem Beitrag erfahren Sie, wann eine Verletzung der Datensicherheit vorliegt, anhand welcher Kriterien «geeignete Massnahmen» festzulegen sind und wann eine Meldepflicht ausgelöst wird.

Zum Beitrag

Daten machen vor Landesgrenzen keinen Halt. Wenn Daten ins Ausland gehen, so sieht das revDSG besondere Pflichten vor, damit die Persönlichkeitsrechte auch in ausländischen Rechtsordnungen angemessen geschützt werden. Der Auslanddatentransfer betrifft nicht nur die Weitergabe ins Ausland, sondern auch Fernzugriffe von einem Computer auf einen anderen (remote access).

Der Datentransfer zwischen Staaten mit angemessenem Staatenschutzniveau (Vergleiche List EDÖP) ist problemlos möglich. Liegt keine Angemessenheit vor, so zum Beispiel im Fall USA, darf der Transfer nur stattfinden, wenn andere Massnahmen Sicherheit bieten. Beispiele dafür sind ein völkerrechtlicher Vertrag, vom EDÖB anerkannte Standardschutzklauseln (vorab vom EDÖB genehmigt) oder unternehmensinterne Datenschutzvorschriften (anerkannt und verbindlich).

Wir gehen in unserem Beitrag auf die Handhabung in der Praxis ein und zeigen auch mögliche Ausnahmen auf.

Zum Beitrag

Neben der ausgeweiteten Informationspflicht (Art. 19 revDSG) wird auch das Auskunftsrecht betroffener Personen ausgebaut. Das revDSG enthält eine erweiterte Liste mit Informationen, welche der Verantwortliche herauszugeben hat. Beispielsweise hat eine Kundin ein Recht darauf zu erfahren, wie lange ihre personenbezogenen Daten bei einem Unternehmen aufbewahrt werden und welche Daten in Umlauf sind (Art. 25 revDSG).

Wir informieren über die ausgebauten Betroffenenrechte – unter anderem über das Recht auf Datenkorrektur, Löschung, und Portabilität. Jedes Unternehmen sollte frühzeitig sicherstellen, dass solchen Gesuchen in der Praxis entsprochen werden kann.

Zum Beitrag

Einige Vorhaben oder Projekte sind aus Sicht des Datenschutzes heikler als andere. Bei risikoreicheren Vorhaben, wird eine Datenschutz-Folgenabschätzung notwendig. Darin festgehalten sind das konkrete Bearbeitungsvorhaben sowie die ergriffenen oder noch zu ergreifenden Massnahmen, um die betroffene Person zu schützen. Ergeben sich dennoch hohe Risiken mit negativen Folgen, zieht dies weiteren Handlungsbedarf nach sich.

Wir informieren, wie die unterschiedlichen Schritte einer Datenschutz-Folgenabschätzung genau aussehen, in welchen Fällen Unternehmen gesetzlich dazu verpflichtet sind, und was mögliche Handlungen bei negativen Folgen sind.

Zum Beitrag

Beim Versand von Newslettern stellen sich eine Vielzahl von Fragen. Muss vorab eine Einwilligung bei den Empfängerinnen eingeholt werden? Wie verhält es sich, wenn für die Einwilligung eine Checkbox verwendet wird? Was ist ein Double-Opt-In Verfahren? Was ist bei der Generierung von Kontaktdaten (Leads) zu beachten?

In unserem Beitrag gehen wir auf diese und weitere Fragen im Kontext Newsletter auf den Grund.

Zum Beitrag