Fragen &
Antworten

Was sie schon immer wissen wollten

Finden sie Antworten auf Fragen, die uns häufig gestellt werden

Was heisst «KMU-verträglich»?

Dieser Ausdruck kommt aus der Politik. In der Schweiz wird seit 1998 das Instrument des KMU-Verträglichkeitstests (KMU-Tests) eingesetzt, um durch Regulierung verursachte administrative Lasten, aber auch andere Befolgungskosten und unerwünschte Wirkungen auf ein Minimum zu reduzieren. Datenschutzhilfe kann das Datenschutzgesetz zwar nicht vereinfachen, aber den Unternehmen helfen zu verstehen und mit Blick auf Kosten/Nutzen in Form eines Projektes die Datenschutz Compliance zu erreichen.

Warum ein Projekt?

Datenschutz ist nicht nur das Abhaken von Punkten, um dem Gesetz Genüge zu tun. Datenschutz muss, z.B wie Arbeitssicherheit, in ihre unternehmerischen Abläufe und Prozesse eingebunden werden. Deshalb benötigen Sie die Projektschritte Initialisierung, Erhebung, Analyse, Umsetzung und Kontrolle, damit Ihre Datenschutz-Compliance dauerhaft bleibt.

In welchem Projektschritt ist es für uns am Aufwendigsten?

Das Führen eines Datenbearbeitungsverzeichnisses wird für Sie zum grössten Aufwand bei der Umsetzung führen. Hier müssen wir auf ihre Mitarbeit vertrauen können, rasch vorwärts zu kommen. Es müssen sämtliche Datenbearbeitungen des gesamten Unternehmens erfasst und genaue Angaben dazu gemacht werden. Fragen wie: Wer, wie welche Daten wo und von wem warum bearbeitet, speichert oder archiviert werden, ist sehr herausfordernd und zwingt sie entlang ihrer Geschäftsprozesse auf die Suche gehen.

Kann ich nicht auf die Revision des Schweizer Datenschutzgesetzes warten?

Die Revision des Schweizer Datenschutzgesetzes ist abgeschlossen. Die Revision tritt am 1. September 2023 ohne Übergangsfrist in Kraft. Auch wenn Sie noch gar nichts gemacht haben, könnte es sein, dass sie sich nicht an das gegenwärtige Datenschutzgesetz oder an die gültige DSGVO halten können …

Was will der Datenschutz von mir als Unternehmer?

Das Recht auf Schutz der persönlichen Daten ist in der Bundesverfassung verankert. Der Datenschutz fokussiert nicht den Schutz der Daten, sondern er zielt darauf ab, die Persönlichkeit und die Grundrechte von Personen, über die Daten bearbeitet werden.

  • Sie als Unternehmen müssen Daten transparent erheben,
  • dürfen die Daten nur zu dem Zweck bearbeiten, der bei der Beschaffung angegeben wurde,
  • müssen die Datensicherheit gewährleisten
  • müssen das Auskunftsrecht an betroffene Personen ermöglichen,
  • müssen bei der Weitergabe von Daten zur Bearbeitung im In- oder Ausland eine besondere Sorgfalt garantieren,
  • Und den Datenschutz im Unternehmen systematisch umsetzen und betreiben.
Reicht eine Datenschutzerklärung denn nicht?

Mit grosser Wahrscheinlichkeit nicht. Die Datenschutzerklärung informiert lediglich die Besuchenden Ihrer Website über die Art der erhobenen Daten und deren möglichen Verwendungen durch den Websitebetreiber oder von Dritten.

Was habe ich unter Personendaten zu verstehen?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies bedeutet, dass die Informationen eine Person direkt betreffen oder auf diese Person zurückzuführen sind. Dies sind zum Beispiel der Name, die (E-Mail-)Adresse, Telefonnummer, das Passfoto oder die Fingerabdrücke einer Person. Es muss sich um Daten einer natürlichen Person handeln.

Wieso gilt die DSGVO für viele Unternehmen in der Schweiz?

Mit der DSGVO führt die EU im Datenschutzrecht das Marktortprinzip ein: Die DSGVO gilt für die Verarbeitung von personenbezogenen Daten aller Personen, die sich in der EU oder im EWR befinden. Um diese Personen nicht nur in der EU und im EWR zu schützen, gilt die DSGVO grundsätzlich auch, wenn solche Daten in Ländern ausserhalb von EU und EWR – in sogenannten Drittländern – verarbeitet werden. Die Schweiz ist aus Sicht der EU ein solches Drittland.

Unter welchen Voraussetzungen gilt das Marktortprinzip für Unternehmen in der Schweiz?

Unternehmen in der Schweiz, deren Angebot sich an Personen in der EU oder im EWR richten, müssen die DSGVO einhalten. Auch kostenlose Angebote wie beispielsweise E-Books, Newsletter und Whitepaper («Freebies») für Personen in der EU und im EWR sind davon ausdrücklich betroffen.

Ausserdem gilt die DSGVO für Unternehmen in der Schweiz, die das Verhalten von Personen in der EU oder im EWR beobachten, zum Beispiel durch die Analyse der Aktivitäten von Besucherinnen und Besuchern in einer App oder auf einer Website (Profiling und Tracking). Wer Google Analytics auf einer Schweizer Website einsetzt, kann dadurch der DSGVO unterliegen. Schweizer Unternehmen und Organiationen, welche der DSGVO unterliegen, benötigen einen Datenschutz-Vertreter mit Niederlassung in der EU.

Gibt es Ausnahmen?

Schweizer Unternehmen, welche die DSGVO einhalten müssen, benötigen unter den folgenden drei Voraussetzungen ausnahmsweise keinen Datenschutz-Vertreter in der EU:

  1. Die Datenverarbeitung erfolgt nur gelegentlich,
  2. es findet keine umfangreiche Verarbeitung von besonders schützenswerten Daten statt,
  3. die Datenverarbeitung führt unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Wir raten davon ab, sich auf diese Ausnahmen zu berufen.

Verarbeiten wir überhaupt Personendaten bei uns?

Alle Unternehmen müssen Personendaten verarbeiten. Dazu gehören neben dem Namen, der Adresse, dem Geburtsdatum einer Person auch weitere Angaben, wie die Adresse, Telefonnummer, die Mail-Adresse, die die AHV-Nummer, die Krankenversicherungs-Nummer oder die Steuer-Nummer. Und bspw. auch die IP-Adresse, mit der sie sich im Internet bewegt. Der geschäftliche Verkehr ist voll von Personendaten für Leistungsabwicklung, Garantieversprechen, Reklamationen, Service, Rekrutierung, Personalmanagement oder Marketing. Dies sind eine Menge Personendaten und deshalb vom Datenschutzrecht betroffen.

Habe ich sensitive Daten?

Wenn es sich um Daten handelt, die so sensibel sind, dass bei ihrer Verarbeitung der Schutz der Privatsphäre einer Person schwerwiegend gefährdet sein kann. Ja! Diese Daten werden vom Gesetzgeber besonders geschützt. Diese Daten betreffen zum Beispiel die Gesundheit, ethnische Herkunft, religiöse Überzeugung, strafrechtliche Vergangenheit, das Sexualleben oder die Gewerkschaftszugehörigkeit einer Person.

Wann darf ich problemlos Personendaten verarbeiten?

Ihr Unternehmen/ihre Organisation darf nur unter folgenden Umständen personenbezogene Daten verarbeiten:

  • Mit Einwilligung der betroffenen Personen;
  • bei Bestehen einer vertraglichen Verpflichtung (ein Vertrag zwischen Ihrem Unternehmen/Ihrer Organisation und einem Kunden);
  • zur Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht);
  • wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (nach EU- oder nationalem Recht) erforderlich ist;
  • zum Schutz lebenswichtiger Interessen einer Person;
  • aus berechtigten Interessen Ihrer Organisation, * Die Bewertung, ob das berechtigte Interesse Ihres Unternehmens/Ihrer Organisation an der Verarbeitung die Interessen der betroffenen Personen überwiegt, hängt von den Umständen des Einzelfalls ab.
Datensicherheit – was ist darunter zu verstehen?

Im Zuge der Datenschutz-Gesetzgebung wurden auch die Bestimmungen zur Datensicherheit und damit zu den technischen und organisatorischen Massnahmen (TOM) überarbeitet.

«Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen die Verantwortlichen geeignete technische und organisatorische Sicherheitsmassnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten»

Wie muss ich vorgehen, um als Unternehmen die Datenschutzvorschriften zu erfüllen?

Um all die gesetzlichen Anforderungen im Datenschutz zu erfüllen und um die Datenbearbeitung im Unternehmen zu standardisieren und damit auch kontrollierbar zu machen, empfehlen wir bestimmte Mindestmassnahmen zu treffen:

  • die Erhebung der gesetzlichen Grundlagen,
  • der Erlass von Weisungen,
  • die Erhebung der Datensammlungen einschliesslich Konformitätsbeurteilung,
  • die Gewährleistung der Datensicherheit,
  • die Schulung der Mitarbeitenden,
  • Führen von Dokumentationen und Nachweisen.

Um Ihnen die Umsetzung dieser Anforderungen zu erleichtern, haben wir ein pragmatisches und für sie nachvollziehbares Vorgehen entwickelt.

Muss ich ein Verzeichnis der Verarbeitungstätigkeiten erstellen?

Unternehmen müssen eine Übersicht mit einer Reihe von Informationen zur Datenverarbeitung führen:

  • den Verantwortlichen im Unternehmen
  • den Bearbeitungszweck;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
  • geeignete technische und organisatorische Massnahmen zur Gewährleistung der Datensicherheit, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden.
  • Datenlieferanten und Daten-Empfänger;
  • die Aufbewahrungsdauer der Personendaten;

Sollten Daten bei einem Auftragsbearbeiter verarbeitet werden so ist dies ebenfalls in einem eigenen Verzeichnis aufzuführen.

Darf eigentlich jedermann fragen ob und welche Daten ich von ihm habe?

Eine betroffene Person hat das Recht, eine Bestätigung zu verlangen, dass personenbezogene Daten über sie bearbeitet werden bzw. dass keine Daten bearbeitet werden. Im Fall einer Bearbeitung hat sie das Recht, Zugang zu diesen Daten und zusätzlichen Informationen zu erhalten. Dieses Recht umfasst auch das Recht, eine Kopie der bearbeiteten Daten zu erhalten.

Kann jeder von mir verlangen, dass ich seine Personendaten löschen muss?

Eine betroffene Person hat das Recht zu verlangen, dass sie betreffende Daten so schnell wie möglich gelöscht werden, wenn die Daten für den Zweck, für den sie erhoben worden sind, nicht mehr notwendig sind bzw. wenn die betroffene Person ihre Einwilligung widerruft. Daten dürfen nicht gelöscht werden, wenn sie Aufbewahrungspflichten unterliegen

Was ist das Recht auf Datenübertragbarkeit?

Eine betroffene Person hat das Recht, die Daten, die sie einem Unternehmen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, beispielsweise um den Dienstleistungsanbieter zu wechseln. Dieses Recht kann jedoch nur ausgeübt werden, wenn die Datenbearbeitung auf der Einwilligung der betroffenen Person oder auf einem Vertrag beruht.

Weshalb eine Schulung der Mitarbeitenden?

Geschulte und sensibilisierte Mitarbeitende werden die meisten Datenpannen erkennen und verhindern, die gesamte Organisation „datenschutzkonform“ machen und das Risiko für das Unternehmen drastisch senken.

In der DSGVO ist diese Schulung sogar gesetzlich vorgeschrieben.