Einführung
Merkblatt für Kunden und Mitarbeitende zum Umgang mit dem revidierten Datenschutzgesetz (nDSG). Die Informationen wurden nicht auf Rechtssicherheit geprüft.
Raptus begrüsst die Anstrengungen den Datenschutz zu verbessern. Sie können das Vertrauen in digitale Lösungen stärken. Bei einer angemessenen Umsetzung von Datenschutzvorgaben können Wettbewerbsvorteile erzielt und das eigene Risiko reduziert werden (z.B. Cyber Security).
Siehe Unterstützung von Raptus beim Datenschutz
Überblick
- Am 1. September 2023 trat das revidierte Datenschutzgesetz in der Schweiz in Kraft
- Das nDSG ist an die europäische DSGVO angelehnt, aber weicht teilweise davon ab
- Die Einhaltung/Umsetzung von DSGVO wird in diesem Merkblatt nicht berücksichtigt
- Verantwortliche(r) entscheidet über Zweck und Mittel bezüglich Datenschutz
- Die Verantwortung zum Datenschutz kann nicht delegiert werden (z.B. an externe Dienstleister)
Definition personenbezogene Daten
- Betrifft keine Firmen und juristische Personendaten
- Betrifft Daten von bestimmter/bestimmbaren, natürlichen Personen
- Daten, welche die Identifikation einer Person ermöglichen können
- Daten, welche die Privatsphäre, Freiheit und Würde einer Person einschränken können
Um was es beim revidierten Datenschutzgesetz geht
- Datensammlungen müssen Bezug zu beruflicher Tätigkeit haben (Zweck)
- Aktive Informationspflicht der Verarbeitung personenbezogener Daten
- Erweiterte Rechte für betroffene Personen (Auskunft, Berichtigung, Löschung etc.)
- Datenübermittlung ins Ausland benötigt spezielle Abklärungen
- Datenschutz durch technische Massnahmen (Privacy by Design)
- Datenschutzfreundliche Voreinstellungen (Privacy by Default)
- IT & Datensicherheit gewährleisten (technisch organisatorische Massnahmen, TOM)
- Verzeichnis der Datenverarbeitungsvorgänge führen
- Interne Abläufe und Regeln zum Umgang mit Datenschutz festlegen
- Datenschutz-Folgenabschätzung bei hohem Risiko vornehmen
- Ausdrückliche Einwilligung bei Profiling von Daten mit hohem Risiko
- Verletzungen des Datenschutzes sind rasch dem EDÖB zu melden
- Sanktionen/Bussen der verantwortlichen Personen (nicht Firma/Organisation)
Umsetzung
Zur Einhaltung des nDSG empfehlen sich folgende Massnahmen, welche folgende grob beschrieben werden. Bei Fragen bietet Raptus Beratung und Unterstützung bei der Umsetzung an.
1. Verzeichnis Datenverarbeitungsvorgänge
- Mit dem Verzeichnis sollen Risiken abgeschätzt und das Bewusstsein geweckt werden
- Erstellung des Verzeichnisses ist in jedem Fall empfohlen, es hilft bei der Umsetzung
- Empfohlene Inhalte sind
- Identität des Verantwortlichen
- Beschreibung der Datenverarbeitung
- Bearbeitungszweck (Abwicklung, Kundendienst, Marketing, Personalverwaltung, ...)
- Kategorie der betroffenen Personen (Mitarbeitender, Kunde, ...)
- Kategorie der betroffenen Personendaten (Adressdaten, Zahlungsdaten, ...)
- Kategorie der Empfänger der Daten (Behörden, Versicherung, Lieferant, ...)
- Aufbewahrungsdauer oder Kriterien zur Festlegung der Dauer
- Rechtfertigung der Datenübermittlung ins Ausland (inkl. welcher Staat)
- Verzeichnis ist nicht zwingend
- wenn weniger als 250 Mitarbeitende beschäftigt sind
- wenn Datenbearbeitung nur ein geringes Risiko birgt
2. Gewährleistung Datensicherheit
- Technische & organisatorische Massnahmen (TOM) zur Gewährleistung Datensicherheit
- Regelmässige Verbesserung der IT-Infrastruktur/Systeme um Angriffe zu verhindern
- Neue, technische Lösungen müssen Datenschutz gewährleisten
- Risikoprüfung & Dokumentation bei Erhebung von schützenswerten Daten
- Information vom EDÖB bei Verletzung der Datensicherheit (Datenpanne, Angriff etc.)
3. Verarbeitung Personendaten durch Dritte
- Auftragsdatenverarbeitung: Wenn Personendaten von Dritten verarbeitet werden
- Wenn ja, muss ein Vertrag mit dem Anbieter abgeschlossen werden
- Verantwortliche (z.B. Kunden) schliessen den Vertrag mit dem Vearbeiter (z.B. Raptus) ab
- Deutsch: Auftragsdatenverarbeitungsvertrag
- Englisch: Data Processing Agreement
- Die meisten Anbieter bieten einen entsprechenden Standard-Vertrag an (so auch Raptus)
- Einige Anbieter haben den Vertrag in den allgemeinen Bedingungen (AGB) integriert
Der Vertrag kann so durch Anwählen der entsprechenden Option bei Bestellung erfolgen
- Dritte dürfen Daten nur so bearbeiten, wie der Verantwortliche es selbst tun dürfte
- Auftraggeber (Kunden) prüft, dass folgende Punkte im Vertrag enthalten sind:
- Berücksichtigung der Datenschutzgrundsätze
- Gewährleistung der Datensicherheit
- Meldepflicht bei Datenschutzverletzung
- Meldepflicht bei Weitergabe an Unterauftragnehmer
- Weisungs- und Kontrollrecht
4. Datenübermittlung ins Ausland
- Identifikation Datenübermittlungen in Staaten, welche nicht freigegeben wurden (Liste)
- Spezialfall USA, siehe Meldung des Bundesrats und Data Privacy Framework
- Bei nicht freigegebenen Datenübermittlungen ins Ausland
- Prüfung von alternativen Lösungen
- Nutzung oder Verschiebung zu freigegebenen Datenstandorten (z.B. EWR / Schweiz)
- Sachverhalte transparent in der Datenschutzerklärung abbilden
- Einwilligung von Betroffenen einholen, sofern dies möglich ist
- Prüfung und Dokumentation entsprechender Verträge inkl. allfälligen Ausnahmen
Technische Massnahmen zur Einschränkung (z.B. Anonymisierung) - Dokumentation der getroffenen Massnahmen
- Unterstützung und Beratung anfordern
5. Dokumente, Regeln und Abläufe
- Definition der internen Anlaufstelle Datenschutz
- Interne Richtlinie zum Umgang mit Personendaten
- Interne Richtlinie zum Umgang mit dem IT-System
- Dokumentation technisch organisatorische Massnahmen (TOM)
- Aufzeichnungen/Protokoll bezüglich Datenschutz (Vorfälle, Begehren, Abschätzung, Verträge)
- Datenschutzerklärung Allgemein (für Website, auch für Kundendaten, Lieferanten etc.)
- Datenschutzerklärung Mitarbeitende und Stellenbewerbende
- Verweis auf Datenschutzerklärung (z.B. AGB, Rechnungen, Online-Formulare etc.)
- Abschluss & Dokumentation von Auftragsdatenverarbeitungsverträgen
- Bearbeitungsverzeichnis Datenverarbeitungsvorgänge
- Ablauf/Prozess für das Nachführen des Bearbeitungsverzeichnisses
- Ablauf/Prozess bei Datenlecks (Data-Breaches)
- Ablauf/Prozess Datenlöschungen
- Interne Schulungen / Trainings
6. Prüfung des Datenschutzes
Mit dem Datenschutz Self Assessment Tool (DSAT) können die eigenen Anstrengungen im Bereich Datenschutz ohne externe Hilfe geprüft und dokumentiert werden.
Auskunftsrecht
- Betroffene Personen können über eigene Personendaten Auskunft verlangen
- Betroffene Personen können Datenherausgabe und Datenübertragung verlangen
- Auskunft muss kostenlos sein, sofern diese mit verhältnismässigem Aufwand verbunden ist
- Informationen welche auf Verlangen bekannt gegeben werden müssen:
- Auskunft über Identität / Kontaktdaten der Verantwortlichen (siehe Verzeichnis)
- Die bearbeiteten Personendaten
- Der Bearbeitungszweck
- Die Aufbewahrungsdauer
- Herkunft der Personendaten
- Kategorien der Empfänger
Datenlecks (Data Breaches)
- Meldung von Verletzungen der Datensicherheit bei hohem Risiko an EDÖB
- Meldung muss so rasch als möglich erfolgen
- Meldung an betroffene Personen, falls
- notwendig zum Schutz der betroffenen
- falls EDÖB dies verlangt
- falls verhältnismässig / möglich
- Umsetzung/Schritte bei Data Breaches
- Feststellung der Art der Datenschutzverletzung
- Entscheidung ob ein Strafverfahren eingeleitet werden soll
- Sofortmassnahmen zur Eindämmung einleiten (Zugriffe verhindern)
- Beweismaterial sichern (IT-Forensiker einschalten bei mögl. Gerichtsfällen)
- Umfang der betroffenen Daten und Anzahl betroffene Personen ermitteln
- Risikoabschätzung durchführen (Dokumentieren)
- Meldung an EDÖB
- Entscheid Benachrichtigung betroffene Personen
- Interne Untersuchung der Datenschutzverletzung
- Anpassen der internen Massnahmen (z.B. TOM)
Risiken
Nebst Reputations- und Vertrauensverlust, drohen finanzielle Risiken
- Bei Verletzung von Informations- Auskunfts- und Mitwirkungspflicht
- Vorsätzlich falsche Auskünfte / Verweigerung Mitarbeit EDÖB
- Verletzung der Sorgfaltspflicht (Daten ins Ausland, ungenügende Datensicherheit)
- Verantwortliche für den Datenschutz können bis zu 250k gebüsst werden
- Natürliche Personen könnten Schutz der eigenen Persönlichkeit einklagen
Aufbewahrung / Löschung
- Generell sollten Daten nur so lange aufbewahrt werden, wie es nötig ist
- Nachdem der Zweck für Datenbearbeitung nicht mehr gegeben ist, müssen entweder
- Daten pseudonymisiert werden (z.B. Schwärzung, sind noch als Personendaten erkennbar)
- Daten anonymsiert werden (so dass Bezug zur Person nicht mehr möglich ist)
- Daten gelöscht werden (sofern technisch möglich, z.B. ERP System)
- Interne Vorgaben welche Daten wie lange aufbewahrt werden sollen / dürfen
- Zugriffsmöglichkeiten auf Daten soweit wie möglich beschränken
- E-Mails älter als X oder E-Mails von ehemaligen Mitarbeitenden
- Daten in Geschäftssoftware (z.B. ERP)
- Daten in Online-Lösungen (z.B. SaaS CRM)
- Datensicherungen mit längeren Aufbewahrungszeiten
- Löschen von Protokolldateien (z.B. WebServer)
- Gesetzliche Aufbewahrungspflichten dürfen nicht verletzt werden
- Vereinfacht ausgedrückt gilt eine allgemeine Aufbewahrungspflicht von 10 Jahren
- Branchenspezifische Gesetze berücksichtigen (z.B. Buchführung, Gesundheitswesen etc.)
- Kantonale Gesetze berücksichtigen
- Gesetze bezüglich Rechtsform
- Verjährungsfristen beachten
Informationspflicht
- Interessierte sollen Informationen zum Datenschutz einfach und verständlich abrufen können
- Es besteht keine Formvorgabe bezüglich Informationspflicht oder Datenschutzerklärung
- Bei mehrsprachigen Websites sollte die Datenschutzerklärung übersetzt werden
- Es muss über alle Personendaten informiert werden (Mitarbeitende, Bewerber, Website ...)
- Eine Vermischung der Datenschutzerklärung mit den AGB ist nicht empfohlen
- Idealerweise wird zur Information eine Datenschutzerklärung auf der Website veröffentlicht
- Zusätzlich zur Datenschutzerklärung ist ein Impressum notwendig (nicht mit DSE vermischen)
- Umfang der Informationen (damit betroffene ggf. Rechte geltend machen können)
- Identität und Kontakt (Adresse, E-Mail) zum Verantwortlichen Datenschutz
- Kategorie der Personendaten
- Kategorie der betroffenen Personen
- Bearbeitungszwecke
- Empfänger (Subunternehmer denen Personendaten bekannt gegeben werden)
- Bei Übermittlung ins Ausland Empfänger-Staat
- Siehe Artikel Informationspflicht auf der Website des EDÖB
Datenschutzerklärung (DSE)
- Die DSE sollte individuell für die entsprechende Organisation erstellt werden
- Die DSE sollte nicht nur auf die Website bezogen sein (oft der Fall bei generierter DSE)
- Siehe Artikel Datenschutzerklärung auf der Website des EDÖB
Beispiele
Folgende Beispiele können bei der Einordnung der genannten Begriffe helfen. Es besteht kein Anspruch auf Vollständigkeit.
- Beispiele für Datenverarbeitungsvorgänge:
Erheben, Speichern, Verändern, Aufbewahren, Weitergeben, Löschen, Vernichten
- Beispiele für Personendaten:
- Name, Geburtsdatum, Telefon, Mail, Alter, Geschlecht, Kreditkarte, Bankdaten,
- AHV-Nr., IP-Adresse, Foto, Bankdaten, Autokennzeichen etc.
- Die Einstufung besonders schützenswert ist abhängig vom Kontext/Verwendung
- Beispiele für besonders schützenswerte Personendaten:
- Religion, Weltanschauung, Politik, Gewerkschaft
- Gesundheit, Intimsphäre, genetische oder biometrische Daten
-
Rasse / Ethnie, Strafrechtliches, soziale Hilfe
- Beispiele für typische Funktionen im Zusammenhang mit Personendaten:
- Kontaktformular(e) auf der Website
- Newsletter An-/Abmeldung, Versand, Tracking
- Bestellungen in einem Online-Shop
- Terminbuchung auf der Website
- Statistiken/Tracking auf der Website
- Social Media Plugins (z.B. Facebook, Instagram)
- Fremdgehostete Web Komponenten (z.B. Schriften)
- Online Kartenmaterial (z.B. Google Maps)
- Cloud Speicher- und Lösungen
- Schnittstellen zu Drittsystemen (z.B. zum ERP)
- Beispiele wann Auftragsdatenverarbeitung prüfen
- Verwendung von Online Cloud Software (SaaS)
- Externe Buchhaltung oder Lohnverarbeitung
- Externe Datenträgerentsorgung / Aktenvernichtung
- Externe Fernwartungssysteme / Zugriff via Management-Systeme
- Externe Call-Center / Kundenservice Dienstleister
- Externe Datensicherung & Cloud Systeme
- Externes Hosting einer Website
- Externes Tracking / Statistiken (z.B. Analytics, HotJar etc.)
- Externe Newsletter & Auslagerung E-Mail Verwaltung
- Externe Sicherheitsdienste welche Personendaten erheben
- Beispiele für technische Massnahmen
- Anonymisierung und Pseudonymisierung
- Cyber Schutzmassnahmen (Firewall, Antivirus, Patching, MFA etc.)
- Sichere (z.b. abgesetzte) Protokollierung (Logging)
- Technische Durchsetzung von Passwort-Richtlinien
- Datensicherung resp. Datenwiederherstellung
- Regelmässige Überprüfung / Überwachung
Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.