Dienstag, 29. August 2023

Sabine Fercher, Datenschutzexpertin und Rechtsanwältin sowie Gründerin von Fercher Compliance, hat für Gryps die wichtigsten Fragen und Antworten zum neuen Datenschutzgesetz beantwortet:

1. Was ändert sich konkret ab dem 1. September?

Zunächst einmal das Strafmass: Bisher galten Verstösse gegen den Datenschutz als Kavaliersdelikte, jetzt gilt nur schon ein Verstoss gegen die Informationspflicht als strafrechtlich relevant. Die wichtigsten Massnahmen in aller Kürze: Ab dem 1. September 2023 müssen Sie die Sicherheit der Personendaten gewährleisten, Multifaktorauthentifizierung einführen, Super-Administratoren bei der Datenbearbeitung definieren sowie interne Weisungen und Schulungen durchführen.

Die Datenschutzerklärung, die Sie auf Ihrer Website aufschalten, wird zentral. Der Wortlaut muss präzise, transparent, verständlich und leicht zugänglich sein. Betroffene müssen grundsätzlich VOR der Datenbearbeitung über dessen Verwendung informiert werden. Ausserdem müssen Sie fähig sein, auf Anfragen von Betroffenen zur Datenbearbeitung kostenlos und innert 30 Tagen reagieren zu können («Auskunftspflicht»). Die Daten müssen zudem in einem gängigen elektronischen Format übermittelt werden.

Frage aus der Praxis: Was bedeutet überhaupt «Daten bearbeiten»?
Alles, was grundsätzlich mit Personendaten gemacht wird, gehört zur sogenannten Bearbeitung: vom Speichern über das Aufbewahren und Übertragen bis hin zum Löschen. Auch das Zugänglichmachen von Personendaten, beispielsweise bei einem IT-Dienstleister, der Einsicht auf den Bildschirm eines Mitarbeitenden erhält, zählt dazu.

Frage aus der Praxis: Wie gehe ich als HR-Verantwortliche mit Stammdatenblättern meiner Mitarbeitenden um?
Im Arbeitsvertrag sollte erwähnt werden, zu welchem Zweck solche Daten erhoben und wie diese abgelegt werden.

2. Welche Daten gehören zu den sogenannten «besonders schützenswerten Daten»?

Mit dem neuen Datenschutzgesetz werden die besonders schützenswerten Daten ausgeweitet. Neben Gesundheit, Rasse, Religion, Sozialhilfemassnahmen, strafrechtliche Angaben etc., werden neu auch genetische und biometrische Daten sowie die Ethnie als besonders schützenswerte Daten angesehen. Auch ein Bild, das nicht verpixelt ist, sodass man darauf Personen erkennen kann, zählt dazu.

Frage aus der Praxis: Gehören Bilder einer Fotografin nun auch zu diesen besonders schützenswerten Daten?
Wenn auf diesen Bildern Gesichter zu erkennen und von Maschinen zu lesen sind, dann handelt es sich hierbei um besonders schützenswerte Daten. Das können Gruppenfotos sein, aber auch Porträts oder Szenebilder von Anlässen. Sie dürfen solche Bilder nicht ohne Einwilligung ins Internet stellen oder auf die Cloud eines amerikanischen Anbieters laden. Ausserdem muss die Fotografin sofort reagieren, falls es sich die abgebildete Person anders überlegt und die Zustimmung widerruft.

Die Anforderungen an die Datenschutzerklärung steigen enorm: Diese werden damit in Zukunft eher zu lang als zu kurz. (Bild erstellt mit der KI von Midjourney)

3. Für wen gilt das neue Datenschutzgesetz?

Das neue Datenschutzgesetz schützt ausschliesslich natürliche Personen (jedoch nicht mehr juristische Personen) vor Missbrauch. In die Pflicht nimmt das Datenschutzgesetz allerdings alle, sowohl Unternehmen, die durch ihre Mitarbeitenden handeln, als auch Einzelpersonen, die Daten bearbeiten. Das Gesetz ist ausserdem weltweit für alle Sachverhalte anwendbar, sobald sich diese auf die Schweiz auswirken. Die weltweite Anwendbarkeit erlaubt, es gegen den Datenhunger von grossen Tech-Firmen wie Alpha (Google), Meta (Facebook), Amazon etc. vorzugehen.

Frage aus der Praxis: Was ist mit Kontaktdaten von Ansprechpartnern von Firmen (Namen, Telefonnummern, E-Mailadressen)?
Diese gehören allesamt zu den Personendaten. 

Frage aus der Praxis: Brauche ich eine Datenschutzerklärung, wenn ich keine Website habe? Und was gilt bei Facebook, Instagram und so weiter?
Auch ohne Website wird es Personendaten geben, beispielsweise von Kundinnen und Kunden, die das Unternehmen bearbeitet. Damit ist es auch hier notwendig, eine Datenschutzerklärung zu erstellen. Diese kann dann in Kundenverträge integriert werden. Wenn Sie nur auf Facebook oder Instagram aktiv sind, dann muss dies ebenfalls in einer solchen Erklärung vermerkt werden. Denn wer auf diesen Plattformen aktiv ist, der teilt aktiv Personendaten mit diesen Plattformen.

Darf man Kundendaten auf der Cloud speichern, bspw. Microsoft One oder Google Drive?
Wenn man einen Cloud-Provider nutzt, der seinen Sitz innerhalb der EU hat, dann ist das kein Thema für die Datenschutzerklärung. Bei Services wie Microsoft oder Google muss dies in der Datenschutzerklärung jedoch explizit vermerkt werden und die Sicherheitsmassnahmen müssen streng sein. Mehr dazu finden Sie im Fragekatalog des EDÖB.

4. Was sind denn nun die Pflichten der Verantwortlichen und Auftragsbearbeitenden?

Sie sind verpflichtet, Kunden, Interessentinnen, Geschäftspartner, Mitarbeitende und Website-Besuchende – kurz, alle, die Ihnen Personendaten anvertrauen (= Betroffene) – darauf hinzuweisen, dass und wann Sie deren Daten sammeln und bearbeiten. In Ihrer Datenschutzerklärung müssen Sie über die Erhebung, den Zweck und die Art der Bearbeitung der Personendaten (zum Beispiel Profiling) informieren.

Sie sind ausserdem verpflichtet, die Betroffenen über ihre Rechte zu informieren. Dazu gehören beispielsweise das Recht, Auskunft über die gesammelten Personendaten zu verlangen, oder das Recht, die eigenen Personendaten berichtigen oder löschen zu lassen. Sie müssen den Betroffenen zudem zeigen, wie sie ihre Rechte wahrnehmen können und wen sie dafür kontaktieren müssen.

5. Was muss meine Datenschutzerklärung beinhalten?

Die Anforderungen an die Datenschutzerklärung steigen enorm: Das dürfte dazu führen, dass diese eher zu lang als zu kurz werden, um gegen alle Eventualitäten abgesichert zu sein.

Folgende Fragen müssen in Zukunft in der Datenschutzerklärung beantwortet werden:

• Welche Personendaten werden zu welchem Zweck erhoben? Wie wird der Benutzer, die Benutzerin darüber informiert? Wie wird sein respektive ihr Einverständnis eingeholt?
• Verwenden Sie die erhobenen Daten für Marketingmassnahmen – allenfalls durch dritte Trackinganbieter, insbesondere Google Analytics?
• Wie lange werden die Daten wo gespeichert? Wie schützen Sie die Daten beim Speichern?
• Werden die Daten weitergegeben? Wenn ja, an wen?
• Wohin wendet man sich mit einer Anfrage für Auskunft, Löschung, Korrektur oder Herausgabe der Daten? Welche Angaben (insbesondere Identitätsnachweis) sind nötig?
• Setzen Sie automatisierte Verfahren ein, um Benutzende zu identifizieren (Profiling) oder um aus den Daten rechtlich relevante Informationen abzuleiten (zum Beispiel Credit Score)?
• Verwenden Sie auf Ihrer Website Vorlagen von Google oder haben Sie Google-Fonts eingebunden, die Google einen Zugriff ermöglichen (heruntergeladene Fonts sind unproblematisch)?

Frage aus der Praxis: Muss die Datenschutzerklärung als separater Navigationspunkt auf der Website vorkommen?
Laden Sie Ihre Datenschutzerklärung auf Ihrer Website so hoch, dass sie gut zu finden ist – zum Beispiel im Footer. Dasselbe gilt für das Impressum.

Frage aus der Praxis: Muss ich meinen Kunden aktiv eine zu akzeptierende AGB / DSE senden?
Die allgemeinen Geschäftsbedingungen (AGB) sowie die Datenschutzerklärung (DSE) sollten integraler Bestandteil der Geschäftsbeziehungen sein. Beide Dokumente sollten aktiv kommuniziert werden und gut sichtbar auf der Website aufgeschaltet sein. Für Ihre Datenschutzerklärung müssen Sie keine Einwilligung einholen, diese muss lediglich zur Kenntnis genommen werden. Die allgemeinen Geschäftsbedingungen müssen jedoch von Ihren Kunden und Geschäftspartnern aktiv akzeptiert werden*. Haben Sie wesentliche Änderungen in Ihren AGB oder in Ihrer DSE vorgenommen? Kommunizieren Sie diese aktiv an Ihre Kunden und Geschäftspartner. Zusätzlich können Sie zum Beispiel auch über einen Hinweis in der E-Mail-Signatur darauf hinweisen.

*Änderungen der AGB müssen nicht separat akzeptiert werden. Halten Sie in Ihren AGB beispielsweise Folgendes fest: Wir behalten uns die jederzeitige Änderung dieser AGB vor. Sind die Änderungen wesentlich, werden die Kunden jeweils durch Benachrichtigung an geeigneter Stelle informiert. Nachträgliche Änderungen der AGB gelten als genehmigt, wenn der Kunde nicht innert 14 Tagen seit Kenntnisnahme der Änderung schriftlich den neuen AGB widerspricht.

6. Wie unterscheidet sich das neue Schweizer Gesetz zur DSGVO der EU?

Falls Sie Ihre Tätigkeiten bereits auf die DSGVO der EU ausgerichtet haben, dann ist das schon einmal sehr gut. Wichtig ist, dass die Auftragsdatenverarbeitung sowie die Standardvertragsklauseln ab 1. September 2023 dem Schweizerischen Datenschutzgesetz unterstehen. In der Schweiz besteht neu die gesetzliche Vorgabe, die Dokumentation zu Meldungen, die gegenüber dem EDÖB gemacht wurden, für 2 Jahre aufzubewahren.

Zu guter Letzt noch ein Tipp für die Praxis:  Machen Sie Ihre Mitarbeitenden auf das Datenschutzgeheimnis aufmerksam. Jede Person, die Daten verarbeitet, ist dem neuen Gesetz verpflichtet und muss auf Anfrage innert 30 Tagen und grundsätzlich kostenlos Transparenz über die Verwendung der Daten herstellen können.

7. Weitere Fragen aus der Praxis:

Braucht es jetzt in der Schweiz die Cookie-Banner oder nicht?

Die einfachste Lösung ist: Übertrage deine Daten nicht! Arbeite mit Schweizer Firmen zusammen, dann brauchst du auch keine Cookie-Banner. Ich empfehle jedem und jeder: Nutzt andere Anbieter als Google oder Facebook für eure Website. Falls es nicht anders geht, dann braucht ihr den Cookie-Banner.

Ist die Nutzung beispielsweise von Google Fonts gemäss DSG nicht mehr erlaubt?

Mit dem Onlinedienst Cookiebot kann überprüft werden, ob eine Website datenschutzkonform ist und welche Cookies tatsächlich verwendet werden. Es sind meistens viel mehr, als man denkt. Das Tool ist sehr praktisch und zu empfehlen.

Bei der Schrift von Google («Font») ist es tatsächlich so, dass diese nicht verwendet werden sollte, wenn die Schrift auf der Webseite eingebettet wird. So hat Google Zugriff auf Daten, was entsprechend in der Datenschutzerklärung deklariert werden muss. Um auf der sicheren Seite zu sein, sollte die Schrift heruntergeladen und neu hochgeladen werden. Dasselbe gilt für Integrationen von Facebook, Instagram oder Twitter.

Ein weiteres Beispiel ist Google Analytics: In vielen Ländern ist das Analysetool von Google sogar verboten, weil die Daten zwingend zu Google abfliessen. Mit einem neuen Update, das Google ausgespielt hat, sollte dieses Problem nun behoben sein. So oder so müssen Sie in Ihrer Datenschutzerklärung darauf hinweisen, welche Tools von Drittanbietern Sie für Ihre Website nutzen.

Kann ein Unternehmen seine Datenschutzpflichten outsourcen? Wenn ja, welche Pflichten verbleiben beim Unternehmen selbst?

Es ist denkbar, gewisse Datenschutz-Aufgaben auszulagern oder externe Spezialisten zur Unterstützung hinzuzuziehen. Es sollte aber intern trotzdem jemand bestimmt werden, der die Verantwortung innerhalb des Unternehmens übernimmt, gerade auch als Ansprechpartner für die externe Person. Der oder die sogenannte Verantwortliche bleibt aber immer auch verantwortlich. Diese Verantwortung für den Datenschutz kann nicht abgegeben oder ausgelagert werden. Zudem müssen Sie sicherstellen, dass sich auch Ihr Partner daran hält. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) stellt dafür eine Checkliste zur Verfügung.

Definition «Verantwortliche (Controller)»: Private Person, die allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet, wie Personendaten bearbeitet werden. 

Welche Firmen müssen ein Verzeichnis mit Angaben der Datenbearbeitungen führen?

Es gibt eine Ausnahme, nach der Unternehmen, die am 1.1. des jeweiligen Jahres weniger als 250 Mitarbeitende beschäftigen, kein solches Verzeichnis führen müssen. Gegenausnahme: es werden besonders schützenswerte Daten in grossem Umfang bearbeitet oder es werden Profilings mit hohem Risiko durchgeführt.

• Definition «Profiling»: automatisierte Bearbeitung von Personendaten, beispielsweise zum Bewerten (Analysieren, Vorhersagen) der Arbeitsleistung, der Gesundheit oder des Verhaltens.

Sabine Fercher sowie ihre Expertenkolleginnen und -kollegen empfehlen aber auch kleinen Unternehmen, ein solches Verzeichnis zu erstellen, denn Sie können die Daten nur schützen, wenn Sie auch wissen, wo Sie welche Daten zu welchem Zweck bearbeiten. Zudem ist es auch im Bereich der Cybersicherheit sehr wichtig, Massnahmen zum Schutz Ihrer Daten zu treffen.

• Hinweis: Bei Gryps finden Sie eine Vorlage für ein Verzeichnis der Bearbeitungstätigkeiten, die Sie kostenlos (mit Registrationspflicht) downloaden können.