Swissmechanic_Journal_2022-08

Wirtschaft und Dienstleistungen
Datenschutzgesetz
33
• Der Begriff Profiling (die automatisierte
Bearbeitung personenbezogener
Daten) wurde in das Gesetz aufgenommen.
Alle Unternehmen in der Schweiz müssen
sich auf das neue Datenschutzgesetz
vorbereiten, das am 1. September 2023
umgesetzt wird. Für Firmen, die sich
noch nicht an die EU-Datenschutzgrundverordnung
(DSGVO) aus dem Jahr 2018
angepasst haben, wird die Umstellung
auf die Bestimmungen des neuen
Schweizer Gesetzes Zeit in Anspruch
nehmen und Unterstützung durch Personen
mit juristischen und technischen
Kenntnissen im Bereich Datenschutz erfordern.
Als Vorbereitung für die Anpassung an
das revidierte Datenschutzgesetz sollten
die im Rahmen der Firmentätigkeit
bearbeiteten Daten erfasst und die Risiken
analysiert werden. Je mehr Daten
ein Unternehmen bearbeitet bzw. je
mehr dieser Daten besonders schützenswert
sind (zum Beispiel im Zusammenhang
mit Religion, Gesundheit, Betreibungen
usw.), desto höher sind die
Anforderungen.
Die 12 Gebote des revidierten Datenschutzgesetzes
Die Schweizer KMU müssen folgende
zwölf Massnahmen umsetzen:
1. Datenschutzerklärungen prüfen und
ändern (Website, Verträge, Werbeinhalte
usw.),
2. Richtlinien für die Datenbearbeitung
innerhalb des Unternehmens erstellen
(oder ändern),
3. ein Verzeichnis der Datenbearbeitung
anlegen (Ausnahme für Unternehmen
mit weniger als 250 Beschäftigten,
sofern kein hohes Risiko für
Verletzungen der Persönlichkeit vorliegt),
4. eine Vorgehensweise für eine rasche
Beantwortung der Anfragen betroffener
Personen ausarbeiten (z. B. Ersuchen
um Auskunft oder Löschung von
Daten),
5. ein Meldeverfahren für Verletzungen
des Datenschutzes einführen,
6. einen Prozess für die Datenschutz-
Folgenabschätzungen etablieren, die
notwendig sind, wenn die Datenbearbeitung
ein hohes Risiko mit sich
bringt (z. B. bei systematischer Überwachung
grosser Teile des öffentlichen
Raums),
7. Verträge mit Subunternehmern analysieren,
um zu prüfen, ob die Sicherheit
der Daten gewährleistet ist, und
entsprechende Klauseln hinzufügen
(insbesondere bezüglich der Meldung
jeglicher Verletzungen des Datenschutzes),
8. dafür sorgen, dass alle personenbezogenen
Daten gelöscht oder anonymisiert
werden (sobald sie für den
Zweck, der deren Bearbeitung rechtfertigte,
nicht mehr benötigt werden),
9. prüfen, in welche Länder Daten übermittelt
werden, auch für eine einfache
Speicherung in der Cloud (diese
Länder müssen in einer vom Bundesrat
erstellten Liste aufgeführt sein; ist
dies nicht der Fall, gelten strengere
Anforderungen),
10. Datensicherheit durch geeignete
technische und organisatorische
Massnahmen garantieren,
11. die Herausgabe der Daten in einem
elektronischen Format gewährleisten
(bei automatisierter Bearbeitung
der Daten und besonders im
Zusammenhang mit dem Abschluss
oder der Erfüllung eines Vertrags),
12. einen Datenschutzberater oder eine
Datenschutzberaterin benennen
und die Kontaktdaten veröffentlichen
(empfohlen wird die Meldung
dieser Person beim Eidgenössischen
Datenschutz- und Öffentlichkeitsbeauftragten
EDÖB).
Diese Liste erhebt keinen Anspruch auf
Vollständigkeit. Für weitere Informationen
sollten das revidierte Datenschutzgesetz
und die Datenschutzverordnung
herangezogen werden. Die Website des
EDÖB bietet ebenfalls geprüfte juristische
und technische Informationen zum
Thema.
Das neue Datenschutzgesetz
aus Sicht des EDÖB
Auf der Website des EDÖB finden sich
ausführlichere Informationen zu den
durch das revidierte Datenschutzgesetz
eingeführten Veränderungen.
bit.ly/3UwXgKA
Vergleichstabelle revidiertes Datenschutzgesetz
– EU-Verordnung
Der Verband SwissPrivacy.law hat eine
Vergleichstabelle zwischen dem revidierten
Datenschutzgesetz und der EU-
Verordnung publiziert, die über folgende
Adresse einzusehen ist (auf Französisch):
swissprivacy.law/55/
Datenschutzgesetz (DSG)
bit.ly/3hATZuZ
Verordnung über den Datenschutz
(DSV)
bit.ly/3DZOWvR
Verordnung über Datenschutzzertifizierungen
(VDSZ)
bit.ly/3EoLBrH