Swissmechanic_Journal_2022-08
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Wirtschaft und Dienstleistungen<br />
Datenschutzgesetz<br />
33<br />
• Der Begriff Profiling (die automatisierte<br />
Bearbeitung personenbezogener<br />
Daten) wurde in das Gesetz aufgenommen.<br />
Alle Unternehmen in der Schweiz müssen<br />
sich auf das neue Datenschutzgesetz<br />
vorbereiten, das am 1. September 2023<br />
umgesetzt wird. Für Firmen, die sich<br />
noch nicht an die EU-Datenschutzgrundverordnung<br />
(DSGVO) aus dem Jahr 2018<br />
angepasst haben, wird die Umstellung<br />
auf die Bestimmungen des neuen<br />
Schweizer Gesetzes Zeit in Anspruch<br />
nehmen und Unterstützung durch Personen<br />
mit juristischen und technischen<br />
Kenntnissen im Bereich Datenschutz erfordern.<br />
Als Vorbereitung für die Anpassung an<br />
das revidierte Datenschutzgesetz sollten<br />
die im Rahmen der Firmentätigkeit<br />
bearbeiteten Daten erfasst und die Risiken<br />
analysiert werden. Je mehr Daten<br />
ein Unternehmen bearbeitet bzw. je<br />
mehr dieser Daten besonders schützenswert<br />
sind (zum Beispiel im Zusammenhang<br />
mit Religion, Gesundheit, Betreibungen<br />
usw.), desto höher sind die<br />
Anforderungen.<br />
Die 12 Gebote des revidierten Datenschutzgesetzes<br />
Die Schweizer KMU müssen folgende<br />
zwölf Massnahmen umsetzen:<br />
1. Datenschutzerklärungen prüfen und<br />
ändern (Website, Verträge, Werbeinhalte<br />
usw.),<br />
2. Richtlinien für die Datenbearbeitung<br />
innerhalb des Unternehmens erstellen<br />
(oder ändern),<br />
3. ein Verzeichnis der Datenbearbeitung<br />
anlegen (Ausnahme für Unternehmen<br />
mit weniger als 250 Beschäftigten,<br />
sofern kein hohes Risiko für<br />
Verletzungen der Persönlichkeit vorliegt),<br />
4. eine Vorgehensweise für eine rasche<br />
Beantwortung der Anfragen betroffener<br />
Personen ausarbeiten (z. B. Ersuchen<br />
um Auskunft oder Löschung von<br />
Daten),<br />
5. ein Meldeverfahren für Verletzungen<br />
des Datenschutzes einführen,<br />
6. einen Prozess für die Datenschutz-<br />
Folgenabschätzungen etablieren, die<br />
notwendig sind, wenn die Datenbearbeitung<br />
ein hohes Risiko mit sich<br />
bringt (z. B. bei systematischer Überwachung<br />
grosser Teile des öffentlichen<br />
Raums),<br />
7. Verträge mit Subunternehmern analysieren,<br />
um zu prüfen, ob die Sicherheit<br />
der Daten gewährleistet ist, und<br />
entsprechende Klauseln hinzufügen<br />
(insbesondere bezüglich der Meldung<br />
jeglicher Verletzungen des Datenschutzes),<br />
8. dafür sorgen, dass alle personenbezogenen<br />
Daten gelöscht oder anonymisiert<br />
werden (sobald sie für den<br />
Zweck, der deren Bearbeitung rechtfertigte,<br />
nicht mehr benötigt werden),<br />
9. prüfen, in welche Länder Daten übermittelt<br />
werden, auch für eine einfache<br />
Speicherung in der Cloud (diese<br />
Länder müssen in einer vom Bundesrat<br />
erstellten Liste aufgeführt sein; ist<br />
dies nicht der Fall, gelten strengere<br />
Anforderungen),<br />
10. Datensicherheit durch geeignete<br />
technische und organisatorische<br />
Massnahmen garantieren,<br />
11. die Herausgabe der Daten in einem<br />
elektronischen Format gewährleisten<br />
(bei automatisierter Bearbeitung<br />
der Daten und besonders im<br />
Zusammenhang mit dem Abschluss<br />
oder der Erfüllung eines Vertrags),<br />
12. einen Datenschutzberater oder eine<br />
Datenschutzberaterin benennen<br />
und die Kontaktdaten veröffentlichen<br />
(empfohlen wird die Meldung<br />
dieser Person beim Eidgenössischen<br />
Datenschutz- und Öffentlichkeitsbeauftragten<br />
EDÖB).<br />
Diese Liste erhebt keinen Anspruch auf<br />
Vollständigkeit. Für weitere Informationen<br />
sollten das revidierte Datenschutzgesetz<br />
und die Datenschutzverordnung<br />
herangezogen werden. Die Website des<br />
EDÖB bietet ebenfalls geprüfte juristische<br />
und technische Informationen zum<br />
Thema.<br />
Das neue Datenschutzgesetz<br />
aus Sicht des EDÖB<br />
Auf der Website des EDÖB finden sich<br />
ausführlichere Informationen zu den<br />
durch das revidierte Datenschutzgesetz<br />
eingeführten Veränderungen.<br />
bit.ly/3UwXgKA<br />
Vergleichstabelle revidiertes Datenschutzgesetz<br />
– EU-Verordnung<br />
Der Verband SwissPrivacy.law hat eine<br />
Vergleichstabelle zwischen dem revidierten<br />
Datenschutzgesetz und der EU-<br />
Verordnung publiziert, die über folgende<br />
Adresse einzusehen ist (auf Französisch):<br />
swissprivacy.law/55/<br />
Datenschutzgesetz (DSG)<br />
bit.ly/3hATZuZ<br />
Verordnung über den Datenschutz<br />
(DSV)<br />
bit.ly/3DZOWvR<br />
Verordnung über Datenschutzzertifizierungen<br />
(VDSZ)<br />
bit.ly/3EoLBrH