Auf wen ist das Datenschutzgesetz anwendbar?
Das neue Datenschutzgesetz ist anwendbar auf private Personen und Bundesorgane, die Personendaten natürlicher Personen bearbeiten. Daten juristischer Personen fallen nicht mehr unter den Anwendungsbereich des neuen Datenschutzgesetzes. Unter «Bearbeiten» fällt jeder Umgang mit Personendaten, insbesondere das Beschaffen, Speichern, Archivieren und Löschen von Daten.
 
Was müssen Unternehmen beachten?
 
Informationspflichten
Mit dem neuen Datenschutzgesetz sind die Informationspflichten der betroffenen Personen dahingehend ausgeweitet worden, als dass diese über jede Beschaffung von Personendaten angemessen informiert werden müssen. Bekanntgegeben werden müssen die Identität und die Kontaktdaten des Verantwortlichen, der Bearbeitungszweck, gegebenenfalls die Empfänger, denen Personendaten bekannt gegeben werden sowie bei einer Auslandbekanntgabe der Staat oder das internationale Organ. Dementsprechend haben Unternehmen ihre Datenschutzerklärungen anzupassen.
 
Verzeichnis der Bearbeitungstätigkeiten
Unternehmen, welche Personendaten bearbeiten und mehr als 250 Mitarbeiter beschäftigen oder besonders schützenswerte Personendaten (insbesondere Daten über Gesundheit, Intimsphäre, religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten) in grossem Umfang bearbeiten oder ein Profiling mit hohem Risiko (automatisierte Bearbeitung von Personendaten, welche eine Verknüpfung zu wesentlichen persönlichen Aspekten einer natürlichen Person erlaubt) durchführen, haben ein Bearbeitungsverzeichnis zu führen. Dieses hat sich über die Identität des Verantwortlichen, den Bearbeitungszweck, die Kategorien betroffener Personen und bearbeiteter Personendaten, zur Aufbewahrungsdauer, einer Auslandbekanntgabe und zur Datensicherheit zu äussern.
 
Datenschutz-Folgenabschätzung
Unternehmen müssen – mit wenigen Ausnahmen – vorgängig eine Datenschutz-Folgenabschätzung erstellen, wenn sich bei der Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person ergibt, insbesondere bei der umfangreichen Bearbeitung von besonders schützenswerten Personendaten. Ziel der Datenschutz-Folgenabschätzung ist die vorgängige Analyse und Bewertung von Risiken, welche mit einer Bearbeitungstätigkeit einhergehen. Auf dieser Grundlage sind entsprechende Massnahmen zum Schutz der betroffenen Personen zu treffen.
 
Meldung von Datenschutz-Verletzungen
Eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, ist so rasch als möglich dem EDÖB zu melden. Eine solche liegt vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden. Wenn es zum Schutz der betroffenen Person erforderlich ist oder der EDÖB dies verlangt, so auch die betroffenen Personen zu informieren.
 
Privacy by Design und Privacy by Default
Unternehmen sind zum einen verpflichtet, bei der Datenbearbeitung durch angemessene technische und organisatorische Massnahmen sicherzustellen, dass die Datenschutzvorschriften eingehalten werden (Privacy by Design). Zum anderen ist bei Webapplikationen mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Privacy by Default). Es ist somit immer standardmässig eine datenschutzfreundliche Einstellung vorzunehmen.
 
Wir sind für Sie da
Haben Sie weitere Fragen oder benötigen Hilfe bei anderen Rechtsangelegenheiten? Claus H. Widrig, Senior Advisor der ASSEPRO, freut sich auf Ihre Kontaktaufnahme per Mail claus.widrig@assepro.com oder per Telefon +41 79 414 31 60.