Seit dem 1. September 2023 gilt in der Schweiz ein neues Datenschutzgesetz. Mittlerweile gibt es erste Erkenntnisse aus der Praxis. Zeit für eine Einschätzung und für Handlungsempfehlungen.
Untersuchung des EDÖB
Wie der Presse zu entnehmen war, hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) gegen die Digitec Galaxus AG, einen der grössten Schweizer Onlinehändler, eine Untersuchung geführt. Der EDÖB bemängelte dabei insbesondere die Datenschutzerklärung. Zwar erfolgte diese Untersuchung noch unter altem Recht, sie lässt aber trotzdem interessante Rückschlüsse zu.
Nutzungszweck für einzelne Personendaten angeben
Der EDÖB empfiehlt, in der Datenschutzerklärung klar erkennbar zu machen, zu welchen Zwecken welche Personendaten bearbeitet werden. Dabei sollen die für den jeweiligen Zweck genutzten Daten zugeordnet werden (z.B. Kontaktdaten für Kommunikations- und Marketingzwecke). Diese Vorgabe ist neu und in den meisten Datenschutzerklärungen nicht konsequent umgesetzt. Auch wenn diese Empfehlung der Datenschutzbehörde von vielen als zu weitgehend kritisiert wird, lohnt sich diese Anpassung, zumal sie mit wenig Aufwand umgesetzt werden kann.
Verwendung von Web Analyse-Tools
Viele Unternehmen verwenden auf ihren Internetseiten Web Analyse-Tools zur Beobachtung des Nutzerverhaltens, oftmals ohne es zu wissen. Gemäss EDÖB muss in der Datenschutzerklärung offengelegt werden, welche Web Analyse-Tools verwendet werden und was für Daten wofür bearbeitet werden (z.B. IP-Adresse für Marketingzwecke).
Keine Datenbearbeitung «auf Vorrat»
Die Datenschutzerklärung soll gemäss EDÖB nur diejenigen Zwecke für Datenbearbeitungen angeben, die tatsächlich durchgeführt werden. Auch diese Empfehlung wurde vielfach kritisiert. Unseres Erachtens sollte man im Zweifel lieber etwas zu viel als zu wenig angeben, vor allem, wenn neue Bearbeitungen geplant sind.
Lösch- und Widerspruchsmöglichkeiten
In den Datenschutzerklärungen soll gemäss EDÖB beschrieben werden, wie betroffene Personen einer Bearbeitung ihrer Daten widersprechen oder die Löschung verlangen können. Zumindest nach dem Gesetzeswortlaut ist das nicht nötig. Weil viele Datenschutzerklärungen auch die Vorgaben der Europäischen DatenschutzGrundverordnung (DSGVO) berücksichtigen, sind Hinweise auf das Widerspruchs- und Löschungsrecht auch in Schweizer Datenschutzerklärungen oft enthalten.
Koppelung von Datenbearbeitung mit Kundenkonten
Der EDÖB betrachtet die Koppelung eines Online-Bestellvorgangs mit dem zwingenden Erfordernis eines Kundenkontos als unzulässig. Als Alternative sieht die Datenschutzbehörde den Gastkauf vor, ohne das Erfordernis eines Kundenkontos. Diese Empfehlung ist unseres Erachtens richtig und zu berücksichtigen. Ein Kunde soll freiwillig entscheiden können, ob er ein Kundenkonto eröffnen will oder nicht.
Weitere Bemerkungen
Nicht Teil der Untersuchung des EDÖB aber nach unserer Erfahrung regelmässig ungenügend umgesetzt sind folgende Themen:
Auftragsdatenbearbeitung
Externe Dienstleister, die für ihr Unternehmen Personendaten bearbeiten, gelten als Auftragsbearbeiter. Bereits ein Speichern durch einen solchen Dienstleister ist eine Auftragsbearbeitung. Das neue Datenschutzgesetz verlangt eine Vereinbarung mit Auftragsbearbeitern, die den Umgang mit Personendaten regelt (z.B. Weisungsrecht, Einhaltung der Datensicherheit). Beispiele für Auftragsbearbeiter sind Cloud-Anbieter, aber auch Webseitenbetreiber oder externe IT-Provider. Prüfen Sie, ob Ihr Unternehmen entsprechende Auftragsbearbeitungsvereinbarungen abgeschlossen hat. Die Nichteinhaltung kann zu Bussen führen.
Bekanntgabe ins Ausland
Werden Personendaten im Ausland bearbeitet, müssen betroffenen Personen (z.B. Kunden aber auch Arbeitnehmende) informiert werden. Gewährleistet das betreffende Land keinen gleichwertigen Datenschutz (fast alle Länder ausserhalb des EWR), muss beispielsweise von betroffenen Personen eine Einwilligung eingeholt oder mit einer Vereinbarung ein genügender Datenschutz sichergestellt werden. Es existieren zu diesem Zweck Mustervereinbarungen. Auch hier drohen Bussen bei Nichteinhaltung.
Datensicherheit
Der Schutz von Personendaten ist nicht nur eine rechtliche Verpflichtung, sondern vor allem auch eine technische und organisatorische. Geeignete Massnahmen, um die Sicherheit der Daten zu gewährleisten, sind daher unerlässlich. Listen mit verschiedenen technischen und organisatorischen Massnahmen, sind als Hilfestellungen erhältlich und werden auch von uns zur Verfügung gestellt.
Datenschutzerklärung
In der Datenschutzerklärung sind nicht nur der vom EDÖB genannte Zweck und die Zuordnung der dabei genutzten Personendaten anzugeben. Neben weiteren obligatorischen Inhalten, ist auch der Beizug von Dritten wie Auftragsbearbeiter oder die Bekanntgabe in andere Länder zu nennen. Nach unserer Erfahrung besteht gerade bei diesen beiden Punkten Handlungsbedarf.
Schlussfolgerung
Es zeigt sich, dass der EDÖB der Einhaltung des Datenschutzes durch Unternehmen viel Gewicht einräumt. Das neue Datenschutzgesetz ist also kein Papiertiger. Entsprechend müssen Unternehmen die neu geltenden Pflichten umsetzen, sofern das nicht bereits erfolgt ist.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.