Merkblatt: Neues Datenschutzgesetz
Seit dem 1. September 2023 ist das neue Datenschutzgesetz in Kraft. Damit nehmen die Anforderungen an kleine und mittlere Betriebe in Bezug auf den Datenschutz und die Datenschutz-Compliance zu.
Login
Danke für Ihr Interesse an unseren Inhalten. Abonnenten der Fachzeitschrift metall finden das Login für den Vollzugriff im Impressum der aktuellen Printausgabe. Das Passwort ändert monatlich.
Jetzt registrieren und lesen. Registrieren Sie sich um einzelne Artikel zu lesen und einfach per Kreditkarte zu bezahlen. (CHF 5,- pro Artikel)
Als registrierter Benutzer haben Sie jederzeit Zugriff auf Ihre gekauften Artikel.
Sollten Sie als interessierte Fachkraft im Metall-, Stahl- und Fassadenbau die Fachzeitschrift metall tatsächlich noch nicht abonniert haben, verlieren Sie keine Zeit und bestellen Sie Ihr persönliches Abonnement gleich hier.
Merkblatt: Neues Datenschutzgesetz
Seit dem 1. September 2023 ist das neue Datenschutzgesetz in Kraft. Damit nehmen die Anforderungen an kleine und mittlere Betriebe in Bezug auf den Datenschutz und die Datenschutz-Compliance zu.
Das Prinzip der risikobasierten Anwendung gilt grundsätzlich weiterhin. Dies bedeutet, dass bei der Bearbeitung von sensibleren Daten auch mehr Vorkehrungen getroffen werden müssen. Ob mit Kunden telefoniert wird, Rechnungen bezahlt oder Bewerbungsgespräche geführt werden: Personendaten sind im Geschäftsalltag häufig im Spiel. Somit betrifft das neue Datenschutzgesetz (DSG) mit seinen Änderungen jedes KMU. Künftig ist es wichtig, dass der Datenschutz mehr in den Fokus der Geschäftsleitung gelangt und zum strategischen Thema wird.
Das neue Datenschutzgesetz beschränkt sich auf den Schutz von Daten natürlicher Personen. Der Schutz juristischer Personen entfällt. Keine Verpflichtung, ein Verzeichnis über die Bearbeitung von Personendaten zu führen, sieht das neue DSG bei KMU vor, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen birgt.
Die Schweizerische Eidgenossenschaft rät den Betrieben, im Minimum folgende acht Punkte zu beachten und gegebenenfalls entsprechende Massnahmen umzusetzen oder anzupassen.
1. Betroffen sind nur noch die Daten natürlicher Personen, die von juristischen Personen nicht mehr.
2. Genetische und biometrische Daten wurden neu in die Definition der besonders schützenswerten Daten aufgenommen.
3. Neu gelten die Grundsätze «Privacy by Design» und «Privacy by Default». «Privacy by Design» (Datenschutz durch Technikgestaltung) bedeutet für Entwickler, dass sie den Schutz und den Respekt der Privatsphäre der Nutzerinnen und Nutzer in die Struktur der Produkte oder Dienstleistungen, welche personenbezogene Daten sammeln, einbauen müssen. Der Grundsatz «Privacy by Default» (Datenschutz durch Voreinstellung) stellt sicher, dass schon beim Inverkehrbringen des Produkts oder der Dienstleistung standardmässig die höchste Sicherheitsstufe eingestellt ist, also ohne Eingreifen der Nutzer alle nötigen Massnahmen für den Datenschutz und die grösstmögliche Einschränkung der Datennutzung aktiviert sind. Anders gesagt, müssen sämtliche Software, Hardware sowie die Dienstleistungen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer gewahrt wird.
4. Folgenabschätzungen müssen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
5. Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden.
6. Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen birgt.
7. Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
8. Der Begriff Profiling (die automatisierte Bearbeitung personenbezogener Daten)
wurde in das Gesetz aufgenommen.
Um für Ihren Betrieb zu klären, ob allenfalls Handlungsbedarf besteht, sind folgende Fragen zu prüfen:
• Welche Personendaten werden im Betrieb bearbeitet und zu welchem Zweck?
• Besteht eine Datenschutzerklärung und entspricht diese den neuen Bestimmungen?
• Wie werden betroffene Personen künftig gesetzeskonform über den Umgang mit ihren Daten informiert?
• Welches sind die individuellen Risiken im Betrieb und wie können diese minimiert werden?
• Wer hat welche Verantwortlichkeiten?
• Wurden die Mitarbeitenden im Zusammenhang mit der Bearbeitung von Personendaten sensibilisiert und allenfalls in deren Umgang geschult?
Der AM Suisse empfiehlt seinen Mitgliedern, die vom Schweizerischen Gewerbeverband (sgv) bereitgestellten Unterlagen spezifisch auf die eigene betriebliche Situation und die internen Prozesse abzustimmen sowie gegebenenfalls Auftragsdatenverarbeitungen mit externen Dienstleistern abzuschliessen. Bitte beachten Sie dabei die erläuternden Bemerkungen zu Beginn der Vorlagen.
Die Unterlagen finden Sie hier:
www.sgv-usam.c h unter: Schwerpunkte
Allenfalls kann es auch ratsam sein, professionelle Hilfe von Datenschutzexperten bei der Prüfung und Umsetzung in Anspruch zu nehmen. Der AM Suisse vermittelt Ihnen gerne entsprechende Fachpersonen. ■