Was zu tun ist
Eine Übersicht schaffen
Unter gewissen Umständen haben Sie ein sogenanntes Bearbeitungsverzeichnis zu erstellen, in welchem Sie verschiedene Informationen über die Datenbearbeitung in Ihrem KMU festhalten. Diese Pflicht ist mit einem beachtlichen Aufwand verbunden. Um zu prüfen, ob das Erstellen von einem solchen Verzeichnis Pflicht für Ihr KMU ist, müssen Sie sich die folgenden Fragen stellen:
- In Ihrem KMU arbeiten mehr als 250 Personen (Vollzeitstellen)
- Ihr KMU bearbeitet besonders schützenswerte Personendaten (vergleiche Absatz «Datenschutz-Know-how» am Ende)
- Ihr KMU bearbeitet Personendaten in einer Weise, welche ein hohes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt
Können Sie all diese Fragen mit gutem Gewissen mit «Nein» beantworten, dann benötigen Sie kein Bearbeitungsverzeichnis. Dies wird vor allem bei kleineren KMU zutreffen, welche ausschliesslich im B2B-Bereich tätig sind und gar nie oder nur im geringen Masse mit besonders schützenswerten Personendaten in Berührung kommen. Trotzdem müssen Sie die Antworten zu den Fragen periodisch überprüfen, um allenfalls zu einem späteren Zeitpunkt ein Verzeichnis zu erstellen.
Haben Sie auch nur eine der Fragen mit «Ja» beantwortet, so haben Sie ein Bearbeitungsverzeichnis zu erstellen. Das Bearbeitungsverzeichnis muss Ihnen einen Überblick über sämtliche Applikationen und Prozesse geben, bei denen in Ihrem KMU personenbezogene Daten bearbeitet werden.
Wichtigster Inhalt des Bearbeitungsverzeichnisses ist unter anderem die Auflistung folgender Informationen:
- Bearbeitungszweck
- Beschreibung von Kategorien betroffener Personen (zum Beispiel Konsumenten, Arbeitnehmer)
- Beschreibung von Kategorien bearbeiteter Personendaten (zum Beispiel Wohnadressen, Salär, besonders schützenswerte Personendaten)
- Kategorien der Empfänger
- Angabe des Staates und der Garantien, sofern Daten ins Ausland bekannt gegeben werden
Für das Erstellen des Bearbeitungsverzeichnisses benötigen Sie die Unterstützung Ihres IT-Teams genauso wie der einzelnen Verantwortlichen in den Bereichen Verkauf, Einkauf, HR, Finanzen et cetera. Diese können Ihnen sagen, welche Personendaten Ihr KMU wo und wie bearbeitet. Machen Sie sich die Angelegenheit aber nicht schwerer, als sie ist: Eine Excelliste, die sämtliche Bearbeitungen auflistet und die nötigen Informationen enthält, reicht hier völlig aus.
Wir raten auch Unternehmen mit weniger als 250 Mitarbeitern dazu, ein zumindest rudimentäres Verzeichnis der Datenbearbeitungen zu führen, sozusagen ein «Bearbeitungsverzeichnis light». Dieses Verzeichnis hilft dabei, zu prüfen, ob die Informationspflicht über Datenbearbeitungen, die von allen Unternehmen zu beachten ist, eingehalten ist. Im Übrigen hilft dieser Überblick auch bei der Beantwortung von Auskunfts- oder anderweitigen Begehren von betroffenen Personen.
Unbedingt informieren
Eine grosse Veränderung bringt das neue Datenschutzrecht in Sachen Informationspflicht mit sich. Neu sind, die Betroffenen über jede Bearbeitung ihrer Personendaten im Voraus zu informieren. Die Verletzung dieser Pflicht kann bei vorsätzlichem Handeln, wie eingangs erwähnt, gebüsst werden. Die von der Datenbearbeitung betroffenen Personen in Ihrem KMU können Sie grundsätzlich in die folgenden beiden Kategorien einteilen:
- Mitarbeitende (interne Kategorie): Proaktive Information mittels einer internen Datenschutzerklärung (zum Beispiel im Personalreglement)
- Konsumenten, Kunden, Websitenutzende, Lieferanten etc. (externe Kategorie): Information mittels einer externen Datenschutzerklärung
Wissen Ihre Mitarbeitenden heute nicht, wie, wo und welche ihrer Daten Sie bearbeiten, dann müssen Sie zwingend proaktiv darüber informieren. Haben Sie bis heute noch keine Datenschutzerklärung auf Ihrer Website, welche für externe Personen frei zugänglich ist, so haben sie auch dies dringend nachzuholen. Verfügen Sie schon seit längerem über eine externe und interne Datenschutzerklärungen, so empfiehlt sich eine Überprüfung, mittels welcher Sie die Aktualität sicherstellen.
Keine Weitergabe von Daten an Dritte ohne Vertrag
Es ist kaum denkbar, dass ein Unternehmen heute noch ohne Dienstleister auskommt, welche in irgendeiner Weise Daten Ihrer KMU bearbeiten. Bereits das nicht selbst gehostete HR-Tool oder die Auslagerung der Buchhaltung an Drittunternehmen führt automatisch zu einer Datenbearbeitung durch Dritte (sogenannte Auftragsdatenbearbeiter, vergleiche dazu Absatz «Datenschutz-Know-how» am Ende). Dem Drittunternehmen dürfen Sie die Daten Ihres KMU nur dann weitergeben, wenn Sie mit diesen einen Vertrag geschlossen haben, welcher die Datenbearbeitung in geeigneter Weise regelt (sogenannte Datenbearbeitungsvereinbarungen oder DPA, data processing agreements).
Mit diesen Vereinbarungen stellen Sie unter anderem sicher, dass das Drittunternehmen nur erlaubte Datenbearbeitungen vornimmt, den Zugriff auf die Daten schützt, die Daten nicht (ins Ausland) weitergibt oder ohne Vorabgenehmigung weitere Datenbearbeiter einsetzt etc.
Kein Transfer ins Ausland ohne Absicherung
Personendaten dürfen ins Ausland bekanntgegeben werden, sofern im entsprechenden Land ein genügend angemessener Schutz der Daten besteht. Eine Liste der Staaten mit angemessenem Datenschutz befindet sich im Anhang zur Verordnung über den Datenschutz (Datenschutzverordnung, DSV). Datentransfers zum Beispiel ins europäische Umfeld sind unproblematisch.
Schwieriger gestaltet sich die rechtliche Lage bei Datentransfers in das sogenannte «unsichere» Ausland, wozu zum Beispiel die USA, Indien oder China gehören. Wenn Sie Daten in eines der besagten Länder transferieren, sind weitere Massnahmen zu treffen (zum Beispiel Abschluss von Standardvertragsklauseln, siehe dazu Absatz «Datenschutz-Know-how»). Alternativ ist im Einzelfall die Einwilligung der Betroffenen für den Transfer ins Ausland einzuholen.
Indem ein Grossteil der Daten elektronisch gespeichert wird, werden Daten rasch weitergegeben. Befindet sich zum Beispiel der Speicherort von Daten Ihres KMU im Ausland (ebenfalls rasch der Fall bei zum Beispiel Cloud-Servern), so haben Sie diese schon ins Ausland weitergegeben. Einige amerikanische Dienstleister bieten bereits heute Lösungen an, bei denen die Daten ausschliesslich auf europäischen Servern abgelegt werden. Datenschutzrechtlich ist das Problem damit zwar aufgrund der weiterhin bestehenden Möglichkeit eines Zugriffs des amerikanischen Unternehmens auf die Cloud-Inhalte nicht gelöst, aber sicherlich massiv entschärft.
Prüfen, ob eine Datenschutz-Folgenabschätzung benötigt wird
Beabsichtigen Sie eine Datenbearbeitung, durch die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person entsteht, so haben Sie vorgängig eine Datenschutz-Folgenabschätzung vorzunehmen. Dies ist insbesondere dann der Fall, wenn Sie neue Technologien verwenden oder wenn Art, Umfang, Umstände und/oder Zweck der Bearbeitung ein hohes Risiko mit sich bringen. Für die Vornahme der Datenschutz-Folgenabschätzung sowie für die daraus folgende Risikobewertung wird der Beizug eines externen Experten empfohlen.
Einen Prozess für die Beantwortung von Betroffenenbegehren und für Vorfälle festlegen
Betroffene können mit Begehren an Sie gelangen: Sie haben unter anderem ein Recht auf Auskunft, auf Löschung, auf Berichtigung etc. Mit Ausnahme des Rechts auf Datenherausgabe und -übertragung in einem gängigen elektronischen Format sind dies keine neuen Rechte. Wichtig ist aber, dass Sie wissen, wie Sie auf ein allfälliges Begehren reagieren müssen. Auskunftsbegehren müssen innerhalb von 30 Tagen beantwortet werden. Wenn Sie also bereits einen konkreten Prozess festgelegt haben, können Sie umso gelassener sein. Im Prozess sind folgende Aspekte zu regeln:
- Überprüfung der Berechtigung zur Stellung des Begehrens
- Festlegung interner Verantwortlichkeiten
- Form und Inhalt der Beantwortung
Ein Prozess und die Klärung von Verantwortlichkeiten sind ebenfalls notwendig, wenn es zu einer Datenpanne (sogenannter «Data breach», siehe dazu Absatz «Datenschutz-Know-how») kommt. Solche Datenpannen sind gemäss neuem Datenschutzrecht dem EDÖB «so rasch als möglich» zu melden, wenn sie zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen. Unter Umständen ist auch die betroffene Person zu informieren. Da bei einer Datenpanne schnelles Handeln gefordert ist, lohnt es sich, wenn vorab die Verantwortlichkeiten und die Prozesse geklärt sind.
Was nicht schwieriger wird
- Grundsätzlich bleibt es beim System, wonach Datenbearbeitungen von Personendaten erlaubt sind, solange die Grundsätze des Datenschutzes (vergleiche dazu Absatz «Datenschutz-Know-how») eingehalten sind.
- Eine Einwilligung zur Datenbearbeitung wird nur in wenigen Fällen vorausgesetzt, besonders dann, wenn die Grundsätze nicht eingehalten werden können.
- Eine Datenbearbeitung durch Dritte bleibt weitgehend gleichermassen möglich und ein Transfer ins Ausland wird nicht grundsätzlich erschwert.
- Die Strafbestimmungen kommen nur zum Tragen, wenn vorsätzlich gehandelt wird, nicht jedoch bei fahrlässigem Handeln. Trotzdem lohnt es sich, keine Strafverfahren zu riskieren.
- Es gibt weiterhin keinen Zwang, einen Datenschutzbeauftragten (unter neuem Recht neu der «Datenschutzberater») zu bestimmen.
Datenschutz-Know-how
Personendaten
Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (zum Beispiel Name, Adresse, Geburtsdatum, IP-Adresse etc.). Juristische Personen sind unter dem neuen Datenschutzgesetz nicht mehr geschützt. Nur wer Personendaten bearbeitet, untersteht dem Datenschutzgesetz. Nun handelt es sich aber bereits bei Mitarbeiterdaten um Personendaten, zum Teil sogar um «besonders schützenswerte» Personendaten. Genauso sind auch E-Mailadressen und Kontaktinformationen von Mitarbeitern der Geschäftspartner oder Geschäftskunden Personendaten gemäss Datenschutzgesetz. Aus diesem Grund hat sich grundsätzlich jedes KMU die Frage zu stellen, wie sie mit den Anforderungen des Schweizer Datenschutzrechts umgehen sollen. Diese sind – je nach Art der Tätigkeit – unterschiedlich: von KMU etwa im Industrie- und Gewerbebereich, die in erster Linie mit B2B-Partnern arbeiten und keine sensitiven Daten bearbeiten, sind sie geringer als bei KMU mit Daten von Privatkunden (B2C).
Besonders schützenswerte Personendaten
- Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
- Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie
- genetische Daten
- biometrische Daten, die eine natürliche Person eindeutig identifizieren
- Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen;
- Daten über Massnahmen der sozialen Hilfe
Grundsätze der Datenbearbeitung
- Nur rechtmässiges Bearbeiten
- Bearbeitung nach Treu und Glauben und Einhaltung der Verhältnismässigkeit
- Zweckmässigkeit: nur zu bestimmtem für die betroffene Person erkennbaren Zweck
- Vernichtung oder Anonymisierung, wenn für Bearbeitungszweck nicht mehr erforderlich
- Richtigkeit und Vollständigkeit der Daten ist zu überprüfen
Können diese Grundsätze der Datenbearbeitung nicht eingehalten werden oder ist zweifelhaft, ob diese in einem bestimmten Fall eingehalten sind, ist die Bearbeitung von Daten nicht per se zu unterlassen. Wichtig ist hier, dass bei der betroffenen Person eine Einwilligung eingeholt wird.
Bearbeiten
Darunter fällt jede Art von Bearbeitung, zum Beispiel auch der Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.
Auftragsbearbeiter
Die Bearbeitung von Personendaten kann einem Auftragsbearbeiter übertragen werden (etwa Outsourcing HR in einem HR-Tool). Als Auftragsbearbeiter gelten nur jene, die Daten so bearbeiten, wie es der Verantwortliche selbst tun dürfte. Der Auftragsbearbeiter hat sich daher genau an die Zweckbestimmung zu halten und darf die Daten nicht für eigene Zwecke verwenden. Eine Auftragsbearbeitung ist zudem dann nicht zulässig, wenn eine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet, die Daten durch jemand anderen bearbeiten zu lassen.
Standardvertragsklauseln
Sogenannte Standard Contracting Clauses (SCC) bieten die Möglichkeit, Personendaten in ein als unsicher geltendes Ausland zu transferieren. Durch die Vereinbarung von solchen Klauseln kann ein angemessener Schutz durch Vertrag gewährleistet werden. Eines der bekannten Vertragswerke, das vom EDÖB anerkannt wird, sind die Standardvertragsklauseln der EU gemäss dem Beschluss der Europäischen Kommission. Die meisten grösseren Internet-Dienstleister machen solche Standardvertragsklauseln bereits von vornherein zum Bestandteil ihrer Verträge. Wenn ein Unternehmen diese nicht anbietet, sollten Sie beim Abschluss eines Vertrages vorsichtig sein und diesen Umstand hinterfragen. Im Juni 2021 wurden neue Standardvertragsklauseln der Europäischen Kommission erlassen. Unternehmen, die Standardvertragsklauseln einsetzen, hätten per Ende 2022 bereits sämtliche Verträge anpassen sollen. Wer noch alte in Gebrauch hat, sollte sich in einem allerersten Schritt um diese Aktualisierung kümmern.
Datenpanne
Sogenannte «Data breaches» sind Verletzungen der Datensicherheit. Es geht darum, dass Personendaten verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Zu denken ist hier an Hackerangriffe, versehentlich öffentlich gemachte oder gelöschte Kundendaten etc.