Die Schweiz stellt sich auf die rasante Digitalisierung der Gesellschaft ein. Das neue Datenschutzgesetz stärkt die Governance personenbezogener Daten und stellt die Vereinbarkeit des Schweizer Rechts mit dem EU-Recht sicher. Betroffen ist die gesamte Lebensdauer personenbezogener Daten, d. h. die Erfassung, Speicherung (einschliesslich der Aufbewahrungsdauer), Verwendung, Übertragung und Löschung der Daten.

  • Welche Auswirkungen hat das revDSG auf Infomaniak, dessen Partner und die Eigentümer von Websites?
  • Wie kann die Konformität mit dem revDSG erreicht werden?

Tiago Pedro, Data Protection Officer (DPO) von Infomaniak, äussert sich uns gegenüber zu dieser Entwicklung. Die in diesem Artikel enthaltenen Informationen verstehen sich nur zu Hinweiszwecken und ersetzen in Ihrem speziellen Fall keine fachmännische Beratung.

Datenschutz ist unsere Hauptaufgabe

Datenschutz steht im Zentrum unseres Handelns und unserer Lösungen. Er prägt unsere Entscheidungen bereits in den frühen Entwicklungsphasen und während der gesamten Lebensdauer unserer Produkte.

Als Kundin oder Kunde von Infomaniak werden Ihre Daten wie folgt verarbeitet und gehostet:

  • durch ein unabhängiges Schweizer Unternehmen, dessen Geschäftsmodell nicht auf der Auswertung und dem Verkauf von Daten beruht, in Übereinstimmung mit EU-Recht;
  • durch Technologien und Software, die von Infomaniak entwickelt wurden oder auf Open-Source-Technologien basieren;
  • in Data Centern, die ausschliesslich von Infomaniak in der Schweiz betrieben werden.

Unsere Datenschutzrichtlinie ist klar und transparent:

  • Wir behandeln Ihre personenbezogenen Daten so, als wären sie unsere eigenen.
  • Wir verwenden personenbezogene Daten nur, um Ihre Dienste und unsere Tätigkeiten (Rechnungsstellung, Kundensupport usw.) zu ermöglichen.
  • Jeder Datenverarbeitungsprozess wird klassifiziert und dokumentiert.

Als Cloud-Anbieter tragen wir eine doppelte Verantwortung:

  1. Wenn wir personenbezogene Daten im Zusammenhang mit unserer eigenen Tätigkeit verarbeiten, sind wir „der für die Verarbeitung Verantwortliche„.
  2. Wenn wir Daten hosten, die Sie uns anvertrauen, sind wir „Auftragsverarbeiter„.

Daher setzen wir technische und organisatorische Mittel ein, um:

  • ein hohes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten.
  • Ihnen zu ermöglichen, Ihren gesetzlichen Verpflichtungen in Verbindung mit der Nutzung unserer Dienste nachzukommen.

Das neue Schweizer Datenschutzgesetz verstehen

Wer ist betroffen? Um welche Daten handelt es sich? Was ändert sich? Was ist zu beachten?

Das revDSG betrifft alle in- und ausländischen Organisationen, die Daten von Personen in der Schweiz verarbeiten – an allen Orten weltweit. Dies betrifft Mitarbeitende, Kunden*innen, potenzielle Kunden*innen, Bürger*innen, deren Auftragsverarbeiter*innen, Dritte usw. Gegen Personen, die tatsächlich für eine Verletzung bzw. einen Verstoss gegen das revDSG verantwortlich sind, können Bussen verhängt werden.

Es betrifft alle personenbezogenen Daten:

Personenbezogene Daten

  • Name, Vorname
  • E-Mail-Adresse
  • Telefonnummer
  • Postanschrift

Sensible personenbezogene Daten

  • Biometrische Daten
  • Medizinische Informationen
  • Strafregister
  • Ethnische Herkunft
  • Politische Überzeugung

4 Begriffe zum Verstehen des neuen DSG

  1. Folgenabschätzung: Wenn eine Verarbeitung personenbezogener Daten ein hohes Risiko einer Verletzung des allgemeinen Persönlichkeitsrechts mit sich bringen kann, ist bei Datenlecks, böswilligen Angriffen, Identitätsdiebstahl usw. eine Folgenabschätzung erforderlich.
  2. Verhältnismässigkeit: Nicht mehr benötigte Daten müssen vernichtet werden. In Bezug auf die ermittelten Risiken sind angemessene (technische und organisatorische) Sicherheitsmassnahmen zu treffen. Unternehmen mit 250 oder mehr Beschäftigten müssen ein Verzeichnis von Tätigkeiten zur Verarbeitung personenbezogener Daten erstellen.
  3. Transparenz: Es ist erforderlich, über die Verarbeitung aller personenbezogenen Daten und deren allfällige Übertragung umfassend zu informieren. Besteht ein hohes Risiko einer Beeinträchtigung allgemeiner Persönlichkeitsrechte, sind Verletzungen der Datensicherheit umgehend dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden.
  4. Effizienz: Bei Verstössen gegen das revDSG kann der EDÖB rasch handeln und selber Entscheide treffen. Die Strafbestimmungen sind viel strenger (von CHF 10 000.– bis 250 000.–).

Wie kann die Konformität mit dem revDSG erreicht werden?

Je nach dem Standort der Personen, deren Daten Sie verarbeiten, müssen Sie wissen, ob Ihre Organisation das revDSG, die europäische Datenschutz-Grundverordnung (DSGVO) oder beides einhalten muss.

Ist Ihre Organisation bereits DSGVO-konform, ist vernünftigerweise davon auszugehen, dass kaum Handlungsbedarf besteht. Verarbeitet Ihre Organisation nur personenbezogene Daten von Personen, die sich in der Schweiz befinden, ist eine eingehende Prüfung erforderlich, um sicherzustellen, dass sie mit dem revDSG konform ist.

Häufige Fragen zum revDSG

  1. Ist die Benennung eines für die Verarbeitung personenbezogener Daten Verantwortlichen obligatorisch? Dies ist die falsche Frage. Der „für die Verarbeitung Verantwortliche“ (Sie) bezeichnet eine private Person oder ein Bundesorgan, das personenbezogene Daten verarbeitet, und damit dessen Auftragsverarbeiter. Der Begriff ist nicht zu verwechseln mit einem „Datenschutzberater“ (entspricht dem DPO), dessen Ernennung für Unternehmen freiwillig ist.
  2. Ist auf Schweizer Websites ein Cookie-/Consent-Banner erforderlich? Wenn sich Ihre Website nur an Besuchende aus der Schweiz richtet, ist es nicht erforderlich, die Einwilligung Ihrer Nutzer*innen für die Verwendung von Cookies einzuholen (ausser bei sensiblen Daten, hohem Risiko und Profilerstellung). Auf jeden Fall ist über die Datenverarbeitung zu informieren und auf das Recht auf Widerspruch gegen die Datenverarbeitung hinzuweisen.
  3. Können Tools wie Hotjar oder GA4 unter dem revDSG genutzt werden? Diese Tools sind grundsätzlich Cookies gleichgestellt. Sie werden im gleichen Rahmen wie Cookies zugelassen, solange die Nutzer*innen sie nicht ablehnen, etwa über die Datenschutzeinstellungen ihres Webbrowsers.

Übereinstimmung mit dem revDSG richtig angehen

Womit ist anzufangen? Nachfolgend eine Darstellung der optimalen Ausgangslage für die Anpassung an das neue Datenschutzgesetz:

1. Transparente Datenschutzpolitik

Der erste Schritt besteht darin, die Verarbeitungen personenbezogener Daten zu erfassen, um spezielle Risiken zu ermitteln. Ihre Organisation muss in Bezug auf personenbezogene Daten ein umfassendes Verständnis von sich selbst besitzen.

Es gibt kein Standardschema, aber Ihre Datenschutzrichtlinie muss alle detaillierten Informationen enthalten, z. B. ist zu erläutern, welche Daten wie und zu welchem Zweck verarbeitet werden, wie lange sie aufbewahrt und wie sie gesichert werden, mit wem sie geteilt werden und in welchem Land und wie sie von Dritten (z. B. Verkäufern*innen) genutzt werden. Mehrere Szenarien erfordern die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten, das eine Reihe von Angaben enthält, die in Artikel 12 revDSG beschrieben werden. Dies gilt für Unternehmen mit mehr als 250 Mitarbeitenden, die sensible Daten in grossem Umfang verarbeiten oder deren Verarbeitungen im Hinblick auf eine Profilerstellung hochriskant sind.

2. Weniger Daten, weniger Risiken, weniger Schäden

Ihre Organisation muss verantwortungsvoll handeln. Es ist zu klären, ob bestimmte Daten nicht überflüssig sind, die dann zu löschen sind. Wenn Verarbeitungen ermittelt und beschrieben werden, kann deren Sicherheit beurteilt werden. Von Ihrer Organisation werden angemessene technische und organisatorische Massnahmen erwartet: Privacy by Design, by Default. Dies ist ein kontinuierlicher Verbesserungsprozess.

3. Regeln und klaren Rahmen schaffen

Ihre Organisation muss Regeln aufstellen und diese auf alle Stufen der Organisation übertragen. Mit dem revDSG kann die Verantwortung unterhalb der Leitung anzusiedeln sein, wenn Verstösse auftreten. Folglich muss Datenschutz Bestandteil der internen Kommunikation, der Rekrutierung usw. sein. Dies kann in Form von Rollenspielen, Quiz, informativen Videos usw. erfolgen Der Datenschutz muss in alle relevanten Prozesse einfliessen und auf allen Stufen Ihrer Organisation zum Selbstverständnis werden.

***

Datenschutz ist ein ernstzunehmendes Thema, und wir hoffen, dass Ihnen dieser Artikel geholfen hat, die Hintergründe des revDSG zu verstehen und Ihre Fragen zu beantworten.

Infomaniak ist ein Cloud-Anbieter, der sich für den Datenschutz einsetzt. Bitte überprüfen Sie in Ihrer Organisation sorgfältig, ob Sie das revDSG und die DSGVO einhalten, und lassen Sie sich im Zweifelsfall von einer Fachperson beraten.

Mehr erfahren