Blog & Events

Checkliste Wie man eine Datenschutzrichtlinie für das neue DSG und die DSGVO schreibt

21/06/2021

Da das neue Schweizer Datenschutzgesetz (DSG) voraussichtlich im Januar 2022 in Kraft treten wird, ist jetzt  ein guter Zeitpunkt, um eure Datenschutzrichtlinie zu überarbeiten und sicherzustellen, dass sie alle wichtigen Punkte abdeckt.

Die DSG folgt der Allgemeinen Datenschutzverordnung (DSGVO) der Europäischen Union (EU), die 2018 in Kraft getreten ist. Wenn Sie also bereits eine DSGVO-konforme Datenschutzrichtlinie haben, müssen Sie nur wenig hinzufügen (siehe Abschnitt 1 unten). Die gesamte Checkliste findet ihr in Abschnitt 2.

Wir haben eine DSGVO-konforme Datenschutzrichtlinie. Was müssen wir anpassen?

Das neue DSG übernimmt weitgehend die Grundsätze der DSGVO. Daher  sind die Informationsanforderungen, die ein Unternehmen über seine Datenverarbeitungsaktivitäten in der Datenschutzerklärung bereitstellen muss, gleichwertig oder weniger strikt. Nur bei der Übermittlung von personenbezogenen Daten ins Ausland geht das neue DSG über die Anforderungen der DSGVO hinaus: Nach dem neuen DSG müssen Unternehmen die Länder auflisten, in die sie personenbezogene Daten übertragen, einschliesslich der Massnahmen, die zur Gewährleistung eines angemessenen Schutzes ergriffen wurden.

Gemäss aktueller Lehrmeinung, die wir unterstützen, ist eine generische Aussage, dass eine Verbringung ins Ausland „weltweit“ erfolgen kann, weiterhin möglich. Allerdings müssen die ergriffenen Massnahmen noch benannt werden. So sollte z. B. festgehalten werden, dass Übermittlungen nur in Länder mit angemessenem Datenschutz gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten oder auf der Grundlage von genehmigten Standardvertragsklauseln erfolgen.

Checkliste Datenschutzrichtlinie

Diese Checkliste führt euch durch die Schweizer DSG- und EU-DSGVO-konformen Anforderungen an die Datenschutzrichtlinien einer typischen Webseite.

  • Identität und Kontaktdaten des für die Verarbeitung Verantwortlichen und des Schweizer oder EU-Vertreters des für die Verarbeitung Verantwortlichen.
    • Stellt sicher, dass ihr den Firmennamen, die Adresse und die Kontakt-E-Mail angeben.
  • Personenbezogene Daten oder Kategorien von Daten.
    • Angenommen, ihr erfasst erfassen die Daten über eine Person indirekt (was fast immer der Fall ist, wenn ihr z. B. Browserdaten sammelt oder Google Analytics nutzt). In diesem Fall müsst ihr nach der DSGVO und dem DSG in eurer Datenschutzerklärung auf die von euch  erfassten  personenbezogenen Daten eingehen.
    • Zu diesem Zweck könnt ihr entweder alle von euch verarbeiteten personenbezogenen Daten im Detail auflisten (z.B. Name, Adresse, Telefonnummer, E-Mail) oder nur die Kategorien personenbezogener Daten (z.B. Kontaktdaten).
    • Wir schlagen in der Regel vor, die Kategorien der Daten aufzulisten, da eine vollständige Liste schwierig zu erstellen und zu pflegen ist.
  • Zweck(e) der Verarbeitung.
    • Sowohl nach dem DSG als auch nach der DSGVO müsst ihr Personen darüber informieren, warum ihr deren Daten überhaupt verarbeitet. Die häufigsten Zwecke der Verarbeitung sind die folgenden:
      • Zur Bereitstellung und Entwicklung Ihrer Produkte, Dienstleistungen und Website.
      • Zur Rekrutierung von Stellenbewerbern.
      • Zur Vermarktung eurer Dienstleistungen.
      • Zur Geltendmachung von Rechtsansprüchen und zur Verteidigung in Rechtsstreitigkeiten und behördlichen Verfahren.
  • Empfänger/Kategorien von Empfängern.
    • Ihr habt die Möglichkeit, die tatsächlichen Empfänger oder nur die Kategorien von Empfängern (z. B. Datenspeicher- und Hosting-Anbieter, CRM-Systeme) aufzulisten. Beachtet, dass zwar Konzernunternehmen als „Empfänger“ gelten, nicht aber deren Mitarbeiter und internen Abteilungen.
    • Auch hier empfehlen wir in der Regel eine einfache Auflistung der Empfängerkategorien, da es schwierig ist, jeden einzelnen Empfänger aufzulisten.
  • Datenübertragungen ausserhalb der Schweiz.
    • Führt alle Länder auf, in die ihr personenbezogene Daten übermittelt, und die Massnahmen, die einen angemessenen Schutz in diesen Ländern gewährleisten.
    • Eine generische Aussage ist ausreichend (siehe Abschnitt 1 oben für Details).
  • Kontaktdaten des Datenschutzbeauftragten (DSB) (sog. „Datenschutzbeauftragter“ nach dem neuen DSG).
    • Wenn ihr einen Datenschutzbeauftragten gemäss der DSGVO und dem DSG ernannt habt, müsst ihr seine Kontaktdaten in eurer Datenschutzrichtlinie angeben.
  • Automatisierte Entscheidungsfindung (inkl. Profiling).
    • Nach der DSGVO und dem DSG müsst ihr die Nutzer informieren, wenn ihr eine automatisierte Entscheidungsfindung durchführt und die damit verbundene Logik sowie die Konsequenzen erklären.
  • Rechtsgrundlagen der Verarbeitung.
    • Nach dem DSG müsst ihr die Rechtsgrundlagen für die Verarbeitung nicht auflisten. Stattdessen könnt ihr diese Informationen nur dann an Personen weitergeben, wenn diese ihr Recht auf Information wahrnehmen, müsst dies aber gemäss herrschender Lehre nicht.
    • Nach der DSGVO müsst ihr jedoch die Rechtsgrundlagen für die Verarbeitung in eurer Richtlinie aufführen. Ihr können entweder für jeden Zweck spezifiziert oder generisch aufgelistet werden. Die Rechtsgrundlagen für die Verarbeitung gemäss DSG/DSGVO sind die folgenden:
      • Erfüllung eines Vertrags;
      • Berechtigtes Interesse;
      • Einwilligung;
      • Rechtliche Verpflichtung;
      • Lebenswichtige Interessen;
      • Aufgaben im öffentlichen Interesse.
  • Dauer der Datenspeicherung oder Kriterien für deren Festlegung.
    • Nach dem DSG müsst ihr die Aufbewahrungsfristen in der Regel nicht in euren Datenschutzrichtlinien wiedergeben. Stattdessen könnt ihr diese Informationen nur dann an Personen weitergeben, wenn diese ihr Recht auf Information ausüben (s. unten).
    • Unter der DSGVO könnt ihr die Aufbewahrungsfristen für jede Datenkategorie ausdrücklich erwähnen (z. B. sechs Monate für Rekrutierungsdaten von erfolglosen Bewerbern).
    • Alternativ könnt ihr eine allgemeine Erklärung wie z.B. die folgende veröffentlichen: „Wir bewahren personenbezogene Daten so lange auf, wie sie für die Zwecke, für die sie erhoben wurden, oder in Übereinstimmung mit gesetzlichen und regulatorischen Anforderungen oder vertraglichen Vereinbarungen benötigt werden„.
  • Rechte der betroffenen Person. Nach dem DSG und der DSGVO müsst ihr Einzelpersonen über ihre Rechte informieren, insbesondere:
    • Das Auskunftsrecht;
    • Das Recht auf Zugang;
    • Das Recht auf Berichtigung von unrichtigen oder unvollständigen Daten;
    • Das Recht auf Löschung;
    • Das Recht auf Einschränkung der Verarbeitung;
    • Das Recht auf Datenübertragbarkeit;
    • Das Widerspruchsrecht;
    • Das Recht, die Zustimmung zu widerrufen;
    • Rechte in Bezug auf automatisierte Entscheidungsfindung, einschliesslich Profiling; und
    • Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
  • Verarbeitung aufgrund einer gesetzlichen oder vertraglichen Verpflichtung und die Folgen einer Verweigerung der Bereitstellung personenbezogener Daten.
    • Wenn ihr personenbezogene Daten aufgrund einer gesetzlichen oder vertraglichen Verpflichtung verarbeitet, müsst ihr gemäss der DSGVO die betroffenen Personen darüber informieren und ihnen die Folgen einer Verweigerung der Herausgabe ihrer Daten mitteilen.
    • Es gibt keine solche Anforderung unter dem DSG.
  • Die Quellen der Daten, wenn Sie die Daten nicht direkt von der Person erhalten haben.
    • In Fällen, in denen Sie Daten indirekt erhalten, müsst ihr nach der DSGVO und dem DSG die Quellen in eurer Datenschutzerklärung erwähnen (z. B. öffentlich zugängliche Quellen).
  • Hinweise auf das Datenschutzrecht.
    • Achtet darauf, dass ihr nicht nur auf die DSGVO oder die DSG-Artikel verweist, sondern auf „geltendes Datenschutzrecht“.

Fazit

Wir hoffen, dass diese Checkliste euch dabei hilft, eure Datenschutzerklärung im Hinblick auf das kommende Schweizer DSG zu überprüfen. Wie beschrieben, ist eine DSGVO-konforme Datenschutzerklärung im Prinzip ausreichend, wenn man einige Feinheiten anpasst (insbesondere in Bezug auf die Übermittlung personenbezogener Daten ausserhalb der Schweiz).

Wenn ihr weitere Fragen habt, zögert nicht uns zu kontaktieren!

Quellen:
https://www.fedlex.admin.ch/eli/fga/2020/1998/de
https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2021/revdsg.pdf.download.pdf/revDSG_DE.pdf


Anna Maria Tonikidou

By Anna Maria Tonikidou

MLaw, LL. M. mult.

Verwandt

Let’s Go

100+ Unternehmen vertrauen bereits auf LEXR. Ob etabliertes Unternehmen oder Startup, wir bieten perfekt angepasste rechtliche Unterstützung und helfen auf dem Weg zum Erfolg.

Kostenloses Gespräch buchen