In gewohnter novu-Manier — knapp aber pünktlich — veröffentlichen wir einen etwas anderen Blog-Artikel zum Thema Datenschutz.
Zuerst wollten wir euch lediglich eine allgemeine Übersicht über den Hintergrund, den Inhalt, die nötigen Massnahmen sowie die üblichen Spekulationen zu den möglichen Konsequenzen geben. Doch das haben wenige bereits sehr gut gemacht und sehr viele weniger gut kopiert. Und seien wir ehrlich: seit ChatGPT könnten wir alle einen weiteren zahnlosen Blog-Artikel zum Thema publizieren.
Deshalb haben wir uns entschieden, euch sehr ehrlich unsere Einschätzung zum neuen Gesetz zu geben und euch die Massnahmen, die wir selber umgesetzt haben und auch unseren Kunden empfehlen, aufzuzeigen.
Datenwas?
Datenschutz!
Schon immer, aber vor allem in der heutigen Zeit, sind Daten allgegenwärtig. Bei fast allem was wir tun — einkaufen, arbeiten, sogar beim Putzen mit einem Dyson-Staubsauger — erzeugen wir Daten. Und unter Datenschutz versteht der Gesetzgeber nun den Schutz von gewissen Daten, konkret von Personendaten.
Als Personendaten gelten Daten, die Rückschlüsse auf eine Person zulassen. Offensichtliche Personendaten sind beispielsweise Name, Geburtsdatum, Wohnort, etc. Weniger offensichtliche Personendaten reichen aber oftmals in Kombination miteinander aus, um den Rückschluss auf eine Person zu erlauben: oder wie viele bei novu angestellte, charmante Tech-CEOs im Alter von 28 kennt ihr? ;-)
Das betrifft mich doch nicht!
Doch!
Jede Firma erhebt und bearbeitet Personendaten. So werden über ein Kontaktformular auf der Webseite E-Mail-Adressen aufgenommen, am Telefon wird nach der Wohnadresse gefragt und bei einer Bestellung im Onlineshop kann man häufig noch sein Geburtsdatum für etwas Rabatt angeben.
Daneben ist heute auch unumgänglich, dass Personendaten an andere Firmen weitergegeben werden. Wenn ihr zum Beispiel einen Onlineshop habt, gebt ihr die Adresse eurer Kunden an einen Lieferpartner weiter. Auch wir bearbeiten die Personendaten von unseren Kunden, wenn wir ihre Webseite hosten und somit die Kontaktanfragen via Webseite speichern.
Das Datenschutzgesetz regelt nun den Umgang und die Weitergabe genau solcher Daten. Das Datenschutzgesetz gibt es eigentlich bereits seit 1992 — das revidierte Datenschutzgesetz (revDSG oder nDSG genannt) wurde aber komplett neu geschrieben und geht einiges weiter als das Alte. Das wurde auch Zeit, schlussendlich gab es im Jahr 1992 noch kein Internet und Briefe wurden per Taube verschickt — oder so.
Muss ich das ernst nehmen?
Kurz: ja.
Man muss sich bewusst sein, dass das Datenschutzgesetz Teil vom Strafrecht ist. Die Sanktionen können bis zu CHF 250’000.– betragen und werden gegen Privatpersonen verhängt, inklusive Eintrag ins Strafregister. Als Geschäftsinhaber:in haftest also du, nicht dein Geschäft. Und da es strafrechtlich relevant ist, gibt es auch keine Versicherung, die diese Kosten übernimmt, ähnlich wie es keine Versicherung gibt, die für dich ins Gefängnis geht.
Bestraft wird aber nur, wer vorsätzlich handelt. Das heisst, deine Handlung ist strafbar, wenn du sie mit Absicht vorgenommen hast. Allerdings ist auch der Eventualvorsatz ausreichend. Dementsprechend machst du dich bereits strafbar, wenn du durch dein (fehlendes) Handeln eine Datenschutzrechtsverletzung in Kauf nimmst.
Weitere Informationen zu den Strafbestimmungen gibt dir dieser Blog-Artikel.
Wie muss ich vorgehen?
Durchatmen.
Auf den ersten Blick mag das alles einschüchternd klingen. Ist es aber schlussendlich doch nicht so sehr. Doch was sollst du als Geschäftsinhaber:in nun konkret damit machen? Wie sind wir bei novu vorgegangen?
Zuerst einmal ist es wichtig, dass man sich selber informiert und eine grobe Vorstellung davon hat, was die einzelnen Begriffe und Konzepte bedeuten. Was ist ein Verantwortlicher im Kontext des DSG, was ist Pseudonymisierung? Anstatt das alles hier zu beantworten, empfehlen wir die Seite Datenschutz.law, die übrigens im Auftrag unseres Kunden Domenig & Partner Rechtsanwälte von uns entwickelt wurde *stolz*.
Mit diesem Wissen bewaffnet, kann man eine sogenannte GAP-Analyse vornehmen. Anhand einer Checkliste kannst du für sämtliche Themen evaluieren, ob die notwendigen Massnahmen bereits getroffen wurden. Wir empfehlen die Checkliste von Domenig & Partner Rechtsanwälte, welche im Rahmen eines (kostenpflichtigen) Workshops strukturiert und effizient ausgefüllt werden kann. Bei Interesse könnt ihr euch direkt bei Domenig & Partner melden.
Und wie betrifft mich das konkret?
Um ehrlich zu sein: überraschend wenig.
Das neue Gesetz geht zwar sehr viel weiter als sein Vorgänger. Wenn man jedoch nicht unnötig viele Daten sammelt und diese länger als nötig aufbewahrt, sind aber erstaunlich wenige Anpassungen nötig.
Konkret legen wir dir insbesondere folgende Punkte ans Herz:
Privacy by Design
Ist es notwendig, das genaue Geburtsdatum zu erfragen, oder reicht es aus, zu wissen, ob der oder die Kund:in volljährig ist, besonders wenn es nicht um Altersbeschränkungen geht? Braucht man die Telefonnummer für den Kundenservice oder eventuelle Rückfragen, oder kann die Kommunikation auch über E-Mail erfolgen?
Bei jeder Erhebung, Bearbeitung und Weitergabe von Personendaten soll man sich die Frage nach der Notwendigkeit stellen. Bei neuen technischen Systemen wie Webseite, Plattformen, etc. sollen diese Überlegungen bereits in der Konzeption gemacht werden. Genau das versteht man unter Privacy by Design. Man könnte es bei vielen Dingen auch als gesunden Menschenverstand bezeichnen.
Bearbeitungsverzeichnis
Dass du deine Firma nicht komplett neu konzipieren kannst, liegt auf der Hand. Genau deshalb haben wir es für uns als sinnvoll erachtet, ein Bearbeitungsverzeichnis zu erstellen. Dieses ist für Betriebe mit über 250 Mitarbeitenden oder in denen besonders schützenswerte Personendaten bearbeitet werden sowieso Pflicht, empfiehlt sich aber für alle Unternehmen.
In einem Bearbeitungsverzeichnis werden sämtliche Bearbeitungstätigkeiten von Personendaten im Unternehmen strukturiert und zentral dokumentiert. So sorgt es gleichzeitig elegant dafür, dass Unternehmen wissen, wie und welche Personendaten sie überhaupt bearbeiten.
Grundsätzlich braucht ein Bearbeitungsverzeichnis keine spezielle Form - eine Tabelle auf einem Blatt Papier ist theoretisch ausreichend. In vielen Fällen eignet sich Excel, wir haben uns bei novu für Notion, unser generelles Notiztool, entschieden.
Weitere Informationen können in diesem Blog-Artikel gefunden werden.
Datenschutzerklärung
Was du auf jeden Fall in Angriff nehmen musst, ist die Erstellung einer Datenschutzerklärung. In dieser müssen die Endnutzer:innen klar über die Art und den Verwendungszweck der erhobenen Daten (z.B. Newsletter, Formulare, Tracking, etc.) informiert werden.
Seien wir ehrlich — die Datenschutzerklärung ist für die meisten sowieso nur Copy & Paste von vielen verschiedenen Textbausteinen. Dafür gibt es viele Branchenvorlagen, Online-Tools oder Textbausteine.
Da wir es aber pragmatisch mögen, empfehlen wir die Nutzung des Tools Privacy Bee. Dieses scannt periodisch deine Webseite nach allen Tools, die du einsetzt. Anhand der genutzten Services wird dann automatisch eine Datenschutzerklärung generiert und eingebunden. Der Service kostet monatlich CHF 3.- und kann unter privacybee.ch mit einer kostenlosen Testphase gebucht werden.
Anpassungen Webseite
Hier kommt nun der obligate Teil, wo wir dir etwas verkaufen wollen. Spass beiseite.
Rein technisch gesehen muss deine Webseite nicht angepasst werden. Im Gegensatz zur europäischen DSGVO, wo explizit die Zustimmung (auf englisch Consent) erfragt werden muss, darf in der Schweiz ohne Zustimmung getrackt werden. Wer mag schlussendlich keine Cookies im Land der Schokolade?
Trotzdem gibt es zwei einfache Massnahmen, welche du relativ einfach für deine Webseite umsetzen lassen kannst:
Auch wenn wir ihn nicht mögen, ist ein Cookie-Banner mit Zustimmung für das Setzen von Cookies eine Möglichkeit, wie du auch im internationalen Kontext auf der sicheren Seite bist.
Die meisten Webseiten von uns verwenden Inhalte, die von externen Quellen stammen, wie beispielsweise Schriften oder Social-Buttons. Wir können bei deiner Seite prüfen, welche dieser Inhalte technisch notwendig sind und welche wir auch selber hosten oder einfach ersetzen können. So wird deine Datenschutzerklärung dann auch etwas kürzer.
Falls du diese Anpassungen an deiner Webseite wünschst, nimm gerne mit uns Kontakt auf.
Auskunftsrecht
Ein letzter wichtiger Punkt, dem du dir bewusst sein musst, ist das Auskunftsrecht. Grundsätzlich haben Personen, deren Daten du bearbeitest, das Recht, diese einzusehen und zu löschen oder berichtigen zu lassen. Üblicherweise sind das Daten von (ehemaligen) Mitarbeitenden und von (ehemaligen) Kunden.
Die betroffenen Personen haben das Recht, von dir sämtliche Daten, die du über sie speicherst, in geeigneter Form (z.B. CSV-Export) einzusehen. Hier kommt ebenfalls wieder das Bearbeitungsverzeichnis zum Zug. Hast du ein solches, kannst du relativ einfach alle Daten zusammentragen und exportieren. Wir empfehlen dir, diesen Prozess des Zusammentragens am Anfang manuell durchzuführen und dann Stück für Stück zu automatisieren.
Etwas komplizierter ist das Recht auf Löschung (oder Berichtigung) der Daten. Hier musst du natürlich auch der gesetzlichen Aufbewahrungspflicht (Rechnungen, Lohnausweise, amtliche Formulare, etc.) nachkommen.
Offensichtlich unbegründete oder querulatorische Anfragen müssen zum Glück nicht berücksichtigt werden. Ansonsten musst du diesem Recht innerhalb von 30 Tagen kostenlos nachkommen. Wir haben deshalb bei uns intern klare Prozesse und Zuständigkeiten definiert.
Eine gute Übersicht und weitere Informationen liefert dieser Artikel.
Weitere Themen
Im Eiltempo hier noch eine Zusammenstellung der sonstigen Erkenntnisse, die wir bei unserer Vorbereitung gemacht haben und gerne mit dir teilen:
Newsletter sind grundsätzlich in Ordnung, ein Double-Opt-In ist jedoch zu empfehlen. Das gehörte jedoch bereits nach der Einführung der DSGVO in der EU zum guten Ton.
Wie sieht es aus mit amerikanischen Diensten? Am 13. Juli wurde so zu sagen «last minute» das EU-U.S. Data Privacy Framework erlassen, das hier bald den Weg frei machen wird. Somit werden amerikanische Dienste wie Mailchimp, etc. gleich wie europäische Services behandelt und dürfen somit für die Datenverarbeitung verwendet werden.
Es muss eine Vereinbarungen über die Datenverarbeitung (kurz ADV, für Auftragsdatenverarbeitungs-Vereinbarung) mit allen Partnerfirmen geschlossen werden. Beispielsweise müssen unsere Kunden mit uns einen ADV abschliessen, da wir personenbezogene Daten verarbeiten (z.B. Formulare auf der Webseite). Bei Interesse teilen wir gerne unsere Vorlage mit euch.
Wie unterscheidet sich unser Datenschutzgesetz von der DSGVO?
Schon ziemlich.
Grundsätzlich gilt: Unternehmen mit Sitz in der Schweiz müssen das revDSG einhalten, während Unternehmen mit Sitz in der Europäischen Union die DSGVO/GDPR beachten müssen. Aber Achtung: Auch Schweizer Unternehmen, die personenbezogene Daten von europäischen Kundinnen und Kunden verarbeiten, sind ebenfalls an die Vorschriften der DSGVO gebunden.
Ein grosser Unterschied ist die Einwilligung, die bei DSGVO explizit nötig ist. Das zeigt sich beispielsweise in der Notwendigkeit eines Cookie-Banners.
Unterschiedlich sind ebenfalls die Strafen, die gemäss DSGVO bis 20 Millionen (oder 4% Jahresumsatz, einfach die grössere Zahl) betragen und mit denen Unternehmen, nicht Privatpersonen, belegt werden.
Die weiteren Vorgaben sind ähnlich, jedoch hat die Schweiz tendenziell einen etwas pragmatischeren Ansatz in vielen Bereichen gewählt. Im Internet finden sich viele Vergleichstabellen, welche auf die Unterschiede detaillierter eingehen.
Fazit
Die möglichen Strafen von CHF 250’000.- können durchaus einschüchternd wirken. Ein gewisser Respekt ist auch angebracht - doch bei genauerem Hinsehen zeigt sich, dass viele Anforderungen durch gesunden Menschenverstand bereits erfüllt werden.
Insgesamt sind für die meisten Firmen nur wenige Anpassungen erforderlich. Das Bearbeitungsverzeichnis hat uns intern geholfen, Prozesse zu überdenken und zu optimieren. Und die Datenschutzerklärung kann mit Textvorlagen oder einem Service wie PrivacyBee ohne viel Aufwand generiert werden.
Wir hoffen, dir damit etwas Licht ins Dunkel gebracht zu haben und falls nicht, dich immerhin an der einen oder anderen Stelle zum Schmunzeln gebracht zu haben. Bei Fragen oder wenn du Unterstützung benötigst, stehen wir dir gerne zur Verfügung.
Weiterführende juristische Beratung
Falls du weiterführende juristische Beratung wünschst, empfehlen wir im Raum Zürich die Kanzlei Probst Partner (RA Kaj Seidl-Nussbaumer, kaj.seidl-nussbaumer@probstpartner.ch) und im Raum Bern die Kanzlei Domenig & Partner Rechtsanwälte (RAin Chantal Lutz, lutz@domenig.law).
Disclaimer
Auch wenn wir uns juristisch beraten lassen haben, weisen wir dich darauf hin, dass wir nicht garantieren, dass unsere Erkenntnisse grundsätzlich stimmen oder für dich anwendbar sind. Konkrete Fragestellung sind immer im Einzelfall mit Juristen zu klären.