support@diff.ch Fragen zur Website? Wir helfen gerne weiter. 031 313 80 20 info@diff.ch Wir freuen uns auf deine Anfrage. Team Zu deiner direkten Ansprechperson.
FAQ unserer Kund*innen #2 – Datenschutz
12. September 2023
FAQ Datenschutz
Seit dem 1. September 2023 ist das neue Datenschutzgesetz in Kraft. Was schützt dieses genau und vor allem: Was ist jetzt zu tun? Die wichtigsten Fragen haben Nina Häberli und Stephan Hofer (GHR Rechtsanwälte AG) für uns und unsere Kund*innen beantwortet:
Was ist unter dem Datenschutzgesetz (DSG) geschützt?
Unter dem Datenschutzgesetz werden Personendaten sowie personenbezogene Daten geschützt. Personenbezogene Daten sind alle, welche auf eine individuell bestimmbare persönliche Person bezogen werden können. Das DSG findet immer dann Anwendung, wenn Personendaten in der Schweiz bearbeitet werden oder die Bearbeitung zwar im Ausland erfolgt, aber Personen in der Schweiz davon betroffen sind.
Was hat sich per 1. September 2023 eigentlich genau geändert?
Das alte Datenschutzgesetz wurde grundlegend revidiert. Die Revision wurde massgeblich von der Europäischen Datenschutz-Grundverordnung (DSGVO) geprägt. Dies führt dazu, dass das neue Datenschutzgesetz (DSG) in vielen Bereichen dasselbe Schutzniveau wie die DSGVO aufweist. Im Ergebnis gibt es neue strengere Vorschriften für den Umfang mit Personendaten, welche für alle Unternehmen – unabhängig ihrer Grösse – gelten. Neu kann die Nichteinhaltung von DSG-Bestimmungen bestraft werden, weshalb Unternehmen gut daran tun die neuen DSG-Vorschriften umzusetzen. Die Prinzipien des DSG sind:
- Transparenz (klare und verständliche Informationen über die Datenbearbeitung)
- Zweckbindung (Personendaten dürfen nur für bestimmte, vorab festgelegte und legitime Zwecke bearbeitet werden)
- Datenminimierung (nur die erforderliche Menge an Daten darf bearbeitet werden)
- Integrität und Nachvollziehbarkeit (es müssen geeignete technische und organisatorische Massnahmen zum Schutz der Personendaten getroffen werden und ein Unternehmen muss nachweisen können, dass die Datenbearbeitung datenschutzkonform erfolgte).
Welche Auswirkungen hat das DSG auf Websites?
Websites benötigen eine Datenschutzerklärung mit eigener Landing Page. Ein Link zur Datenschutzerklärung wird hierfür im Footer der Website eingebunden, damit die Datenschutzerklärung von jeder Unterseite verfügbar ist.
Neu gehört ebenfalls ein Cookie-Banner auf die Webseite. Die Anforderungen daran sind jedoch weniger streng als unter der DSGVO. Sofern Sie Bildmaterial von Ihren Mitarbeitenden auf die Website laden möchten, empfehlen wir Ihnen hierfür die ausdrückliche Einwilligung des Mitarbeitenden einzuholen.
Welche Anforderungen gibt es an den Cookie-Banner auf der Website?
Der Schweizer Cookie-Banner muss einen Link zur Datenschutzerklärung enthalten, in welcher über Cookies informiert wird, sowie eine Ablehnungsmöglichkeit für nicht zwingend notwendige Cookies. Gestützt auf einer Ausnahme des Fernmeldegesetzes können Cookies aktuell bereits beim ersten Seitenaufruf gesetzt werden. Das bedeutet, dass nicht alle Cookies von Anfang an blockiert werden müssen, bis der Website-Besucher sein OK gibt. Die Cookies dürfen folglich gesetzt werden, aber der Website-Besucher muss die Möglichkeit haben, sie zu blockieren.
Was sind Cookies überhaupt?
Cookies sind kleine Textdateien oder Teile von Informationen, die auf Ihrem Computer oder Mobilgerät (wie zum Beispiel Smartphone oder Tablet) gespeichert werden, sobald Sie eine Website benutzen. Ein Cookie enthält üblicherweise den Namen der Webseite/Anwendung, von welcher er stammt, die Dauer des Cookies (d.h. wie lange der Cookie auf Ihrem Gerät bleiben wird) und einen Wert, der üblicherweise eine zufällig generierte, einmalige Nummer ist. Cookies werden eingesetzt, um die Website benutzerfreundlich zu machen. Sie können auch eingesetzt werden, um die zukünftigen Aktivitäten und das zukünftige Anwendererlebnis auf der Website zu beschleunigen. Auch genutzt werden können Cookies, um anonyme, aggregierte Statistiken zusammenzustellen, die dem Websitehost erlaubt zu verstehen, wie Nutzer die Dienste auf einer Website benutzen und helfen, die Struktur und den Inhalt der auf der Website verwendeten digitalen Medien zu verbessern.
Wer ist verantwortlich für die gesammelten Daten auf der Website?
Verantwortlich für den Inhalt ist die Eigentümerin einer Website (in unserem Fall die Auftraggeberin). Das Unternehmen muss festlegen, welche Person im Unternehmen für den Datenschutz verantwortlich ist. Eine verantwortliche Person ist in der Regel eine Person aus der Geschäftsleitung oder eine andere Person, welche über Entscheidkompetenz verfügt, um den Datenschutz im Unternehmen zu gewährleisten. Die verantwortliche Person ist auch dafür verantwortlich, dass im Unternehmen die nötigen technischen und organisatorischen Massnahmen zum Schutz der Daten eingeführt und eingehalten werden.
Sind Kontaktformulare ohne explizites Einverständnis der Datenschutzerklärung zulässig?
Das ist umstritten. Aus unserer Sicht ist die Verwendung eines Kontaktformulars weiterhin auch ohne explizite Bestätigung der Datenschutzerklärung zulässig, solange der Nutzer gleichwohl angemessen über den Datenschutz informiert wird (was der Fall ist, wenn eine Datenschutzerklärung korrekt eingebunden auf der Webseite verfügbar ist). Wir empfehlen aber, eine Bestätigung der Datenschutzerklärung als zwingende Checkbox zum Absenden des Formulars einzufügen, da auf diese Weise die effektive Kenntnisnahme des Nutzers von der Datenschutzerklärung und auch seine Einwilligung zur Datenbearbeitung, wie in der Datenschutzerklärung offengelegt, nachgewiesen werden kann.
Darf ich noch amerikanische Tools wie bspw. Mailchimp nutzen?
Allgemein gilt, dass Sie diejenigen Tools weiter nutzen können, welche Sie in der Datenschutzerklärung auflisten. Nutzen Sie Mailchimp, so muss in der Datenschutzerklärung festgehalten werden, dass Mailchimp verwendet wird.
Was sind die wichtigsten Änderungen im Zusammenhang mit E-Newslettern?
Newsletter dürfen nur dann versendet werden, wenn die betroffene Person eingewilligt hat (z.B. durch Anmeldung) oder wenn die betroffene Person bereits eine entgeltliche Leistung bezogen hat und sich nicht explizit vom Newsletter abgemeldet hat. Wissen Sie nicht mehr, von wo die Adressen stammen, empfehlen wir Ihnen nochmals explizit für eine Einwilligung zu fragen. Aus Praktikabilitätsgründen können die bestehenden Adressen über die neuen Gesetzesbestimmungen informiert werden, wobei darauf hingewiesen wird, dass eine Abmeldemöglichkeit (eine Abmeldung muss mit max. 2-3 Klicks möglich sein) besteht. Durch dieses Vorgehen gehen bei fehlender Reaktion der betroffenen Person keine bestehenden Adressen verloren.
Für den Versand wird die Einwilligung der betroffenen Person verlangt. Es handelt sich hierbei um ein sogenanntes Opt-In. Eine zusätzliche Verifizierung der E-Mailadresse (double Opt-In) ist hingegen nicht zwingend, wird jedoch breit verwendet, um die tatsächliche Einwilligung technisch sicherzustellen. Nur durch eine Bestätigung des betroffenen Mailaccounts selbst kann zweifelsfrei sichergestellt werden, dass sich tatsächlich der Inhaber einer E-Mail Adresse angemeldet hat.
Wie lange darf ich Daten aufbewahren?
Sie dürfen Personendaten so lange aufbewahren
- wie eine gesetzliche Pflicht zur Aufbewahrung besteht;
- wie eine Gewährleistungs- oder Verjährungsfrist noch läuft; oder
- solange eine Einwilligung zur Aufbewahrung vorhanden ist.
Als Faustregel gilt, dass Personendaten nur so lange aufbewahrt werden dürfen, wie unbedingt nötig. Eine allgemein gültige Liste, die online abrufbar wäre gibt es nicht. Beispielshaft erläutern wir kurz das Bewerbungsverfahren. Scheidet eine Person aus dem Bewerbungsverfahren aus, so vernichtet die Arbeitgeberin die Bewerbungsunterlagen, sofern der/die Bewerber*in nicht ausdrücklich einer weiteren Aufbewahrung hinsichtlich einer künftigen Stellenbesetzung zustimmt. Die Vernichtung hat zeitnah zu erfolgen; die Aufbewahrungsdauer sollte in diesem Fall drei Monate bis maximal sechs Monate nicht übersteigen (sofern keine Einwilligung zur weiteren Speicherung vorliegt). Dasselbe gilt für Blindbewerbungen. Ist im Zeitpunkt der Bewerbung keine (passende) offene Stelle verfügbar, so können die Unterlagen nur mit der Zustimmung des/der Bewerber*in weiter aufbewahrt werden, damit diese bei einer künftigen Stellenbesetzung berücksichtigt werden können.
In aller Regel beträgt die Aufbewahrungsdauer 10 Jahre seit Beendigung eines Vertrags oder seit Abschluss einer Buchhaltungsperiode. Gelegentlich können andere Aufbewahrungsfristen existieren (z.B. Bewerbungsunterlagen).
Was tue ich, wenn eine Verletzung passiert?
Ergreifen Sie umgehend Massnahmen, um die Verletzung zu beheben (Rückruf von versehentlichen E-Mails, Änderung von Passwörtern bei Fremdzugriffen, usw.)
Falls die Verletzung zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, ist die Verletzung so rasch wie möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden (in der Meldung ist die Art der Verletzung aufzuführen, deren Folgen und die ergriffenen Massnahmen). Der EDÖB hat hierfür ein Meldeformular online aufgeschaltet, welches auf der Webseite des EDÖB zu finden ist. In allen anderen Fällen ist die betroffene Person zu informieren.
Was riskiere ich, wenn ich nichts unternehme?
Bei vorsätzlichen Verstössen gegen das DSG wie Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten können Privatpersonen mit Bussen bis zu CHF 250'000 bestraft werden. Bei Widerhandlungen in Geschäftsbetrieben können die Unternehmen mit einer Busse bis zu CHF 50'000 bestraft werden, wenn die Ermittlung der fehlbaren Personen mit unverhältnismässigem Aufwand verbunden wäre und eine Busse für diese von höchstens CHF 50'000 in Betracht fallen würde.
Deine Frage wurde noch nicht beantwortet? Das wollen wir gerne ändern – schreib uns eine E-Mail.
