Swiss Insights News - #05 Herausforderung Datenschutz-Compliance
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Swiss
Insights
News
Herausforderung
#05 Datenschutz-Compliance2
3 Swiss Insights News #05
Neue gesetzliche Anforderungen
an die Datenschutz-Compliance
Dieser Artikel gibt praktische Anleitung, welche Schritte
datenverarbeitende Firmen ergreifen müssen, um den neuen
gesetzlichen Vorgaben zu entsprechen.
Das revidierte Schweizer Datenschutzgesetz durch den Bundesrat bestimmt (vermutlich
(revDSG) stellt neue Anforderungen an die Da- 2022). Anlass für die Gesetzesrevision wa-
Marcel Griesinger tenschutz-Compliance von Unternehmen. Zu ren die technologischen Neuerungen, die Ab-
Rechtsanwalt, beachten ist zudem, dass Unternehmen mit aus- sicht Betroffenenrechte zu stärken sowie die
Inhaber Rechtsanwaltskanzlei
Griesinger, Hochschuldozent Wirt-
schliesslichem Sitz in der Schweiz neben dem sich verändernde Rechtspraxis. Besonders
schafts- und Datenschutzrecht revDSG auch unter die Datenschutz-Grundver- starke Auswirkungen auf den schweizeri-
ordnung (DSGVO) der EU fallen können. schen Gesetzgebungsprozess hatte dabei die
EU-Datenschutzgrundverordnung (DSGVO/
Überblick GDPR). Deren hohes Schutzniveau wurde in
Personendaten sind im Marketing und in der per- vielen Punkten auch im revDSG übernom-
sonalisierten Werbung von besonderer Bedeu- men. Dies hat vor dem Hintergrund zahlrei-
tung. Da die Bearbeitung von Personendaten cher grenzüberschreitender Datentransfers in
zur Anwendung der Datenschutz-Vorschriften die Mitgliedsstaaten der EU eine besondere
führt, kommt diesen regulatorischen Vorgaben Bedeutung.
eine zentrale Rolle zu. Die Datenschutz-Com-
pliance ist für Unternehmen und Anwender Wesentliche neue Anforderungen
von Marketing- und Werbemassnahmen eine Nachfolgend soll ein (nicht abschliessender)
zwingende Vorgabe. Besonders aktuell sind Überblick über wesentliche neue Anforderun-
die damit einhergehenden Fragestellungen u. gen des revDSG gegeben werden. Die gesetz-
a. bei der Nutzung digitaler Marketinganwen- lichen Vorgaben wurden teilweise erheblich
dungen und Plattformen, wie beispielsweise verschärft, es wurden sogar komplett neue
den Sozialen Medien, Analyse-Tools, Online- Vorschriften geschaffen, die von den Unterneh-
CRM-Systeme, usw. Den Verschärfungen durch men einzuhalten sind. Zur Durchsetzung der
das revidierte Datenschutzgesetz kommt ge- verschärften Bestimmungen ist im revDSG ein
samthaft für den Marketingbereich eine erhöh- strenger Bussgeldkatalog enthalten. Verstösse
te Aufmerksamkeit zu. gegen die in Art. 60 ff. revDSG benannten Tat-
bestände können mit bis zu 250‘000 CHF sank-
Revision des Datenschutzgesetzes tioniert werden.
Am 25. September 2020 war es endlich soweit:
das Parlament in Bern hat das revidierte Da- a) Ausgeweitete Informationspflichten, insbe-
tenschutzgesetz (revDSG) beschlossen. Das sondere Datenschutzerklärungen
rev-DSG ersetzt das bisherige Datenschutzge- Wer Personendaten bearbeitet muss entspre-
setz aus dem Jahr 1992. Der finale Zeitpunkt chenden Informationspflichten nachkom-
des Inkrafttretens des revDSG wird noch men. Üblicherweise erfolgt dies durch eineSwiss Insights News #05 4
Datenschutzerklärung, die bspw. auf der Web- Personen zu führen (bspw. Überkategorie
seite aufgeschaltet ist. Das Unternehmen muss Kunden, Unterkategorien aktuelle und ehema-
diejenige Person, die von der Datenbearbeitung lige Kunden sowie Unterkategorien Kunden-
betroffen ist, einerseits über die Beschaffung ih- sparten). Es muss also nicht jeder Einzelvor-
rer Personendaten informieren. Zudem müssen gang wie bspw. jedes E-Mail im Verzeichnis
der betroffenen Person weitere unterschiedliche enthalten sein. Allerdings müssen die Katego-
Informationen mitgeteilt werden, wie u. a. die rien alle relevanten Bereiche im Unternehmen
Kontaktdaten des für die Datenbearbeitung Ver- erfassen. Das Verzeichnis muss dauerhaft
antwortlichen, der Bearbeitungszweck und ggf. fortgeführt werden, daher sind klare Zustän-
auch, an welche weiteren Empfänger die Daten digkeiten und periodische Kontrollen hinsicht-
weitergegeben wurden. Wichtig ist hierbei eine lich der Aktualität der Einträge erforderlich.
individuelle Ausgestaltung der jeweiligen Daten-
schutzerklärung. Beim «blinden» oder pauscha- c) Datenschutzfolgenabschätzungen
len Übernehmen einer fremden Datenschutzer- Unter Datenschutzfolgenabschätzungen sind
klärung läuft man Gefahr, einerseits unrichtige Risikoabwägungen zwischen einer beabsich-
Aussagen zu übernehmen, andererseits kommt tigten Datenbearbeitung und den Folgen für
es fast zwangsläufig zum Fehlen relevanter In- die betroffenen Personen zu verstehen. Eine
formationen im Hinblick auf die eigene Situati- solche Abwägung ist dann vorzunehmen, wenn
on. Darüber hinaus würden bei der pauschalen ein geplanter Datenbearbeitungsvorgang ein
Übernahme einer ausländischen Datenschutz- hohes Risiko für die Rechtsposition der betrof-
erklärung die verschiedenen nationalen Rechts- fenen Person erwarten lässt (bspw. bei der um-
grundlagen nicht berücksichtigt. fangreichen Bearbeitung von Gesundheitsda-
ten). Hierbei sind auch die Massnahmen zum
Praxis-Tipp Datenschutzerklärung Schutz der betroffenen Person zu benennen.
Die Datenschutzerklärung sollte individuell für
das jeweilige Unternehmen ausgestaltet wer- Praxis-Tipp Datenschutzfolgenabschätzung
den. Wesentlich ist dabei, ob das betroffene Es ist ein standardisiertes Vorgehen zur Ri-
Unternehmen nur dem Schweizer Recht und/ sikoabwägung zu erstellen. Besonders auf-
oder dem EU-Recht unterfällt. Je nachdem merksam ist eine Prüfung der Risiken dann
sind entsprechende Modifikationen an der vorzunehmen, wenn dem Bearbeitungsvor-
Datenschutzerklärung vorzunehmen. gang sog. besonders schützenswerte Per-
sonendaten (wie bspw. Gesundheitsdaten,
b) Verzeichnis von Bearbeitungstätigkeiten genetische Daten, Daten über die politische
Das revDSG verlangt von Unternehmen künftig Willensbildung usw.) zugrunde liegen.
die Erstellung und Führung eines Verzeichnis-
ses von Bearbeitungstätigkeiten. Das Bear- d) Profiling
beitungsverzeichnis bildet die Datenbearbei- Profiling bedeutet nach der gesetzlichen Le-
tungsvorgänge innerhalb eines Unternehmens galdefinition «jede Art der automatisierten
ab. Dabei sind unterschiedliche Inhalte von Bearbeitung von Personendaten, die darin be-
Gesetzes wegen in das Verzeichnis aufzuneh- steht, dass diese Daten verwendet werden, um
men, wie bspw. eine Umschreibung der Ka- bestimmte persönliche Aspekte, die sich auf
tegorien bearbeiteter Personendaten und be- eine natürliche Person beziehen, zu bewerten,
troffener Personen, die Aufbewahrungsdauer insbesondere um Aspekte bezüglich Arbeits-
und die Massnahmen zur Gewährleistung der leistung, wirtschaftlicher Lage, Gesundheit,
Datensicherheit. persönlicher Vorlieben, Interessen, Zuverläs-
sigkeit, Verhalten, Aufenthaltsort oder Orts-
Praxis-Tipp Bearbeitungsverzeichnis wechsel dieser natürlichen Person zu analysie-
Das Bearbeitungsverzeichnis ist nach Kate- ren oder vorherzusagen».
gorien von Personendaten und betroffener5 Swiss Insights News #05
Praxis-Tipp Profiling heit ist eine Umsetzung des jeweiligen Standes
Im Zusammenhang mit dem Profiling ergeben der Technik («State oft the Art») sicherzustellen.
sind intensive Auswirkungen auf die Rechts-
position der betroffenen Person, so dass hier-
g) Vertreter in der Schweiz / Vertreter in der EU
bei erhöhte (Schutz-)Anforderungen zuguns-
Unternehmen mit ausschliesslichem Sitz in der
ten des Betroffenen an die Datenbearbeitung
Schweiz und Kunden in der EU können in den
zu stellen sind, bspw. bei der Ausarbeitung der
Anwendungsbereich der EU-DSGVO fallen. In
jeweiligen Datenschutzfolgenabschätzung.
diesem Fall ist die Benennung eines sog. Vertre-
ters in der EU (üblicherweise eine Anwaltskanz-
e) Auftragsdatenbearbeitung lei) vorzunehmen. Umgekehrt ist dies für Unter-
Sofern es zur Datenbearbeitung im Auftrag nehmen aus der EU in der Schweiz erforderlich.
eines Dritten kommt, liegt ein sog. Auftrags-
bearbeitungsverhältnis vor, wonach der Auf- Praxis-Tipp Vertreter in der EU:
traggeber sicherzustellen hat, dass die An- Es ist zu prüfen, ob die jeweilige Geschäftstä-
forderungen an die Datensicherheit und den tigkeit auch bei ausschliesslichem Unterneh-
Datenschutz seitens des Auftragsbearbeiters menssitz in der Schweiz zur Anwendung der
eingehalten werden. EU-DSGVO führt. In diesem Fall ist ein Vertre-
ter in der EU zu benennen. Dieser übernimmt
Praxis-Tipp Auftragsdatenbearbeitung vereinfacht ausgedrückt eine «Briefkasten-
Es empfiehlt sich einen Standardvertrag mit den funktion» für das Schweizer Unternehmen.
relevanten Anforderungen zu erstellen. Bei Auf-
tragsbearbeitungsverhältnissen mit Partnern
in der EU sind die zusätzlichen Anforderungen 4. Zusammenfassung und Ausblick
nach Art. 28 DSGVO zu beachten. Bei Datenbe- Das revDSG in der Schweiz enthält diverse neue
arbeitungen in den USA gelten besondere An- Anforderungen für die Bearbeitung von Person-
forderungen, konkret wird die Verwendung sog. endaten. Im Zusammenhang mit den Verschär-
Standard-Vertragsklauseln erforderlich. fungen der gesetzlichen Vorgaben wurden
auch die entsprechenden Bussgeldvorschrif-
f) Weitere Pflichten ten massiv ausgeweitet. Die Bereiche Marke-
Des Weiteren sind im Zusammenhang mit ting und Werbung leben von der Bearbeitung
der Umsetzung der neuen Anforderungen des personenbezogener Daten. Umso wichtiger
rev-DSG auch die Themenbereiche Datensi- ist es, hierbei im Einklang mit den rechtlichen
cherheit, Meldepflichten bei Verletzungen der Anforderungen tätig zu sein. Eine Umsetzung
Datensicherheit («Data Breach») sowie die Wah- des neuen Rechts im Sinne einer Datenschutz-
rung der Betroffenenrechte (bspw. Auskunftsan- Compliance ist daher zwingend geboten.
spruch, Löschanspruch, usw.) zu beachten.
Praxis-Tipp weitere Pflichten Kontakt für Rückfragen
Die Meldepflichten wie auch die Umsetzung der Rechtsanwaltskanzlei Griesinger, Marcel Griesinger
Betroffenenrechte erfordern jeweils klar struktu- info@kanzlei-griesinger.ch, +41 79 871 52 56
rierte Prozesse, bei denen die wesentlichen Ab-
laufschritte für den Ernstfall vorgegeben sind und
dann sofort umgesetzt werden können. Sofern
keine solche Prozesse vorhanden sind, sollten
diese unter klarer Regelung der Verantwortlich-
keiten mit entsprechenden Musterdokumenten
vorbereitet werden. Hinsichtlich der Datensicher-Swiss Insights News #05 6
Swiss Insights News #05 7
Swiss Insights
Swiss Insights ist der Verband und die Interessensvertretung
aller Unternehmen, die Daten und prädiktive Modelle
im Rahmen von Marketing, Innovationsprozessen,
Kundenservice, Angebotsgestaltung, Kommunikation und
Zielgruppendefinitionen erheben, analysieren, einsetzen und
daraus Handlungsempfehlungen ableiten.
Swiss Insights pflegt einen aktiven Dialog mit der Markt- und Sozialforschung klar von Wer-
politisch und gesellschaftlich wichtigen Akteu- bung und Direktmarketing ab. Hierzu führt der
ren und fördert den Austausch mit anderen nati- Verband das Qualitätslabel «Market & Social
onalen und internationalen Fachorganisationen. Research by Swiss Insights».
Eine der Hauptaufgaben des Verbands ist die Darüber hinaus engagiert sich Swiss Insights
Förderung der Markt-, Meinungs- und Sozial- dafür, dass die Nutzung von Daten und die
forschung im Allgemeinen und der Wissen- Anwendung von datengetriebenen Modellen
schaftlichkeit im Besonderen. Er entwickelt, transparent, nachvollziehbar und in diesem Sin-
definiert und unterhält strenge Leitlinien zur ne fair gestaltet wird. Hierfür wurde das Label
Qualitätssicherung und grenzt sich im Bereich «Data Fairness by Swiss Insights» geschaffen.
Herausgeber und Kontakt
Swiss Insights, Swiss Data Insights Association, Gruebengasse 10, 6055 Alpnach, Switzerland
+41 44 3501960, info@swiss-insights.ch, www.swiss-insights.ch8 Swiss Insights News #05
Institute Member
amPuls Market Research intervista
www.ampuls.ch www.intervista.ch
amrein+heller MarktforschungsTreuhand AG IPSOS Suisse SA
www.ah-feedback.ch www.ipsos.ch
Bilendi Schweiz AG Kantar Media Switzerland AG
www.bilendi.com www.kantar.com
Boomerang Ideas GmbH LINK
www.boomerangideas.com www.link.ch
Constant Dialog AG Marketagent.com Schweiz AG
www.constant-dialog.ch www.marketagent.com
DemoSCOPE Data + Research M.I.S. Trend SA
www.demoscope.ch www.mistrend.ch
dr-ouwerkerk ag - just medical! POLYQUEST AG
www.just-medical.com www.polyquest.ch
gff Swiss Research Services Publicom AG
www.gff.ag www.publicom.ch
GfK Switzerland AG qualitest ag
www.gfk.ch www.qualitestag.ch
gfs.bern SensoPLUS® Business
www.gfsbern.ch Unit der Service Management Partners AG
www.sensoplus.ch
gfs-befragungsdienst
www.gfs-bd.ch The Nielsen Company (Switzerland) GmbH
www.nielsen.com/ch
gfs-zürich, Markt- & Sozialforschung
www.gfs-zh.ch TransferPlus AG Market Research
www.transferplus.ch
GIM Suisse AG
www.g-i-m.ch
Happy Thinking People AG
www.happythinkingpeople.com Corporate Member
INNOFACT (Schweiz) SA TX Group AG
www.innofact.ch www.tx.group
Insight Institute AG
www.insightinstitute.chSie können auch lesen
