Neue Informationspflichten nach dem Datenschutzgesetz

Wie kann die betroffene Person informiert werden?

Die Informationspflicht wird optimalerweise in Form eines schriftlichen Dokuments, wie etwa einer Datenschutzerklärung, erfüllt. Eine Datenschutzerklärung kann auf der Website Ihres Unternehmens platziert werden, um Benutzer, Kunden und potenzielle Kunden darüber zu informieren, wie Sie deren Daten verarbeiten. Das bezieht sich nicht nur auf die externen Beziehungen zu Kunden, potenziellen Kunden oder Lieferanten, sondern auch intern auf Ihre Mitarbeitenden. Die letztere Personengruppe kann beispielsweise mit einer eigens dafür vorgesehenen Datenschutzerklärung für Mitarbeitende abgedeckt werden. 

Was muss in der Datenschutzerklärung enthalten sein?

Zum Zeitpunkt der Datenerfassung muss der Datenverantwortliche der betroffenen Person alle Informationen bereitstellen, die die betroffene Person benötigt, um ihre Rechte gemäss dem revDSG geltend zu machen, und die für eine transparente Datenverarbeitung erforderlich sind.

Dies umfasst die folgenden Informationen:

• Identität und Kontaktdaten des Verantwortlichen (Anschrift, Telefonnummer, E-Mail-Adresse)
• Bearbeitungszweck
• Falls zutreffend: Empfänger oder Kategorien der Empfänger, an die personenbezogene Daten weitergegeben werden

Falls personenbezogene Daten ins Ausland weitergegeben werden, müssen Sie die betroffene Person auch über das Land oder die internationale Behörde sowie über die zum Schutz der personenbezogenen Daten getroffenen Vorkehrungen informieren.

Die erforderlichen Informationen sind weniger umfangreich als die in der Datenschutz-Grundverordnung festgelegte Informationspflicht. Es sollte jedoch bedacht werden, dass nach dem revDSG eine Liste der Länder zu erstellen ist, in die personenbezogene Daten übermittelt werden. Grundsätzlich genügen allgemeine Formulierungen wie «Europa» oder «jedes Land, in dem wir eine Niederlassung haben».

Darüber hinaus müssen die Schutzvorkehrungen (wie etwa die Verwendung der Standardvertragsklauseln im Fall von Übermittlungen in Länder ausserhalb der EU) oder Ausnahmen, die für die Datenübermittlung gelten, dargelegt werden.

Der Verordnungsentwurf zum DSG stellt klar, dass der Datenverantwortliche und der Datenverarbeiter die Informationen über die Erfassung von personenbezogenen Daten genau, verständlich und in leicht zugänglicher Weise kommunizieren müssen. Auch Piktogramme sind zulässig. 

Wie Sie eine Datenschutzerklärung verfassen und was zu tun ist, wenn Sie bereits über eine DSGVO-konforme Datenschutzerklärung verfügen

Als Ausgangspunkt sollten Sie die Bearbeitungstätigkeiten und die vorhandenen Datenschutzinformationen betrachten. Ihr Unternehmen sollte ausserdem über eine Übersicht aller massgeblichen bestehenden Datenschutzrichtlinien und -informationen (etwa auch in Geschäftsbedingungen) verfügen. Das Verzeichnis der Bearbeitungstätigkeiten ist eine grosse Hilfe beim Identifizieren der Bearbeitungstätigkeiten sowie deren Zweck. Wenn Sie bereits über eine Datenschutzerklärung verfügen, müssen Sie gegebenenfalls einige Anpassungen vornehmen. Wenn Sie personenbezogene Daten in ein anderes Land exportieren, muss dieser Datenexport aus einer Schweizer und nicht aus einer europäischen Perspektive betrachtet werden. Entsprechend sind die Länder aufzuführen, in die die Daten übermittelt werden. Darüber hinaus müssen Sie den Grund des Datenexports in ein unsicheres Drittland angeben und ausserdem etwaige Ausnahmen vermerken.

Haben Sie Fragen?

https://pages.pwc.ch/core-contact-page?form_id=7014L000000kkHMQAY&embed=true&lang=de