Hinweise zum revDSG
Am 1. September 2023 tritt das revidierte Schweizer Datenschutzgesetz in Kraft (revDSG / nDSG). Dieses Gesetz definiert Verpflichtungen im Umgang mit Kundendaten, an die sich alle Unternehmen ab Inkrafttreten ohne Übergangsfrist halten müssen.
Auf den folgenden beiden kurzen Artikel des Bundes finden sich verständliche Informationen zum neuen Gesetz:
- Neues Datenschutzgesetz (revDSG)
- Checkliste für KMU: Welche Anpassungen an das Datenschutzgesetz sind nötig?
OWNBIT steht als Umsetzungspartner im Zusammenhang mit Datenschutzangelegenheiten auf Websites etc. zur Verfügung, um Ihnen bei den notwendigen Massnahmen zur Erreichung einer grösstmöglichen Gesetzteskonformität behilflich zu sein. Nachfolgend finden Sie unser empfohlenes Vorgehen, wie Sie dieses Thema in Angriff nehmen können, um Ihr Haftungsrisiko per Anfangs September 2023 möglichst zu reduzieren.
⚠️ Wir müssen Sie darauf hinweisen, dass sich die Verantwortung (Haftung) nicht auslagern lässt und die neue Gesetzgebung nicht nur Ihre Website betrifft, sondern vielmehr alle Unternehmensprozesse, bei denen Kundeninformationen verarbeitet werden.
Empfohlenes Vorgehen
Die folgenden Informationen haben wir nach aktuellem Wissensstand zusammengestellt, um Ihnen eine Starthilfe bei der Meisterung dieser Herausforderung zu bieten. Dieser Artikel ist weder vollständig noch abschliessend. Er stellt auch keinen Ersatz für eine fachkundige Rechtsberatung dar. Änderungen und Irrtümer vorbehalten.
Sich eigenständig in die Thematik einarbeiten
Datenschutz ist ein weiteres Fachgebiet, um das Sie sich als Unternehmen kümmern müssen. Um Ihr Haftungsrisiko zu minimieren, sollten Sie sich das nötige Wissen aneignen und die Unternehmensprozesse wo nötig umstrukturieren. Die Verantwortung kann nicht auf einen Dienstleister abgegeben werden, sondern liegt schlussendlich bei Ihnen. Die jeweils anwendbaren Gesetzte (Schweizer Datenschutzgesetz, DSGVO usw.) definieren Pflichten und Verhaltensgrundsätze, die sich unbedingt kennen sollten.
Wir empfehlen deshalb, dass sich die verantwortliche Person mit einem der verfügbaren Kursangebote in das Thema einarbeitet. Das ist wesentlich einfacher und effizienter als sich das nötige Wissen aus Gesetzestexte oder aus einzelnen Artikel zusammenzusuchen. Mit dem folgenden Kurs haben wir gute Erfahrungen gemacht:
www.datenschutzpartner.ch/angebot-academy/
Bei dem oben genannten Kurs sind auch Webinare inbegriffen, bei denen Sie Ihre Fragen an einen Datenschutz-Experten richten können.
Ist-Situation aufnehmen
Bevor Sie Massnahmen zur Verbesserung der Gesetzeskonformität treffen können, müssen Sie wissen, wie und wo Daten in Ihrem Unternehmen verarbeitet werden. Die folgenden Fragen geben einen ersten Anhaltspunkt (nicht abschliessend):
- Welche Kundendaten werden von welchen Systemen verarbeitet?
- Wo werden besonders schützenswerte Daten verarbeitet?
- An welche Stellen werden Daten an andere Unternehmen oder Stellen weitergegeben? Wo allfällig ins Ausland?
Ziehen Sie für die Aufnahme der Ist-Situation der einzelnen Fachgebiete wo nötig Unterstützung bei.
Umsetzung von Massnahmen zur Verbesserung der Gesetzeskonformität
Leiten Sie anhand der gelernten Prinzipien und Pflichten sowie des aufgenommenen Ist-Zustandes die nötigen Massnahmen ab. Passen Sie Ihre Prozesse und Systeme an, sodass es den neuen Regelungen entspricht (Privacy First, keine unnötigen Daten sammeln, Daten nach Verwendung wieder löschen usw.).
Ziehen Sie wo nötig fachkundige Unterstützung bei, um die Massnahmen festzulegen und umzusetzen.
Datenschutzerklärung publizieren
Wir empfehlen Ihnen die obligatorische Datenschutzerklärung mit Hilfe eines verlässlichen Generators zu erzeugen:
www.datenschutzpartner.ch/angebot-datenschutz-generator/
Wir empfehlen dieses Angebot, weil die damit erzeugte Erklärung von Anwälten zusammengestellt und geprüft wurde und sie normalerweise nicht mehr manuell ergänzt werden muss. Der Generator führt Sie anhand von diversen Fragen durch den Prozess und erzeugt die Erklärung dann automatisch auf Basis der getroffenen Auswahl. Das ist nach unseren Erfahrungen sowohl effizienter und wohl auch rechtssicherer als eine eigene Erklärung zu schreiben resp. eine Vorlage zu nutzen und diese umfangreich zu ergänzen.
Ziehen Sie auch hier wo nötig fachkundige Rechtsunterstützung bei.
Aufwände für Datenschutz budgetieren
Da sich die Gesetzeskonformität nicht einmalig für immer sicherstellen lässt, sollten Sie Aufwände im Zusammenhang mit Datenschutz budgetieren (für Aktualisierung von Datenschutzerklärungen und Datenschutzinventaren, technische Massnahmen, Ergänzung von neuen Tools usw.).
Halten Sie sich auf dem neusten Stand und bleiben bei den Optimierungen dran
Informieren Sie sich weiterhin zu diesem Thema. Es ist derzeit viel in Bewegung und sie werden wohl so schnell keine vollständige Konformität erreichen (falls das überhaupt möglich sein sollte). Lassen Sie sich nicht von diesem Thema abschrecken und versuchen Sie einfach eine bestmögliche Konformität mit Mitteln / Möglichkeiten zu erzielen.
Anhand von Gerichtsentscheiden wird sich langfristig vermehrt zeigen, welche Verstösse als besonders schwerwiegend beurteilt wurden.
Viele Tools sind zudem bestrebt, ihre Konformität mit den Regelungen zu verbessern und fügen vermehrt die Möglichkeit hinzu Daten wahlweise in der EU zu speichern usw.
Weiterführende Ressourcen
Online stehen diverse weitere Ressourcen zur Verfügung, um sich über dieses Thema weiter zu informieren. So z.B.:
Wie wir Sie in Sachen Datenschutz unterstützen können
Welche Massnahmen unternommen werden müssen hängt stark von den aktuellen Gegebenheiten ab und welche Informationen gesammelt werden. Wir beraten Sie gerne, um Sie in dieser Angelegenheit zu orientieren und unterstützen Sie bei der Umsetzung der gemeinsam definierten Massnahmen.
Unterstützug anfordernBeratung zu Datenschutz
Wir beraten Sie gerne, um Sie in dieser Angelegenheit zu orientieren. Hierbei handelt es sich nicht um eine Rechtsberatung sondern um eine Hilfestellung, wie Sie sich in diesem Thema (v.a. in puncto Website) zurechtfinden und weitere Schritte planen können.
Aufnahme der Ist-Situation auf der Website
Wir untersuchen Ihre Website auf Datenschutzverstösse resp. -risiken und leiten die nötigen Massnahmen nach einer gemeinsamen Besprechung ab.
Umsetzung Massnahmen auf der Websites
Als technischer Umsetzungspartner setzten wir die festgelegten Massnahmen auf Ihrer Website um (z.B. Datenschutzerklärung einfügen, Consent-Manager implementieren, Anpassungen am Besucher-Tracking, Unterbindung von ungewünschten Verbindungen usw.).
Datenschutzkonforme Trackinglösung
Wir stellen eine gesetzeskonforme Trackinglösung zur Verfügung, falls von Google Analytics weg gewechselt werden soll: Matomo (matomo.org).
Diese Lösung kann kosteneffizient über uns bezogen werden (bei uns gehostet) oder ganz bei Ihnen zur Verfügung gestellt werden (on-premise).
Hinweis: Wir können keine Rechtsberatung anbieten oder garantieren, dass die Datenschutzbestimmungen eingehalten werden und empfehlen daher falls nötig, einen qualifizierten Rechtsbeistand zu konsultieren, wenn es um Ihre spezifische Geschäftssituation und die spezifische Datenerfassung Ihres Unternehmens geht.