Datenschutzerklärung: schon vorbereitet?

Mit dem Inkrafttreten des neuen Datenschutzgesetzes müssen Unternehmen und andere Organisationen, die Personendaten sammeln, über ihre Datenschutzpraktiken informieren. Die grosse Mehrheit ist von dieser Neuregelung betroffen, auch die kleineren. Sobald auf der Website nur schon ein Kontaktformular vorhanden ist, sammelt das Unternehmen damit Personendaten – ist also verpflichtet, eine Datenschutzerklärung zu erstellen. Bei vielen Websites sind zudem sogenannte Tracking Tools (z.B. Google Analytics) installiert, welche die IP-Adressen der Besucher sammeln oder im Hintergrund das Nutzerverhalten aufzeichnen und analysieren. Diese Tools und die Art, wie Ihr Unternehmen die damit erfassten Daten bearbeitet und nutzt, müssen in der Datenschutzerklärung erwähnt werden.

Eine Datenschutzerklärung oder mehrere?
Unternehmen müssen also sicherstellen, dass sie immer informieren, wenn sie Personendaten sammeln. Dies erfolgt üblicherweise in einer Datenschutzerklärung. Diese veröffentlicht man idealerweise auf der Firmenwebsite. In der Regel genügt eine einzige Version, die alle Aspekte zusammenfasst. Das ist praktisch. Man kann überall auf sie verweisen, wo Daten gesammelt werden, also beispielsweise auf Anmeldeformularen, in der Auftragsbestätigung, im Newsletter, bei Umfragen usw. Zu beherzigen ist allerdings, dass die Angaben zum Schutz der Personendaten der eigenen Mitarbeitenden nicht in die öffentliche Datenschutzerklärung gehören. Dafür braucht es eine separate interne Datenschutzerklärung.

Mehr Transparenz
Die Datenschutzerklärung als solches ist nichts Neues. Wer auf Websites unterwegs ist, begegnet ihr schon seit geraumer Zeit. Aber mit dem neuen Datenschutzgesetz verschärfen sich die Vorgaben bezüglich Transparenz. Zwei grundlegende Neuerungen sind zu berücksichtigen. Erstens: Bisher musste man als Unternehmen nicht über Datenbearbeitungen informieren, die als selbstverständlich angesehen wurden, also zum Beispiel das Erfassen, Abspeichern und Archivieren von persönlichen Daten. Nur spezielle Bearbeitungen mussten transparent gemacht werden, etwa die Weitergabe von Daten an Dritte, oder wenn Daten analysiert und ausgewertet wurden, um Persönlichkeitsprofile zu erstellen. Neu muss das Unternehmen über sämtliche Bearbeitungsschritte, angefangen bei der Datenerfassung, Rechenschaft ablegen. Die zweite grundlegende Neuerung: Bisher war eine Datenschutzerklärung nur nötig, wenn Personendaten im Spiel waren, die das Gesetz als «besonders schützenswert» bezeichnet. Dies sind neu zum Beispiel Angaben zur Religion, zur politischen Einstellung, biometrische oder gesundheitsbezogene Daten. Mit dem neuen Gesetz muss ab 1. September über jegliche Art von Personendaten informiert werden, auch über vermeintlich banale Angaben wie Vorname, Name, Wohnadresse, Telefonnummer und Mailadresse.

Was muss drinstehen?
In der Datenschutzerklärung muss beschrieben werden, welche Kategorien von Personendaten das Unternehmen sammelt und zu welchem Zweck sie genutzt werden. Es muss klargestellt werden, auf welcher rechtlichen Grundlage die Daten erhoben werden und welche Rechte betroffene Personen haben, wie z.B. das Recht auf Auskunft, Berichtigung oder Löschung ihrer Daten. Auch muss angegeben werden, ob und in welchem Umfang die Daten ins Ausland übermittelt oder dort gespeichert werden.

Der Countdown läuft
Wenn Sie in der Treuhand- und Unternehmensberatung tätig sind, empfiehlt sich, Kunden und Partner auf die Bedeutung einer Datenschutzerklärung hinzuweisen. Auch Vereine und Organisationen im privaten Umfeld sollten sich darüber im Klaren sein, dass sie von den neuen Regelungen betroffen sind. Nutzen Sie die Zeit bis zum 1. September 2023, um sich dem Thema Datenschutzerklärung zu widmen.

Unterstützung und Vorlagen
Es gibt viele Vorlagen für Datenschutzerklärungen, die im Internet kostenlos oder gegen eine Gebühr verfügbar sind. Auch Berufsverbände, darunter TREUHAND|SUISSE, bieten entsprechende Hilfe an. Die Mitgliedfirmen von TREUHAND|SUISSE haben Zugriff auf Vorlagen. Zu berücksichtigen ist, dass jede Vorlage nur als Leitfaden dient. Sie muss auf die Bedürfnisse und Umstände des Unternehmens individuell angepasst werden. In wenig komplexen Datenschutzfällen, d.h. wenn das Unternehmen nur wenige sensible Daten sammelt, kann eine sehr kurze Datenschutzerklärung ausreichen.
 

Möchten Sie keinen Blogartikel verpassen? Abonnieren Sie hier unseren Blog.