Datenschutzgesetz ab September
Kann ich jetzt noch etwas bewirken?
21. Juli 2023 agvs-upsa.ch – Das Inkrafttreten des neuen Datenschutzgesetzes nähert sich mit riesigen Schritten. Noch ist es nicht zu spät, sich für den 1. September 2023 zu rüsten. Die AGVS-Experten beantworten die wichtigsten Fragen.
srh. Kann ich jetzt noch etwas bewirken?
Ja, jetzt und auch nach dem 1. September müssen Sie kontinuierlich Ihre Organisation und Ihre Prozesse auf die Übereinstimmung mit den Vorgaben zum Datenschutz prüfen. Es ist nie zu spät, Gesetze umzusetzen. So müssen Sie auch Ihre jetzigen und künftigen Mitarbeitenden regelmässig schulen, neue Dienstleister auf deren Einhaltung zum Datenschutzes überprüfen und vertraglich verpflichten sowie kontinuierlich die Datensicherheit prüfen und dokumentieren.
Was muss ich beim Versand von Newslettern beachten?
Nichts! Tatsächlich ändert sich entgegen vielen Meldungen mit dem revidierten Datenschutzgesetz nichts an den Vorgaben zum Newsletterversand, denn bereits seit 2007 ist dies in Art. 3 Abs. 1 Bst. o UWG geregelt. Daran ändert das neue DSG nichts. Es ist wie bisher rechtmässig, Kunden und Interessenten kommerzielle Werbung zu gleichartigen Produkten und Dienstleistungen zu senden, wenn man vom Kunden die Mailadresse erhalten hat und im Mail ein Abmeldemöglichkeit vom Newsletter anbietet.
Dennoch fordern einige Importeure den Nachweis einer schriftlichen Einwilligung des Kunden zum Mailing, obwohl wir der Meinung sind, dass auch die Marke/Importeur eine, wenn nicht gar die Kundenbeziehung hat.
Fazit: Ein Kunde oder Interessent muss weder gefragt werden noch muss er einwilligen. Eine Information über die Art und Weise der Datenbearbeitung zum Newsletterversand erfolgt durch eine Verlinkung im Mail mit der Webseite/Datenschutzerklärung. Achtung: Ein Unterlassen wäre strafbewehrt.
Was muss man bezüglich Datensicherheit tun?
Eine Verletzung der Datensicherheit kann ebenso strafbewährt sein, wenn man keine oder ungenügende Massnahmen ergriffen hat (Art. 8 DSG). Das kann sein, wenn Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden, gemäss der Definition in Art. 5 lit. h revDSG. Für die Datensicherheit müssen daher angemessene, geeignete, sofern finanziell tragbar, technische und organisatorische Massnahmen getroffen werden. Bei diesen Massnahmen liegt das Ziel vor allem darin, dass Unbefugten der Zugriff zu den Daten verhindert verwehrt wird und diese die Daten nicht einsehen können oder auf diese einwirken können.
Gilt Datenschutz auch gegenüber meinen Mitarbeitenden? Müssen diese auch geschult werden?
Gegenüber den Angestellten kommen einerseits die Grundsätze des Mitarbeiterdatenschutzes gemäss OR und nur ergänzend diejenigen des DSG zur Anwendung. Wer die Organisation und sich als Geschäftsführer schützen will muss die Mitarbeitenden unbedingt schulen. Normale Mitarbeitende können für eine Datenschutzverletzung vermutlich nur selten haftbar gemacht werden, wenn nicht in umfassenden Schulungen Richtlinien mitgeteilt wurden.
Darf ich noch Einladungen, Grusskarten und Weihnachtskarten an meine Kunden versenden?
Die gute alte Briefpost unterliegt gar keinen Werbebeschränkungen, wenn der Brief persönlich adressiert ist.
Was ist die Rolle des Datenschutzverantwortlichen?
Der Verantwortliche ist derjenige, der über die Datenbearbeitung «bestimmt», also in den meisten Fällen die Garage. Die verantwortliche Person trifft dann die Pflicht, die Vorgaben des Gesetzes im eigenen Betrieb umzusetzen. Beim Leasing ist auch die Leasinggesellschaft ein eigener Verantwortlicher, da sie nach gesetzlichen Vorgaben die Finanzierung regelt.
srh. Kann ich jetzt noch etwas bewirken?
Ja, jetzt und auch nach dem 1. September müssen Sie kontinuierlich Ihre Organisation und Ihre Prozesse auf die Übereinstimmung mit den Vorgaben zum Datenschutz prüfen. Es ist nie zu spät, Gesetze umzusetzen. So müssen Sie auch Ihre jetzigen und künftigen Mitarbeitenden regelmässig schulen, neue Dienstleister auf deren Einhaltung zum Datenschutzes überprüfen und vertraglich verpflichten sowie kontinuierlich die Datensicherheit prüfen und dokumentieren.
Was muss ich beim Versand von Newslettern beachten?
Nichts! Tatsächlich ändert sich entgegen vielen Meldungen mit dem revidierten Datenschutzgesetz nichts an den Vorgaben zum Newsletterversand, denn bereits seit 2007 ist dies in Art. 3 Abs. 1 Bst. o UWG geregelt. Daran ändert das neue DSG nichts. Es ist wie bisher rechtmässig, Kunden und Interessenten kommerzielle Werbung zu gleichartigen Produkten und Dienstleistungen zu senden, wenn man vom Kunden die Mailadresse erhalten hat und im Mail ein Abmeldemöglichkeit vom Newsletter anbietet.
Dennoch fordern einige Importeure den Nachweis einer schriftlichen Einwilligung des Kunden zum Mailing, obwohl wir der Meinung sind, dass auch die Marke/Importeur eine, wenn nicht gar die Kundenbeziehung hat.
Fazit: Ein Kunde oder Interessent muss weder gefragt werden noch muss er einwilligen. Eine Information über die Art und Weise der Datenbearbeitung zum Newsletterversand erfolgt durch eine Verlinkung im Mail mit der Webseite/Datenschutzerklärung. Achtung: Ein Unterlassen wäre strafbewehrt.
Was muss man bezüglich Datensicherheit tun?
Eine Verletzung der Datensicherheit kann ebenso strafbewährt sein, wenn man keine oder ungenügende Massnahmen ergriffen hat (Art. 8 DSG). Das kann sein, wenn Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden, gemäss der Definition in Art. 5 lit. h revDSG. Für die Datensicherheit müssen daher angemessene, geeignete, sofern finanziell tragbar, technische und organisatorische Massnahmen getroffen werden. Bei diesen Massnahmen liegt das Ziel vor allem darin, dass Unbefugten der Zugriff zu den Daten verhindert verwehrt wird und diese die Daten nicht einsehen können oder auf diese einwirken können.
Gilt Datenschutz auch gegenüber meinen Mitarbeitenden? Müssen diese auch geschult werden?
Gegenüber den Angestellten kommen einerseits die Grundsätze des Mitarbeiterdatenschutzes gemäss OR und nur ergänzend diejenigen des DSG zur Anwendung. Wer die Organisation und sich als Geschäftsführer schützen will muss die Mitarbeitenden unbedingt schulen. Normale Mitarbeitende können für eine Datenschutzverletzung vermutlich nur selten haftbar gemacht werden, wenn nicht in umfassenden Schulungen Richtlinien mitgeteilt wurden.
Darf ich noch Einladungen, Grusskarten und Weihnachtskarten an meine Kunden versenden?
Die gute alte Briefpost unterliegt gar keinen Werbebeschränkungen, wenn der Brief persönlich adressiert ist.
Was ist die Rolle des Datenschutzverantwortlichen?
Der Verantwortliche ist derjenige, der über die Datenbearbeitung «bestimmt», also in den meisten Fällen die Garage. Die verantwortliche Person trifft dann die Pflicht, die Vorgaben des Gesetzes im eigenen Betrieb umzusetzen. Beim Leasing ist auch die Leasinggesellschaft ein eigener Verantwortlicher, da sie nach gesetzlichen Vorgaben die Finanzierung regelt.
Volker Dohr, CEO des Datenschutzspezialisten Impunix, hat in Ergänzung ein Dokument mit den zehn wichtigsten Punkten zusammengestellt. Dabei handelt es sich um eine verkürzte Information zum neuen Datenschutzgesetz, umfasst nur das Minimum und geht auf Niederlassungen, weitere Geschäftsbereiche etc. nicht ein und ist keine Rechtsberatung. Das A4-Dokument kann hier abgerufen werden.
Zum Thema Datenschutzgesetz führt der AGVS auch ein Webinar durch. Referenten sind Cornelia Stengel, Geschäftsführerin des Schweizerischen Leasingverbandes und Dozentin an verschiedenen Hochschulen, Luca Stäuble, Rechtsanwalt und Dozent an der Hochschule für Wirtschaft Zürich, sowie Gaspare Loderer, Rechtsanwalt im Bereich Datenschutz. Das Webinar dauert einen halben Tag. Alle weiteren Informationen finden Sie in der AGVS Business Academy
Kommentar hinzufügen
Kommentare