Skip to main content

Datenschutzerklärung gemäss nDSG

Seit 1. September 2023 ist das neue Datenschutzgesetz in Kraft. Die Unternehmen sind angehalten, eine Datenschutzerklärung zu erstellen oder die bestehende anzupassen. Für kleine Firmen stellt sich vielleicht die Frage: muss ich das wirklich auch und was gehört dann bei mir alles hinein? Wir haben uns verschiedenste Dokumente und Websites angeschaut und hier einige Links zu Informationen und Vorlagen zusammengetragen.

KMU-Portal des SECO
Was man wissen muss

Economiesuisse: Übersicht zum nDSG

Ein erster Überblick

Das neue Datenschutzgesetz (nDSG) gilt für alle Personen und Organe, die Personendaten bearbeiten. Es gilt damit gleichermassen für Unternehmen, Bundesstellen, Vereine sowie Privatpersonen, die etwa eine Webseite betreiben oder Mailings verschicken.

Unternehmen müssen Auskunft geben können, wie sie personenbezogene Daten erheben, verarbeiten, allenfalls weitergeben und schützen. Diese Informationen werden in einer Datenschutzerklärung zusammengestellt und publiziert – am besten auf der eigenen Website, so sind sie für alle betroffenen Personen zugänglich.

Eine Datenschutzerklärung muss also auf die eigene Firma, die eigenen internen Prozesse, zugeschnitten sein. Demzufolge können wir als Berufsverband auch keine Vorlagen «Copy-Paste» anbieten. Die hier aufgeführten Informationen stammen aus verschiedenen Quellen und sind alles andere als abschliessend. Auch die Links sind natürlich nur eine Auswahl – sie führen zu Firmen und Partnern in unserem Netzwerk oder einfach auf Sites, die wir für unsere Bedürfnisse dienlich finden.

SWICO: acht Meilensteine zur Roadmap

sgv-usam: Merkblätter und Musterdokumente zur Seite

Hostpoint: Datenschutzerklärung erfassen zum Blogbeitrag

Vorgehen beim Erarbeiten einer Datenschutzerklärung

Wichtig ist die persönliche Auseinandersetzung mit den Bestimmungen des nDSG, um sich für den im Umgang mit personbezogenen Daten zu sensibilisieren. Hier ein möglicher Fragekatalog um herauszufinden, wofür wir in unserer Firma datenschutzrechtlich überhaupt verantwortlich ist:

  • welche Kategorien personenbezogener Daten erheben wir (Kontaktangaben, sensible Informationen, Bilddaten etc.)
  • auf welchem Weg erheben wir Daten (E-Mail, Newsletter, Website, Social Media, Mailings, Events etc.)
  • wie werden Daten beim Betrieb unserer Website gesammelt (E-Mail, Kontaktformular, Shop-Bestellungen, geschützte Bereiche, Kommentarfunktion etc.)
  • wozu bearbeiten wir die Daten (auftragsbezogen, zur Weiterverwendung etc.)
  • was geschieht mit den Daten nach Auftragsabschluss (weitergeben, archivieren, löschen etc.)

Tipp: Überlegen was passiert, wenn unberechtigte Personen/Stellen/Maschinen zu unseren Daten gelangen (Pishing, Hacking, Datendiebstahl & Co).

Vorlagen zum herunterladen des DSAT zum Download

Infos zum nachlesen auf der Seite von
Friendly

Alltägliche Fragen und Szenarien zum durchgehen bei
Thinkdata

Das gehört in eine Datenschutzerklärung

Die Datenschutzerklärung muss den gesetzlichen Anforderungen entsprechen aber auch verständlich formuliert sein. Die folgende Auflistung ist ein Vorschlag zur Strukturierung und kann als Inhaltsverzeichnis dienen:

  • Verantwortliche Stelle und Kontakt
  • Erhebung und Bearbeitung von Personendaten
  • Kategorien von Personendaten
  • Zwecke der Datenbearbeitung, Rechtsgrundlage
  • Tracking-Technologien
  • Webanalyse
  • Datenweitergabe und Datenübermittlung
  • Dauer der Aufbewahrung von Personendaten
  • Datensicherheit
  • Bereitstellung von Personendaten
  • Rechte der Betroffenen
  • Änderung der Datenschutzerklärung

Tipps & Tricks aus der Branche

Der Blogartikel von Hostpoint hat uns gut gefallen und beinhaltet eine kleine Checkliste.
Auch der Beitrag von Cmsbox ist sehr verständlich und in unserem Sinn praxisnah. Beschrieben wird hier, welche personenbezogenen Daten beim Hosting und Betrieb gesammelt werden.
Eine sehr gute Übersicht über den gesamten Prozess haben wir bei Swico gefunden. Anhand einer Roadmap sind acht Schritte für eine erfolgreiche Umsetzung beschrieben.
Im «Datenschutz Self Assesment Tool» werden Vorlagen zum Download zur Verfügung gestellt.

Beitrag zum Thema Umgang mit Fotos
zur Seite vom EDÖB

Vielleicht eine Überlegung wert

Schon bei der Konzeption einer Website können wir uns bezüglich Datenschutz einige Fragen stellen:

  • Ist eine Google Map nötig? Alternative: Einen informative Situationsplan gestalten, passend zum Corporate Design.
  • Wirklich Schriften von Google oder Adobe einsetzen? Alternative: Den Font eines Type-Designers kaufen und einbetten.
  • Müssen es Stock-Bilder sein? Alternative: Eigene Bildwelten kreieren oder mit Fotograf:innen zusammenarbeiten.

Dies sind Möglichkeiten, die Datenschutzerklärung etwas zu verschlanken und gleichzeitig kreative Leistungen zu fördern.

Die ernsthafte Auseinandersetzung über den eigenen Umgang mit personenbezogenen Daten ist keine mühsame Pflichtübung. Schlussendlich schützen wir mit unserem Verhalten nicht Daten, sondern Menschen.