Seit 1. September 2023 ist das neue Datenschutzgesetz in Kraft. Die Unternehmen sind angehalten, eine Datenschutzerklärung zu erstellen oder die bestehende anzupassen. Für kleine Firmen stellt sich vielleicht die Frage: muss ich das wirklich auch und was gehört dann bei mir alles hinein? Wir haben uns verschiedenste Dokumente und Websites angeschaut und hier einige Links zu Informationen und Vorlagen zusammengetragen.
KMU-Portal des SECO
Was man wissen muss
Infothek Datenschutz des EDBÖ
Economiesuisse: Übersicht zum nDSG
Ein erster Überblick
Das neue Datenschutzgesetz (nDSG) gilt für alle Personen und Organe, die Personendaten bearbeiten. Es gilt damit gleichermassen für Unternehmen, Bundesstellen, Vereine sowie Privatpersonen, die etwa eine Webseite betreiben oder Mailings verschicken.
Unternehmen müssen Auskunft geben können, wie sie personenbezogene Daten erheben, verarbeiten, allenfalls weitergeben und schützen. Diese Informationen werden in einer Datenschutzerklärung zusammengestellt und publiziert – am besten auf der eigenen Website, so sind sie für alle betroffenen Personen zugänglich.
Eine Datenschutzerklärung muss also auf die eigene Firma, die eigenen internen Prozesse, zugeschnitten sein. Demzufolge können wir als Berufsverband auch keine Vorlagen «Copy-Paste» anbieten. Die hier aufgeführten Informationen stammen aus verschiedenen Quellen und sind alles andere als abschliessend. Auch die Links sind natürlich nur eine Auswahl – sie führen zu Firmen und Partnern in unserem Netzwerk oder einfach auf Sites, die wir für unsere Bedürfnisse dienlich finden.
SWICO: acht Meilensteine zur Roadmap
sgv-usam: Merkblätter und Musterdokumente zur Seite
Hostpoint: Datenschutzerklärung erfassen zum Blogbeitrag
Vorgehen beim Erarbeiten einer Datenschutzerklärung
Wichtig ist die persönliche Auseinandersetzung mit den Bestimmungen des nDSG, um sich für den im Umgang mit personbezogenen Daten zu sensibilisieren. Hier ein möglicher Fragekatalog um herauszufinden, wofür wir in unserer Firma datenschutzrechtlich überhaupt verantwortlich ist:
- welche Kategorien personenbezogener Daten erheben wir (Kontaktangaben, sensible Informationen, Bilddaten etc.)
- auf welchem Weg erheben wir Daten (E-Mail, Newsletter, Website, Social Media, Mailings, Events etc.)
- wie werden Daten beim Betrieb unserer Website gesammelt (E-Mail, Kontaktformular, Shop-Bestellungen, geschützte Bereiche, Kommentarfunktion etc.)
- wozu bearbeiten wir die Daten (auftragsbezogen, zur Weiterverwendung etc.)
- was geschieht mit den Daten nach Auftragsabschluss (weitergeben, archivieren, löschen etc.)
Tipp: Überlegen was passiert, wenn unberechtigte Personen/Stellen/Maschinen zu unseren Daten gelangen (Pishing, Hacking, Datendiebstahl & Co).
Vorlagen zum herunterladen des DSAT zum Download
Infos zum nachlesen auf der Seite von
Friendly
Alltägliche Fragen und Szenarien zum durchgehen bei
Thinkdata
Das gehört in eine Datenschutzerklärung
Die Datenschutzerklärung muss den gesetzlichen Anforderungen entsprechen aber auch verständlich formuliert sein. Die folgende Auflistung ist ein Vorschlag zur Strukturierung und kann als Inhaltsverzeichnis dienen:
- Verantwortliche Stelle und Kontakt
- Erhebung und Bearbeitung von Personendaten
- Kategorien von Personendaten
- Zwecke der Datenbearbeitung, Rechtsgrundlage
- Tracking-Technologien
- Webanalyse
- Datenweitergabe und Datenübermittlung
- Dauer der Aufbewahrung von Personendaten
- Datensicherheit
- Bereitstellung von Personendaten
- Rechte der Betroffenen
- Änderung der Datenschutzerklärung
Tipps & Tricks aus der Branche
Der Blogartikel von Hostpoint hat uns gut gefallen und beinhaltet eine kleine Checkliste.
Auch der Beitrag von Cmsbox ist sehr verständlich und in unserem Sinn praxisnah. Beschrieben wird hier, welche personenbezogenen Daten beim Hosting und Betrieb gesammelt werden.
Eine sehr gute Übersicht über den gesamten Prozess haben wir bei Swico gefunden. Anhand einer Roadmap sind acht Schritte für eine erfolgreiche Umsetzung beschrieben.
Im «Datenschutz Self Assesment Tool» werden Vorlagen zum Download zur Verfügung gestellt.
Beitrag zum Thema Umgang mit Fotos
zur Seite vom EDÖB
Vielleicht eine Überlegung wert
Schon bei der Konzeption einer Website können wir uns bezüglich Datenschutz einige Fragen stellen:
- Ist eine Google Map nötig? Alternative: Einen informative Situationsplan gestalten, passend zum Corporate Design.
- Wirklich Schriften von Google oder Adobe einsetzen? Alternative: Den Font eines Type-Designers kaufen und einbetten.
- Müssen es Stock-Bilder sein? Alternative: Eigene Bildwelten kreieren oder mit Fotograf:innen zusammenarbeiten.
Dies sind Möglichkeiten, die Datenschutzerklärung etwas zu verschlanken und gleichzeitig kreative Leistungen zu fördern.