Swiss Insights News #05
4
Datenschutzerklärung, die bspw. auf der Web- seite aufgeschaltet ist. Das Unternehmen muss diejenige Person, die von der Datenbearbeitung betroffen ist, einerseits über die Beschaffung ih- 􏰀􏰁􏰀 􏰃􏰁􏰀􏰄􏰅􏰆􏰁􏰆􏰇􏰈􏰉􏰁􏰆 􏰊􏰆􏰋􏰅􏰀􏰌􏰊􏰁􏰀􏰁􏰆􏰍 􏰎􏰏􏰇􏰁􏰌 􏰌􏰐􏰄􏰄􏰁􏰆 der betroffenen Person weitere unterschiedliche Informationen mitgeteilt werden, wie u. a. die Kontaktdaten des für die Datenbearbeitung Ver- antwortlichen, der Bearbeitungszweck und ggf. auch, an welche weiteren Empfänger die Daten weitergegeben wurden. Wichtig ist hierbei eine individuelle Ausgestaltung der jeweiligen Daten- schutzerklärung. Beim «blinden» oder pauscha- len Übernehmen einer fremden Datenschutzer- klärung läuft man Gefahr, einerseits unrichtige Aussagen zu übernehmen, andererseits kommt 􏰁􏰄 􏰋􏰈􏰄􏰉 􏰑􏰒􏰈􏰆􏰓􏰄􏰔􏰕􏰏􏰖􏰓 􏰑􏰏􏰌 􏰗􏰁􏰘􏰔􏰁􏰆 􏰀􏰁􏰔􏰁􏰙􏰈􏰆􏰉􏰁􏰀 􏰚􏰆- formationen im Hinblick auf die eigene Situati- on. Darüber hinaus würden bei der pauschalen Übernahme einer ausländischen Datenschutz- erklärung die verschiedenen nationalen Rechts- grundlagen nicht berücksichtigt.
c) Datenschutzfolgenabschätzungen
Unter Datenschutzfolgenabschätzungen sind Risikoabwägungen zwischen einer beabsich- tigten Datenbearbeitung und den Folgen für die betroffenen Personen zu verstehen. Eine solche Abwägung ist dann vorzunehmen, wenn ein geplanter Datenbearbeitungsvorgang ein hohes Risiko für die Rechtsposition der betrof- fenen Person erwarten lässt (bspw. bei der um- fangreichen Bearbeitung von Gesundheitsda- ten). Hierbei sind auch die Massnahmen zum Schutz der betroffenen Person zu benennen.
 Personen zu führen (bspw. Überkategorie Kunden, Unterkategorien aktuelle und ehema- lige Kunden sowie Unterkategorien Kunden- sparten). Es muss also nicht jeder Einzelvor- gang wie bspw. jedes E-Mail im Verzeichnis enthalten sein. Allerdings müssen die Katego- rien alle relevanten Bereiche im Unternehmen erfassen. Das Verzeichnis muss dauerhaft 􏰋􏰅􏰀􏰉􏰓􏰁􏰋􏰐􏰘􏰀􏰉 􏰒􏰁􏰀􏰇􏰁􏰆􏰣 􏰇􏰈􏰘􏰁􏰀 􏰄􏰊􏰆􏰇 􏰩􏰔􏰈􏰀􏰁 􏰎􏰏􏰄􏰉􏰕􏰆- digkeiten und periodische Kontrollen hinsicht- lich der Aktualität der Einträge erforderlich.
 Praxis-Tipp Datenschutzerklärung
Die Datenschutzerklärung sollte individuell für das jeweilige Unternehmen ausgestaltet wer- den. Wesentlich ist dabei, ob das betroffene Unternehmen nur dem Schweizer Recht und/ oder dem EU-Recht unterfällt. Je nachdem 􏰄􏰊􏰆􏰇 􏰁􏰆􏰉􏰄􏰥􏰀􏰁􏰞􏰘􏰁􏰆􏰇􏰁 􏰨􏰅􏰇􏰊􏰖􏰩􏰈􏰉􏰊􏰅􏰆􏰁􏰆 􏰈􏰆 􏰇􏰁􏰀 Datenschutzerklärung vorzunehmen.
 Praxis-Tipp Datenschutzfolgenabschätzung
Es ist ein standardisiertes Vorgehen zur Ri- sikoabwägung zu erstellen. Besonders auf- merksam ist eine Prüfung der Risiken dann vorzunehmen, wenn dem Bearbeitungsvor- gang sog. besonders schützenswerte Per- sonendaten (wie bspw. Gesundheitsdaten, genetische Daten, Daten über die politische Willensbildung usw.) zugrunde liegen.
b) Verzeichnis von Bearbeitungstätigkeiten
Das revDSG verlangt von Unternehmen künftig die Erstellung und Führung eines Verzeichnis- ses von Bearbeitungstätigkeiten. Das Bear- beitungsverzeichnis bildet die Datenbearbei- tungsvorgänge innerhalb eines Unternehmens ab. Dabei sind unterschiedliche Inhalte von Gesetzes wegen in das Verzeichnis aufzuneh- men, wie bspw. eine Umschreibung der Ka- tegorien bearbeiteter Personendaten und be- troffener Personen, die Aufbewahrungsdauer und die Massnahmen zur Gewährleistung der Datensicherheit.
􏰇􏰛 􏰃􏰀􏰅􏰜􏰔􏰊􏰆􏰓
􏰃􏰀􏰅􏰖􏰔􏰊􏰆􏰓 􏰝􏰁􏰇􏰁􏰏􏰉􏰁􏰉 􏰆􏰈􏰞􏰘 􏰇􏰁􏰀 􏰓􏰁􏰄􏰁􏰉􏰑􏰔􏰊􏰞􏰘􏰁􏰆 􏰟􏰁- 􏰓􏰈􏰔􏰇􏰁􏰖􏰆􏰊􏰉􏰊􏰅􏰆 􏰠􏰡􏰁􏰇􏰁 􏰢􏰀􏰉 􏰇􏰁􏰀 􏰈􏰏􏰉􏰅􏰌􏰈􏰉􏰊􏰄􏰊􏰁􏰀􏰉􏰁􏰆 Bearbeitung von Personendaten, die darin be- steht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeits- 􏰔􏰁􏰊􏰄􏰉􏰏􏰆􏰓􏰣 􏰒􏰊􏰀􏰉􏰄􏰞􏰘􏰈􏰋􏰉􏰔􏰊􏰞􏰘􏰁􏰀 􏰟􏰈􏰓􏰁􏰣 􏰤􏰁􏰄􏰏􏰆􏰇􏰘􏰁􏰊􏰉􏰣 􏰥􏰁􏰀􏰄􏰦􏰆􏰔􏰊􏰞􏰘􏰁􏰀 􏰧􏰅􏰀􏰔􏰊􏰁􏰝􏰁􏰆􏰣 􏰚􏰆􏰉􏰁􏰀􏰁􏰄􏰄􏰁􏰆􏰣 􏰎􏰏􏰙􏰁􏰀􏰔􏰕􏰄- sigkeit, Verhalten, Aufenthaltsort oder Orts- wechsel dieser natürlichen Person zu analysie- ren oder vorherzusagen».
 Praxis-Tipp Bearbeitungsverzeichnis
Das Bearbeitungsverzeichnis ist nach Kate- gorien von Personendaten und betroffener