Interview zum neuen Datenschutzgesetz
Am 1. September 2023 tritt das neue Datenschutzgesetz in Kraft. Davon betroffen sind auch alle Unternehmen, vom Selbständigerwerbende über KMU bis zu Grossunternehmen. Das Bündner Gewerbe hat mit Thomas Casanova, dem Datenschutzbeauftragten des Kantons Graubünden, zum neuen Datenschutzgesetz gesprochen.
Datenschutz und Datensicherheit im Allgemeinen
Thomas Casanova, was regelt das Datenschutzgesetz?
Thomas Casanova: «Mit Datenschutz kommen jede Frau und jeder Mann, aber auch Unternehmen immer wieder in Berührung. Datenschutz heisst Persönlichkeitsschutz in Zusammenhang mit Daten. Personendaten sind grundsätzlich geschützt und dürfen nur mit Zustimmung der entsprechenden Person erfasst, bearbeitet und verwendet werden. In der Bundesverfassung steht, dass die informationelle Selbstbestimmung geschützt ist. Im Datenschutzgesetz sind die Details geregelt. Je sensibler die Daten zur Person, desto mehr müssen diese geschützt werden. Bei Missbrauch von Personendaten muss ein Schutzmechanismus greifen. Vom Datenschutz nicht betroffen sind weitere Daten von Unternehmen. Diese können anderweitig beziehungsweise urheberrechtlich geschützt sein.»
Das ist für Laien schwer verständlich. Was bedeutet es im Detail? Haben Sie Beispiele?
«Es gibt Grundsätze, die im Datenschutz beachtet werden müssen. Der Wichtigste ist das Prinzip der Verhältnismässigkeit. Daten, die man zur Erledigung eines Auftrags benötigt, darf man erfassen. Gleichzeitig gilt das Prinzip der Zweckmässigkeit. Die Daten dürfen nur dazu verwendet werden, wofür man sie erhalten hat. Wenn man zum Beispiel einer Autogarage seine Daten bekannt gibt, ist es klar, dass man Name, Vorname, Adresse, Kontrollschild, welches Fahrzeug und Kilometerstand der Garage mitteilt. Die Frage ist, ob der Garagist diese Daten an seinen Verband weitergeben darf, damit dieser ein Mailing machen kann. Dazu würde ich sagen: nein. Er muss den Kunden fragen, ob er das darf. Wesentlich aus meiner Sicht ist ebenso die Transparenz. Jeder Kunde darf bei einer Unternehmung anfragen, welche Daten über ihn bearbeitet werden. Er besitzt von Gesetzes wegen ein Auskunftsrecht über seine Daten.»
Man hört oft die Bezeichnung besonders schützenwerte Personendaten. Trifft das bei Ihrem Beispiel zu?
«Nein, besonders schützenwerte Personendaten sind primär Daten in Zusammenhang mit der Gesundheit, politischen und religiösen Einstellungen oder Behördenverfahren. Man muss mit diesen sensiblen Daten noch vorsichtiger umgehen als mit normalen Daten in einem Unternehmen. Dabei denke ich insbesondere an die Weitergabe, den Zugriff und die Speicherung der Daten.»
Die Bearbeitung der Daten muss gemäss Gesetz nach Treu und Glauben erfolgen. Was heisst das konkret?
«Wenn man als Beispiel in einer KMU das Personaldossier eines Mitarbeiters betrachtet, darf man dort nur die Daten erfassen, die für die Arbeitstätigkeit im Personalwesen notwendig sind. Dazu gehören Zeugnisse, Weiterbildungsdaten, Beurteilungen, Disziplinarmassnahmen oder Lohnbestandteile. Auch die Bewerbungsunterlagen gehören dazu. Wenn man eine Mitarbeiterin oder einen Mitarbeiter angestellt hat und die Probezeit erfolgreich abgeschlossen ist, braucht man die Bewerbungsunterlagen eigentlich nicht mehr und könnte sie löschen. Oft macht man das aber nicht. Das ist auch nicht gesetzwidrig. Mir scheint wichtiger, dass man die Transparenz lebt. Wenn jemand Einsicht in sein Personaldossier möchte, muss man das ermöglichen. Was nicht erlaubt ist, sind sogenannte graue Dossiers, die man nebenbei führt.»
Welche Daten dürfen von einem Mitarbeiter eingefordert werden?
«Alle Daten, denn das Auskunftsrecht ist ein wesentlicher Punkt des Gesetzes. Es gibt aber gesetzliche Ausnahmen, beispielsweise wenn das öffentliche Interesse tangiert wird oder das Interesse von Drittpersonen höher gewichtet wird. In jedem Fall muss die Einschränkung der Einsicht begründet werden.»
Die Weitergabe von Daten an Dritte ist grundsätzlich verboten. Wann darf ich diese Daten trotzdem weitergeben?
«Daten dürfen weitergegeben werden, wenn die Zustimmung durch die Person selbst vorliegt, wenn die Daten öffentlich zugänglich sind oder wenn ein Gesetz die Weitergabe einräumt. Wenn wir beim Beispiel des Garagisten bleiben, heisst dies, dass er Personendaten nur an Dritte weitergeben kann, wenn der Kunde es ihm erlaubt.»
Gibt es auch Daten, welche nicht dem Datenschutz unterliegen?
«Ja, nicht personenbezogene Daten wie Finanzzahlen oder Produktedaten unterliegen nicht dem Datenschutz. Einfach gesagt, alle Daten, die keinen Schluss auf eine Person zulassen, so auch anonymisierte Kundendaten, welche für Statistikzwecke ausgewertet werden. Solche Daten können aber anderweitig geschützt sein wie Betriebsgeheimnis, Urheberrecht etc.»
Wie schützt man sich selbst vor Datenmissbrauch? Ist das Verwenden von Passwörtern und Kreditkarten im Internet bedenkenlos möglich?
«Grundsätzlich ist im Umgang mit Daten im Internet immer Vorsicht geboten. Der wirksamste Schutz ist, möglichst wenig Daten herauszugeben – auch im privaten Bereich. Zudem sollte man immer verifizieren, dass man Daten nicht über gefälschte Webseiten eingibt. Gerade für die Sozialen Netzwerke gilt: Man sollte in den Sozialen Medien nichts bekannt geben, was man in einer Woche nicht mehr lesen will. Lieber man schläft einmal darüber, bevor man Unüberlegtes ins Netz schreibt. Der Umgang mit Passwörtern ist genauso ein wichtiges Thema. Sie sollten regelmässig gewechselt werden.»
Stichwort Passwort wechseln. Was heisst für Sie regelmässig?
«Vierteljährlich würde ich als empfehlenswert bezeichnen. Es geht um die Sicherheit von Daten. Es ist auch wichtig, im PC zu deklarieren, was privat und was geschäftlich ist. Beim Mailverkehr wird meist toleriert, dass dieser Dienst auch für den privaten Gebrach genutzt wird. Dazu gibt es grundsätzlich nichts einzuwenden. Es ist trotzdem ratsam, Mails in privaten Ordnern abzulegen. Ansonsten wird alles, was eine Angestellte oder ein Angestellter schreiben, dem Geschäft zugeordnet. Genauso sollte man darauf achten, dass im Büro keine Dossiers herumliegen und man persönlich relevante Daten einschliesst.»
Was ist zu tun, wenn man den Verdacht hat, dass persönlichen Daten weitergegeben oder sogar missbraucht werden?
«Ich würde eine Strafanzeige stellen. Das ist wichtig für die Strafverfolgungsbehörde, um zu sehen, wie sich die Cyberkriminalität entwickelt. Zweitens würde ich einen IT-Fachmann zuziehen und alle Passwörter sofort wechseln. Der Spezialist kann erkennen, ob man gehackt worden ist. Mit grosser Wahrscheinlichkeit kann man feststellen, wie es dazu gekommen ist und welche Daten abhandengekommen sind.»
Das neue Datenschutzgesetz
Am 1. September tritt das neue Datenschutzgesetz in Kraft. Was ändert sich mit diesen Tag für Unternehmen konkret?
«Wenig. Es ändert sich grundsätzlich wenig. Am Kerngehalt des Datenschutzes ändert sich nicht viel. Die Prinzipien bleiben dieselben. Die Transparenz wird jedoch höher gewichtet. Unternehmen müssen Nutzer künftig im Vorfeld darüber informieren, wie die Daten beschafft und verarbeitet werden. Darum müssen Datenschutzbestimmungen auf der Webseite aufgeführt und erläutert werden, was mit den gesammelten Daten gemacht wird. Man wird künftig vermehrt Einverständniserklärungen einholen, wenn man Daten sammelt und diese weitergeben möchte. Daneben gilt das Gesetz nur für die Bearbeitung von Daten natürlicher Personen. Hinweisen möchte ich noch auf die Grundsätze «privacy by design», Datenschutz durch Technikgestaltung, und «privacy by default», Datenschutz durch Voreinstellung. Ein Unternehmer ist verpflichtet, den Schutz der Privatsphäre der Nutzerinnen und Nutzer in die Struktur der Produkte einzubauen. Insbesondere bei IT-Projekten ist diesem Grundsatz Beachtung zu schenken. Es muss im Weiteren sichergestellt werden, dass beim Inverkehrbringen von Produkten standardmässig alle erforderlichen Massnahmen für den Datenschutz aktiviert sind.»
Gibt es weitere Bestimmungen für Unternehmen, welch neu sind?
«Ja, der Umgang mit dem Datenschutz muss konkretisiert werden und auch bei Datenschutzvergehen gibt es klarere Regeln. So müssen Datenschutzmissbräuche dem Eidgenössischen Datenschutzbeauftragten gemeldet werden. Das kann sein, wenn man gehackt wird oder Daten gestohlen wurden. Weiter werden Unternehmen verpflichtet, Risikofolgeabschätzungen vorzunehmen. Das heisst, zum Beispiel im IT-Bereich muss man als Firma eine Risikoanalyse hinsichtlich der Daten und Datensicherheit vornehmen.»
Welcher Schaden könnte entstehen, wenn Daten gestohlen werden oder man nicht mehr auf die eigenen Daten zugreifen kann?
«Je nach Risikopotential sind entsprechende Massnahmen zu ergreifen. Das ist insbesondere dann wichtig, wenn man Daten mit Dritten teilt. Es wird künftig wichtiger zu wissen sein, wie Lieferanten und Partner im Bereich Datenschutz und Datensicherheit aufgestellt sind. Wenn von beauftragten Dritten Fehler gemacht werden, trägt der Auftraggeber die Verantwortung. Das bedeutet, man muss sich gut informieren, mit wem man zusammenarbeiten will und wie die Daten verwendet und gespeichert werden. Wesentlich erscheint mir, dass die Daten in der Schweiz gespeichert werden und das Schweizer Recht zu Anwendung kommt. Auch Microsoft ist bereits dazu übergegangen, ein Rechenzentrum in der Schweiz zu betreiben und das nationale Recht anzuwenden.»
Was konkret muss ein Schweizer Unternehmen bis am 1. September für Vorkehrungen treffen, um alle Anforderungen zu erfüllen?
«Nehmen wir eine Bäckerei. Sie verkauft Waren im Geschäft und vielleicht einige Produkte wie eine Kirschtorte über ihre Webseite. Dann muss sie schauen, dass dort eine Datenschutzerklärung aufgeschaltet ist. In dieser muss erklärt sein, welche Programme auf der Webseite und im Hintergrund benutzt und welche Daten gespeichert werden sowie an wen man sich wenden muss, wenn man eine Auskunft zu den eigenen gespeicherten Daten möchte. Wichtig ist, dass nur die Daten gesammelt werden, welche das Unternehmen für die Ausführung des Auftrags benötigt. Wird eine Vielzahl von persönlichen Daten ausgetauscht, muss sichergestellt werden, dass diese Daten nur zu geschäftlichen Zwecken genutzt und sicher aufbewahrt werden. Zugriff auf die Daten dürfen nur diejenigen Mitarbeitenden haben, welche damit arbeiten müssen. Mit den heutigen technischen Möglichkeiten kann der Datenschutz im Betrieb sichergestellt werden, ohne dass Einschränkungen im Ablauf entstehen.»
Müssen die Mitarbeiterinnen und Mitarbeiter speziell geschult werde?
«Wichtig ist, dass Mitarbeitende ein Bewusstsein haben, wie mit Personendaten umgegangen werden soll. Je heikler Daten sind, desto vorsichtiger ist die Handhabung. Darauf müssen Mitarbeiterinnen und Mitarbeiter sensibilisiert werden. Ich würde das neue Gesetz zum Anlass nehmen, die Prinzipien des Datenschutzes bei einem Mitarbeitergespräch oder einer internen Schulung anzusprechen, wenn das nicht schon passiert ist. Datenschutz ist vor allem eine Haltungsfrage, eine Frage der Kultur und weniger eine technische Angelegenheit. Ein wichtiger Aspekt ist für mich der Umgang mit den Passwörtern. Wichtig ist, dass sie persönlich sind und sie nicht Kollegen mitgeteilt werden oder man sie sogar gemeinsam verwendet. Jeder Zugang wird heutzutage im System protokolliert. Allein darum muss man schauen, dass Passwörter einer Person zugeordnet werden können. Es wird sonst schwierig, einen Fehler oder eine Verfehlung nachzuverfolgen. Bei einem Datenmissbrauch müssen dann Mitarbeitende dafür haften, welche sich nichts haben zuschulden kommen lassen.»
Bedeutet dies, dass das Unternehmen automatisch haftet, wenn eine Mitarbeiterin oder ein Mitarbeiter das Datenschutzgesetz verletzt?
«Ja, gegen aussen haftet immer das Unternehmen. Im internen Verhältnis sieht es anders aus. Der Unternehmer kann in bestimmten Fällen Rückgriff auf seine Mitarbeitenden nehmen.»
Das neue Gesetz sorgt vielerorts für Verunsicherung und wirft Fragen auf. Können Sie das nachvollziehen?
«Ja, auch ich als Datenschutzbeauftragter des Kantons erhielt zuletzt mehr Anfragen von Unternehmen. Man weiss offenbar nicht, was genau zu tun ist. Gleichzeitig bekamen Unternehmen von ihren Verbänden Vorlagen und Empfehlungen zugestellt, die zum Teil hochkompliziert sind. Wenn man sich bereits bisher ernsthaft mit dem Datenschutz auseinandergesetzt hat, ist es bestimmt nicht falsch, so weiterzufahren, wie man es bisher getan hat. Ich meine, neu sind vor allem die Bestimmungen im Bereich der Transparenz. Man soll mitteilen, welche Daten erhoben werden – egal wie gross und aus welcher Branche der Betrieb ist, wem Daten weitergeleitet werden, welche Programme genutzt werden und wo die Daten gespeichert werden. Seien wir ehrlich, Datenschutz interessiert erst, wenn ein Datenmissbrauchsvorfall eintritt. In solchen Fällen ist es für einen Unternehmer aber wichtig, wenn er aufzeigen kann, wie er mit den Kundendaten umgeht.»
Die Verunsicherung ist darum erklärbar, weil bei der Verletzung des Gesetzes Bussen bis 250’000 Franken angekündigt sind.
«Wie hoch die Bussen bei uns in der Schweiz schlussendlich sein werden, werden wir sehen. Das Gesetz limitiert einzig die maximale Busse auf 250'000 Franken. Die Höhe von Bussen wird der Richter und nicht ich als Datenschutzbeauftragter festlegen. Bussen werden nur bei gravierenden Verstössen gegen das Datenschutzgesetz verhängt. In den meisten Fällen werden wohl vierstellige Bussen ausgesprochen werden. In der EU sind Bussen bis vier Prozent des Umsatzes oder zwanzig Millionen Euro möglich. Bei einem Datenmissbrauchsvorfall dürfte der Reputationsschaden bei Kunden, Lieferanten, Mitarbeitenden und der Öffentlichkeit meist grösser sein als eine Busse.» (rw)