Wer ist betroffen und was sind Personendaten?

Das neue Gesetz und die dazugehörige Verordnung gelten sowohl für Privatpersonen, Unternehmen und Vereine als auch für Bundesorgane, die Personendaten bearbeiten. Doch was versteht man unter letzterem?

Mit Personendaten sind Informationen gemeint, die sich auf eine bestimmte oder eine bestimmbare natürliche Person beziehen. Beispiele dafür sind: Name, E-Mail-Adresse oder Geburtsdatum. Der Begriff «Bearbeitung» wird sehr weit gefasst und beinhaltet das Beschaffen, Speichern, Verwenden, Verändern und Bekanntgeben. Die Aufzählung ist nicht abschliessend. Daten von juristischen Personen umfasst das neue Gesetz zwar nicht mehr, Daten von Mitarbeitenden eines Unternehmens hingegen schon.

Datenschutzerklärung als wichtige Massnahme

Als Verantwortliche einer Webseite müssen Sie bei der Beschaffung von Personendaten – beispielsweise via Kontaktformular, Kommentarfunktion oder Chat – in einer Datenschutzerklärung die Nutzerinnen und Nutzer mindestens darüber orientieren, dass Personendaten bearbeitet werden. Sowohl der Zweck der Bearbeitung, die Identität der verantwortlichen Stelle oder Person sowie allfällige Empfängerinnen und Empfänger, denen die Personendaten bekannt gegeben werden, müssen offengelegt werden. Fliessen die Daten ins Ausland, ist zudem der Staat anzugeben, in welchen die Daten transferiert werden.

Anspruch auf Löschung, Anpassung und Herausgabe

Gemäss dem revidierten Datenschutzgesetz hat jede Person das Recht zu erfahren, welche Daten über sie gespeichert sind. Das gilt nicht nur für Website-Daten, sondern auch für Informationen in Systemen wie CRM und ERP oder analogen Aktennotizen. Personen können anfordern, dass Daten gelöscht oder angepasst werden. Entsprechend müssen Sie in der Datenschutzerklärung eine Kontaktadresse angegeben, damit die Betroffenen wissen, an wen sie sich wenden können. Wichtig dabei: Solche Anfragen sollten innerhalb von 30 Tagen und ohne Kostenfolge für die Betroffenen erfolgen.

Hohe Strafen und persönliche Sanktionen zu erwarten

Bei Verletzung der Informations-, Auskunfts- und Mitwirkungspflichten durch verantwortliche Personen können persönliche Bussen bis zu CHF 250'000 ausgesprochen werden. Die verantwortlichen Personen können sowohl Mitglieder der Geschäftsleitung als auch andere entscheidungsbefugte Personen im Unternehmen oder aber auch diejenigen Personen sein, welche eine Pflichtverletzung – beispielsweise die Verletzung der Geheimhaltung –  begangen haben. Der Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte (EDÖB) kann in diesen Fällen bei der zuständigen Strafverfolgungsbehörde eine Anzeige erstatten.