Datenschutz und Datensicherheit – Das müssen Unternehmen beachten
Immer mehr Unternehmen erheben Personendaten. Seien dies jene der Kunden, um ihnen personalisierte Angebote unterbreiten zu können, oder jene der Mitarbeitenden zur Leistungsbeurteilung. Bei der Bearbeitung von Daten ist aber Vorsicht geboten. Es gilt verschiedene Regeln zur Gewährleistung der Datensicherheit zu beachten.
Die grundlegenden Rechtsnormen zur Bearbeitung von Personendaten finden sich im Bundesgesetz über den Datenschutz (DSG).
Grundlagen zur Datensicherheit
Der Art. 7 DSG schreibt vor, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugte Bearbeitung geschützt werden müssen. Diese Pflicht trifft auch Unternehmen. Wie die Datensicherheit genau auszusehen hat, wird im DSG jedoch offengelassen d.h. die konkrete Ausgestaltung der Schutzmassnahmen unterliegt weitgehend der Selbstregulierung der Unternehmen. Einige Anhaltspunkte finden sich in der Verordnung zum Bundesgesetz über den Datenschutz. Namentlich muss durch die Sicherheitsmassnahmen die unbefugte Änderung, Kopierung, Vernichtung, Bearbeitung oder Fälschung der Daten verhindert werden. Zudem finden sich in der Praxis verschiedene Industriestandards (z.B. ISO-Norm zur Cybersecurity), welche als Vorlage für eine optimale Ausgestaltung der Datensicherheit dienen. Diese sind jedoch nicht rechtsverbindlich.
Weitergabe von Daten im Inland
Eine wichtige Frage im Rahmen des Datenschutzrechts ist inwieweit es Unternehmen gestattet ist die von ihnen erhobenen Daten weiterzugeben. Viele Firmen haben keine eigenen IT-Abteilungen, sondern lassen Personendaten von Drittanbietern bearbeiten oder zumindest speichern (Cloud-Computing). Dies ist nicht unbedenklich, denn je mehr Personen Zugang zu den Daten haben, desto grösser ist auch die Missbrauchsgefahr. Gemäss Art. 10a DSG ist der Beizug von Dritten zur Datenbearbeitung zulässig, sofern die Daten nur so bearbeitet werden, wie es das Unternehmen selbst tun dürfte und keine gesetzliche Geheimhaltungspflicht die Weitergabe verbietet. Das Unternehmen muss sich also vergewissern, dass der Dritte die obigen Anforderungen an die Datensicherheit erfüllt.
Weitergabe von Daten ins Ausland
Etwas strenger sind die Anforderungen für die Weitergabe von Personendaten ins Ausland. Namentlich ist der Transfer von Daten ins Ausland nur gestattet, wenn das Land, in dem der Empfänger ansässig ist, ebenfalls einen angemessenen Datenschutz kennt und/oder der Empfänger der Daten anderweitig zertifiziert ist, vergleichbare Datenschutzstandards zu erfüllen. Daten sollten daher nur mit Einwilligung der betroffenen Personen oder aber wenn der Datenschutz anderweitig sichergestellt ist, etwa durch sogenannte Datentransferverträge, ins Ausland übertragen werden.
Haben Sie eine innovative Geschäftsidee, die Sie gerne umsetzen möchten? Die Experten von STARTUPS.CH stehen Ihnen gerne zur Verfügung und begleiten Sie in berufliche Selbständigkeit.
» Blog» Online gründen