Was Sie über das neue Datenschutzgesetz wissen sollten.

Am 1. September 2023 treten das neue Datenschutzgesetz und die dazugehörige neue Verordnung in Kraft. Dieses Gesetz betrifft alle Unternehmen, die personenbezogene Daten verarbeiten.

Von “Personendaten” spricht man, wenn man sich auf eine natürliche Person bezieht, die identifizierbar ist oder identifiziert werden kann. Damit ist also eine sehr breite Palette von Daten abgedeckt. Der Begriff “Datenverarbeitung” ist weit gefasst und umfasst z. B. das Sammeln, Speichern, Aufbewahren, Ändern, Verwenden oder Löschen von Daten.

Die Datenschutzgesetze erlegen den für die Datenverarbeitung Verantwortlichen bestimmte Pflichten auf. Hier ein Überblick über die wichtigsten Pflichten:

1. Personenbezogene Daten müssen auf rechtmässige Weise und für den Zweck, für den sie erhoben wurden, verarbeitet werden.
2. Personenbezogene Daten müssen gelöscht oder anonymisiert werden, wenn sie nicht mehr benötigt werden.
3. Unternehmen mit 250 oder mehr Beschäftigten müssen ein Verzeichnis der durchgeführten Verarbeitungen führen.
4. Die betroffenen Personen müssen über den Umfang und den Zweck der Datenverarbeitung informiert werden.
5. Mit den Unterauftragsbearbeiter muss ein Auftragsdatenbearbeitungsvereinbarung über die Untervergabe der Datenverarbeitung geschlossen werden (auch DPA oder Data Processing Agreement genannt).
6. Es müssen Technische und Organisatorische Massnahmen zur Gewährleistung der Datensicherheit getroffen werden.
7. Daten dürfen nur dann ins Ausland weitergegeben werden, wenn das Land ein angemessenes Schutzniveau gewährleistet.
8. Die betroffenen Personen haben das Recht, Informationen über ihre eigenen Daten zu erhalten und deren Berichtigung oder Löschung zu verlangen.
9. Die Einwilligung muss in freier und informierter Weise eingeholt werden.
10. Der Datenschutz muss bereits in die Konzeption der Verarbeitung einbezogen werden (Privacy by Design).
11. Geheime persönliche Daten müssen vertraulich behandelt werden.
12. Für Verarbeitungen, die ein hohes Risiko darstellen, muss eine Datenschutz-Folgenabschätzung durchgeführt werden.
13. Innerhalb des Unternehmens kann ein Datenschutzberater ernannt werden.
14. Bei ausländischen für die Verarbeitung Verantwortlichen muss in bestimmten Fällen ein Vertreter in der Schweiz ernannt werden.

Ausführliche Artikel zur Löschung der bei CASASOFT gespeicherten Daten (Punkt 2), zum DPA CASASOFT (Punkt 5), zu den Technische und Organisatorische Massnahmen, die wir zur Gewährleistung der Datensicherheit ergreifen (Punkt 6) und zum Auskunftsrecht über die Daten (Punkt 8) finden Sie in unserem HelpCenter help.casasoft.ch.