sffv-Seminar: Datenschutz im Fuhrpark
Posted by: Unknown author
Datenschutz ist ein komplexes, aber unvermeidliches Thema, mit dem sich auch Flottenmanager beschäftigen müssen – entsprechend widmete der sffv die zweite Seminarreihe diesem heissen Eisen. Zur Seite standen dem Schweizer Mobilitätsverband sffv wiederum die Experten der Kanzlei BÜHLMANN KOENIG & PARTNER, diesmal in Person von Regina Arquint, Rechtsanwältin und Datenschutzexpertin.
Text: Rafael Künzle
Im Swiss-Belhotel du Parc in Baden begrüsste Anja Seibert in familiärer Atmosphäre die Teilnehmenden zum zweiten sffv-Seminar. Nach «Vertragsrecht» stand dieses Mal das Thema «Datenschutz im Fuhrpark» auf dem Tapet. Unterstützung erhielt der sffv wiederum von den Rechtsexperten von Bühlmann König und Partner. Heuer führte Regina Arquint, Rechtsanwältin CIPP/E die Teilnehmenden durch die komplexe Materie.
Die Bündnerin startete mit den Grundlagen des Datenschutzes und einer Übersicht über die wichtigsten Gesetze. Bei Bundesbehörden und Privaten greift beispielsweise das Bundesgesetz über den Datenschutz (DSG), welches voraussichtlich ab der zweiten Hälfte 2022 / Anfang 2023 durch das neue Schweizer Datenschutzgesetz (nDSG) abgelöst wird. Dieses wird sich stark an die europäische Datenschutzgrundverordnung (DSGVO) lehnen, welche bei gegebenen Voraussetzungen bereits heute auch in der Schweiz zur Anwendung kommt. Bei kantonalen Behörden kommen hingegen die kantonalen Datenschutzgesetze zum Zug.
Worum geht es im Datenschutz?
Im Zentrum des Datenschutzgesetzes steht der Schutz von personenbezogenen Daten. Dies können Namen, Adressen oder Telefonnummern von Mitarbeitenden und Kunden sein, Informationen zu Fähigkeiten, Charakter, Aussehen etc. einer Person oder digitale Daten wie die Inhalte von E-Mails oder das Surfverhalten von Internetnutzern.
Zu beachten gilt dabei, dass auch pseudonymisierte Daten als personenbezogene Daten gewertet werden, während anonymisierte Daten nicht unter das Datenschutzgesetz fallen. Gut zu wissen: Das Profiling (automatisierte Datenverarbeitung, die dazu verwendet wird, um bestimmte persönliche Aspekte zu bewerten) z.B. das «Tracken» von persönlichen Vorlieben für Marketingzwecke) erfordert in den meisten Fällen eine explizite Zustimmung der Betroffenen – hierbei ist Vorsicht geboten.
Welches sind die Datenbearbeitungsgrundsätze?
Als Grundsätze bei der Datenbearbeitung legte Arquint folgende Punkte den Teilnehmenden ans Herz:
-Rechtsmässigkeit, Fairness und Transparenz
-Zweckbindung
-Verhältnismässigkeit
-Richtigkeit
-Speicherbegrenzung
-Integrität und Vertraulichkeit
-Datensicherheit
Die Datenschutzexpertin rät Unternehmen, so viele Daten wie nötig, aber so wenig wie möglich zu generieren. Dabei ist darauf zu achten, dass Personendaten nur jenen zugänglich gemacht werden, welche diese wirklich benötigen (need-to-know principle). Wichtig ist auch die regelmässige Löschung der Daten, wobei es natürlich Ausnahmen gibt. Beispielsweise bei gesetzlicher Aufbewahrungspflicht oder überwiegenden Geschäftsinteressen.
Wie schützt man Daten richtig?
Zum Schutz der Daten empfiehlt Arquint, technische und organisatorische Massnahmen, sogenannte «TOMs», zu implementieren. Technische Massnahmen können ein Passwortschutz, Zugangsberechtigungen zu Serverräumen, Datenverschlüsselung, Protokollierung oder der Schutz vor Malware sein. Unter organisatorischen Massnahmen versteht man beispielsweise die Einführung interner Datenschutzrichtlinien, Weisungen oder Mitarbeitenden-Schulungen.
Welche Daten darf der Arbeitgeber erheben?
Der Arbeitgeber darf grundsätzlich nur die personenbezogenen Daten erheben, die nötig sind zur Beurteilung, ob jemand für eine bestimmte Stelle geeignet ist und die Daten, die nötig sind zur Durchführung des Arbeitsvertrages. Legitime Datenerhebungs- und bearbeitungsgründe des Arbeitgebers sind:
-Schutz vor Geschäftsgeheimnissen
-Vermeidung von Verstössen gegen Gesetzesvorschriften und interne Weisungen
-Daten und Anwendungssicherheit (Verfügbarkeit, Integrität, Vertraulichkeit)
-Vermeidung von Produktionsverlust (z.B. durch privates Surfen)
-Vermeidung von übermässiger Nutzung von IT-Kapazitäten durch private Aktivitäten
Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen sollen, dürfen prinzipiell nicht eingesetzt werden. Generell ist bei der Datenerhebung stets auf die Verhältnismässigkeit zu achten. Dabei müssen sich die Fragen gestellt werden, ob die gewählte Überwachungsmassnahme für das Arbeitsverhältnis wirklich erforderlich ist, die gewählte Überwachungsmassnahme zur Zielerreichung geeignet ist oder ob auch ein milderes Mittel eingesetzt werden kann?
Besteht eine Informations- und Meldepflicht?
Die Erhebung von Daten darf nicht klammheimlich erfolgen, es besteht eine gewisse Informationspflicht. Im Minimum sind den Betroffenen folgende Informationen mitzuteilen:
-Identität und Kontaktdaten des Verantwortlichen
-Der Bearbeitungszweck
-Bei einer Weitergabe der Daten, gegebenenfalls die Empfänger der Daten
-Die Kategorien der Daten, wenn diese nicht direkt bei der Person beschafft werden
-Bei einem Auslandtransfer der Staat, in dem die Daten transferiert werden.
Was für Folgen die Nichteinhaltung der Informationspflicht und der Datenschutzgesetze haben kann, veranschaulichte Arquint anhand internationaler Fälle aus der Praxis bei einer Verletzung der DSGVO. So wurde WhatsApp beispielsweise für die unrechtmässige Weitergabe von Kundendaten zu einer Busse von 225 Mio. Euro verdonnert. Facebook kassierte für Verstösse gegen die Datenschutzvorschriften und Informationspflicht gar eine Busse von 5 Mia. US-Dollar. Auch Privatpersonen (wie z.B. Arbeitnehmer) können in der Schweiz nach nDSG in die Mangel genommen werden. Bei vorsätzlichen Verstössen gegen das nDSG können ihnen Bussen von bis zu 250'000 Franken drohen.
Bei Verdacht auf eine Datenschutzverletzung besteht eine Meldepflicht an die zuständige Aufsichtsbehörde sowie an die betroffene Person. Gemäss nDSG hat diese «so schnell wie möglich» zu erfolgen, die DSGVO schreibt eine maximale Meldefrist von lediglich 72 Stunden vor.
Abschliessende Tipps
Am Ende des ersten Datenschutz-Seminars (Teil 2 folgt am 4. November), welches aufgrund der vielen Fragen, Anregungen und Diskussionen der Teilnehmenden gerne länger hätte dauern dürfen, gab Regina Arquint noch einige Tipps mit auf den Nachhauseweg. Zu den «Take Aways» zählten:
-Prüfung, ob die DSGVO anwendbar ist
-Datenbearbeitung nur gestützt auf die Datenbearbeitungsgrundsätze
-Bei der Datenerhebung sind die Informationspflichten einzuhalten
-Bei sensiblen Daten sind zusätzliche Anforderungen zu prüfen
-Bei Bearbeitungen mit hohem Risiko ist eine Datenschutz-Folgenabschätzung vorzunehmen
-Bei Datenauslagerungen ist ein Auftragsverarbeitungsvertrag abzuschliessen
-Bei Datentransfers ausserhalb des EWR sind zusätzliche Garantien zu prüfen und Risikoabschätzungen betreffend den angemessenen Datenschutz vorzunehmen
-Bei Datenschutzverletzungen sind Meldepflichten einzuhalten
-Über die Datenbearbeitungen muss grundsätzlich ein Verzeichnis erstellt werden und Rechenschaft abgelegt werden
-Regelmässiges Monitoring und Audits durchführen