Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!
Ich hatte gehofft, etwas konkreters zum Thema Datenschutzerklärung zu lesen. Für mich als Web-Entwickler der gelegentlich von seiner Kundschaft gefragt wird, was sie denn jetzt tun muss von wegen Datenschutzerklärung, bleibt der seltsame Beigeschmack, den schon die DSGVO hinterliess. Ich halte es für absolut sinnvoll und sogar praktikabel, dA. D.klariert sind, wo die Firma mit der ich kommuniziere oder deren Kunde ich bin, überall meine Daten streut, bzw. welche Wege meine Daten genommen haben, bis sie bei der Firma gelandet sind. Das sind informationen, welche in eine Datenschutzerklärung kommen. Was aber haben Sätze wie der folgende für einen Sinn? «Wir bearbeiten Ihre Daten nach Treu und Glauben und nach den in dieser Datenschutzerklärung festgelegten Zwecken. Wir achten dabei auf eine transparente und verhältnismässige Bearbeitung.» Wieso lese ich solche Phrasen in von Generatoren zusammengestellten Texten? Wieso muss ich erklären, dass ich mit Anstand und Vernunft handle? Wieso steht nicht im Gesetz, dass ich mit Anstand und Vernunft handeln muss. Oder doch? Wir sehen überall im Web jetzt die fast immer gleich bleibenden ellenlangen Datenschutzerklärungen. Wieso stehen nirgends die Pflichten und Rechte fix geschrieben und wer was anderes macht, kriegt entweder aufs Dach oder muss Erlaubnis einholen. Ich würde das gerne verstehen.
Guten Tag Herr Wössner!
Ich hatte mir kurz überlegt, einen solchen Service-Artikel zu schreiben. Aber diese Arbeit (wie eben auch die Frage: Was gehört in eine Datenschutzerklärung wirklich rein?) überlasse ich besser den Fachjurist:innen. Denn Sie wissen ja: ein Gesetz, 100 juristische Meinungen. Wenn ich dies punktgenau aufgelistet hätte, hätte ich das gesamte Abbild aller (widersprechenden) Meinungen wiedergeben müssen und wüsste nicht ob dies nicht mehr Verwirrung schaffen würde? Ein Beispiel: Die Post hA. D.e AGBs ihres Mailservices IncaMail angepasst. Darin schreibt sie von einer Zusammenarbeit mit "Dritten". Ich habe dabei herausgefunden dass es hier um das Hosting in der Google Cloud geht Ist das jetzt gemäss dem neuen DSG legitim, einfach pauschal und anonym von "Dritten" zu sprechen? Aus Sicht der Post und ihrer Hausjurist:innen offenbar ja. Aber meiner Meinung nach widerspricht dA. D.m Transparenzgebot der neuen DSG. Hätte ich in einem Service-Artikel aber so argumentiert, würden mir hier im Dialog bestimmt viele widersprechen;-) (im Sinne von "nicht zwingend, nicht nötig")
Ich habe mich deswegen nur auf die Meta-Ebene beschränkt, bei der ein weitgehender Konsens besteht. Was ist "neu" A. D.G? Was bringt es den Bürgerinnen? Und: welchen Schutz bietet es gegenüber den omnipräsenten Cyberattacken und Data Breaches?
Vielen Dank für prompte Antwort, obwohl mein Post thematisch nicht ganz treffgenau war. Ich verstehe ihren Standpunkt. Wenn selbst Anwältà soweit sind, dass niemand etwas behaupten will! Alles Interpretation und vor lauter Sich-nicht-trauen-wollen entsteht dann so ein gegen alle Seiten abgesicherter Einheitsbrei, der aber am eigentlichen Ziel vorbei wabert.
Einmal mehr ist es anscheinend ein Datenschutzgesetz das vorallem Papier (resp. Speicherplatz) füllt aber keine Zähne hat.
Als Endkunde fängt Datenschutz bereits da an, dass bei Windows 11 Home kein PC mehr aufegesetzt werden kann, ohne ein Windows-Account zu erstellen und man somit für alles mögliche (Steuererklärung, Rechnungen zahlen, Adressänderungen angeben etc.) bereits einen Account machen muss und Daten irgend einem Konzern (dem überigens erst Kürzlich der Hauptschlüssel zu allen Online-Diensten entwendet wurde) anvertrauen soll...
An solchen Punkten müsste man als Gesetzgeber bereits "Stopp" sagen!
Dem kann ich nur beipflichten, diese Entwicklung ist schräg. Gleiches gilt ja auch für den Google Play Store wenn sie Android verwenden oder Apple wenn sie ein iPhone haben.
Ps. bei Windows 11 ist es nachwievor möglich einen lokalen Account zu erstellen. Es ist einfach etwas umständlicher als vorher. Wie das geht können sie googeln.
Hauptzweck der Revision ist, dass die EU den Datenschutz der Schweiz weiterhin als für EU-Daten ausreichend beurteilt. („Angemessenheitsbeschluss“).
ja, ich habe auch den Verdacht, dass nichts passiert wäre, wenn im Hintergrund nicht die Drohung der EU gewesen wäre, die Schweiz als unzureichendes Drittland zu klassifizieren.
...der Angemessenheitsbeschluss, der ja immer noch aussteht ;-)
Die sog. Totalrevision ändert nach meinem Wissen für Endkunden/Benutzer nicht viel.
Kein Opt-In sondern maximal ein Opt-out.
Es gibt keine Informationspflicht bei Datenpannen (im Gegensatz zum DSGVO?).
Sollte auf ein Auskunftsbegehren oder Löschbegehren nicht reagiert werden, bleibt noch immer der einzige Weg eine aufwendige Zivilklage.
DSGVO ist nicht perfekt, hat aber zumindest mehr Zähne als das, was bei uns gebastelt wird.
Ja genau im Gegensatz zur DSGVO.
Nicht-Information: DSGVO Artikel 83 (4) in Verbindung mit Artikel 33 ist strafbar.
Ich wäre dankbar um Hinweise, wie man als Chef einer KMU lernt, wie man konkret mit den neuen Pflichten, die man aus dem neuen Gesetz hat, umgehen muss. Zum Erfinden von Gesetzen gehört auch eine Vorstellung, wie es den Betroffenen verständlich vermittelt wird. Nur Gesetz und dann Strafe bei Nichteinhalten ist zu wenig.
Vielleicht helfen die folgenden Links:
Gerade bei KMUs unter 250 Personen bin ich allerdings auch noch nicht sicher was gilt. Da sind gewisse Ausnahmen vorgesehen, allerdings werden die negiert bei besonders sensiblen Daten was bei den HR Dossiers durchaus der Fall sein kann.
Am besten einen Anwalt dazu suchen.
Das Problem kann ich gut verstehen, aber am Ende wird da nur eine (womöglich externe) Fachperson helfen können. Wer sich aber schon mit der 2018 in der EU eingeführten DSGVO auseinander gesetzt hat (beispielsweise wegen Kunden in der EU oder einer Webseite, die Besucher aus der EU nicht explizit ausschliesst), ist nach meinem Verständnis aber bereits gut vorbereitet. Vor Vorkehrungen von damals gelten jetzt im Prinzip auch im Inland. Und mehr (die DGVO ist, wie im Artikel erwähnt, aus Konsumentensicht schärfer) ist in diesem Umfeld immer besser.
Ich bin mir wirklich nicht sicher ob sich die Legislative je Gedanken gemacht, wie ein solches Gesetz technisch umzusetzen ist, ohne dass damit gewisse Aufbewahrungspflichten nach OR oder der Geschäftsbücherverordnung verletzt werden. Die administrativen Floskeln allein genügen nämlich nicht. Ich kann mir nicht vorstellen, dass es eine Firma schafft, eine Durchleuchtung ihrer Datenaufbewahrung von technischen Fachleuten auf das Gesetz hin, mit fliegenden Fahnen zu überstehen.
Schwacher Datenschutz ohne Verantwortlichkeit laesst den Betrachter auf eine Katastrophe warten. Eigentlich geschieht ja alle Wochen eine. Dann holen wir doch mA. D.e Chips.
Allenfalls wird es Datenschutzversicherungen geben, welche die Kosten fuer einen Fehler einer Fuehrungsperson uebernimmt.
JA. D.e Versicherungsgesellschaften stehen in den Startlöchern und entwickeln Produkte für das neue lukrative Geschäftsfeld.
Interessant...gerne mehr an: adrienne.fichter@republik.ch
Wird etwa die Sachbearbeiterin gebüsst, die auf ein Phishing-Mail geklickt und damit ungewollt den Zugriff auf das firmeninterne Netzwerk ermöglicht hat?
Soweit ich es verstanden habe, gehen die Busse, klar gegen die verantwortliche Person. Also in der Regel der Inhaber oder CEO des Unternehmens.
Allerdings nur wenn vorsätzlich gehandelt wurde, was verdammt schwierig nachzuweisen sein wird. Wenn die IT einfach was baut und der Chef keine Ahnung davon hat, kann er ja kaum vorsätzlich gehandelt haben.
Die gute Nachricht: DA. D.tenschutzgesetz schreibt nicht nur Pflichten zur IT-Sicherheit für Unternehmen intern vor, es gilt auch für deren externe «Auftragsbearbeiter».
Dies ist aber nicht automatisch der Fall oder?
Soweit ich bis jetzt mitbekommen haben, müssen die Kunden (Unternehmen) jeweils einen Vertrag mit dem externen Auftragsbearbeiter erstellen und dies einfordern.
Die Verantwortung dafür liegt dabei immer beim Kunden.
Alles in allem hat es ein paar sinnvolle Änderungen gegenüber dem alten Gesetz.
Allerdings finde ich es sehr schade, dass Unternehmen keinen Consent einholen müssen.
Auch die Datenschutzerklärung muss nur findbar ausgelegt werden.
Hier hätte ich mir insbesondere bei weitergabe A. D.itte gewünscht, dass dies zwingend ausgewiesen werden muss.
Hallo Andreas, also Verträge werden ja immer geschlossen. Und "Auftragsbearbeiter" wird zusammen mit dem "Verantwortlichen" ja im gleichen Zug erwähnt im neuen DSG?
Und zur Vorsätzlichkeit: Jein, "grob fahrlässig" und Nicht-Einhaltung von elementaren Sicherheitsvorschriften wird schon dazugehören. Die Frage ist wo diese beginnt. (Fehlend 2FA-Authentifizierung?) So wie ich es vernommen habe aus Kanzleien: das Management vieler Unternehmen ist gerade im Panikmodus und versucht die Verantwortung wegzudelegieren und verantwortliche Person zu benennen.
Hallo Andreas, also Verträge werden ja immer geschlossen. Und "Auftragsbearbeiter" wird zusammen mit dem "Verantwortlichen" ja im gleichen Zug erwähnt im neuen DSG?
Ich kenne es unter anderem von hier: https://www.fmh.ch/files/pdf29/leit…barung.pdf
Die FMH scheint es für nötig zu halten, dass diese Vereinbarung zusätzlich noch gemacht wird (die Geheimhaltung ist klar). Bei Hostpoint (IIRC) habe ich auch etwas ähnliches gesehen.
Dadurch meine Frage ob die Pflichten nicht automatisch gelten.
Ah stimmt "grob fahrlässig" hatte ich vergessen.
versucht die Verantwortung wegzudelegieren und verantwortliche Person zu benennen.
Geht dies den? Ich hatte auch eine ähnliche Überlegung aber ein Bekannter meinte man könne die Verantwortung nicht einfach ans Petra in der IT delegieren.
Im Strafrecht verläuft die trennlinie zwischen eventualvorsatz und bewusster Fahrlässigkeit.
Grob fahrlässiges Verhalten kann m. E. die schwelle zum eventualvorstz überschreiten.
Botschaft zu sorgfaltspflichtverletzungen: " Die Bestimmung dürfte sich ihrer Natur nach primär an Personen mit Weisungsbefugnissen richten, weil die Entscheidkompetenz für die Erfüllung dieser Pflichten eine Leitungsaufgabe ist"
Ich denke nicht, dass es zwangsläufig die CEO ist, schon weiter unten beginnen kann. Aber normalerweise nicht beim sachbearbeiter.
Liebe grüsse
Ich begrüsse es sehr, dass die Schweiz nun endlich der EU nachzieht. Als Einzelperson hat man keine Chance, sich gegen Konzerne wie Meta, Microsoft oder Apple zu wehren. Da sie Quasi–Monopolisten für die heutige Kommunikationswelt sind, kann man nur äusserst umständlich und aufwendig ausweichen. Darum freut es mich, wenn die EU diesen Konzernen auf die Finger schaut und bei Verletzungen Bussen verteilt. Diese sind zwar „bescheiden“ ramponieren aber das Image als Negativ–Schlagzeile.
Siehe: Data Protection Commission announces conclusion of two inquiries into Meta Ireland 4.01.2023 https://dataprotection.ie/en/news-m…ta-ireland
Im Vergleich zur Schweiz sind die Strafen der EU gar nicht bescheiden.
Die richten sich ja IIRC nach dem Umsatz, nicht dem Gewinn, was schon sehr weh tut.
Im Vergleich zur Schweiz haben Sie völlig recht. Wenn man sich aber die Gewinne der von mir genannten Konzerne mit dem Beispiel Meta anschaut, dann tendiere ich doch eher in Richtung „bescheiden“.
Quelle Statista block den Zugriff, aber wenn Sie im Broser folgendes suchen „Gewinnen Meta“ erhalten Sie einen Gewinn Überblick.
https://de.statista.com/statistik/d…dvertising.
Verantwortung.
Ich finde es eigentlich eine gute Idee, dass mögliche Strafzahlungen (die in der EU ja teilweise in absurder Höhe eingefordert werden, wenn es denn mA. D.zu kommt und die Iren ausnahmsweise mal nicht auf der faulen Haut gelegen haben) nicht von den Unternehmen gefordert werden, sondern von den Verantwortlichen dafür persönlich. Und das wird kaum der Sachbearbeiter sein, der auf ein Phishing-E-Mail reagiert, sondern eher der Geschäftsführer, der die geeigneten Massnahmen nicht angeordnet oder durchgesetzt hat.
Solange Unternehmen zahlen müssen, wird sich der Verantwortliche denken "ist wirtschaftlich zu teuer und lässt daher die Dividende sinken, und wenn doch was passiert, wird halt vom Unternehmen gezahlt". Wenn es aber A. D.s persönliche Vermögen geht, sieht die Reaktion (hoffentlich, vielleicht) doch anders aus.
Vielen Dank für diese Übersicht. Ich bin dann sehr gespannt, wie der Datenschützer seine Rolle neu ausfüllt und hoffe natürlich auf einige Interventionen, welche den Sinn des Datenschutzes stärken.
Dass die Schweiz eine etwas liberalere Auslegung in Kraft setzt, mag zu Beginn stören - einen gewissen Pragmatismus finde ich eine gute Sache und da will ich in den nächsten Wochen und Monaten ein Auge drauf haben. Ich denke, die Republik (Adrienne Fichter) bleibt dran...
- Mitglied werden
- Angebote
- Gutschein einlösen
- Anmelden
Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz