Ab dem 1. September gilt ein neues Datenschutzgesetz. Es ist auch für Betriebe und Mitarbeitende im Gastgewerbe relevant.
Auf dem Weg zur Arbeit eine Zahlung tätigen, einen Arzttermin vereinbaren oder einen Tisch für das Essen im Restaurant reservieren. Das alles ist mit dem Smartphone und einer permanenten Internetverbindung problemlosmöglich. Das hat zur Folge, dass die Bearbeitung von Personendaten im Netz in Umfang und Intensität stark zugenommen hat.
Das Schweizer Datenschutzgesetz wurde revidiert, um sich diesen neuen Bedingungen anzupassen. Am 1. September tritt es in Kraft. Alle Unternehmen, die Daten von Mitarbeitenden, Kunden oder Lieferanten speichern und bearbeiten, sind betroffen.
Einer der wichtigsten Teile des neuen Gesetzes ist die Informationspflicht: Wer Daten erfasst, muss die betroffene Person darüber informieren, wie diese bearbeitet werden. «Hat eine Bäckerei beispielsweise eine Website, kann sie diese Pflicht erfüllen, indem sie eine Datenschutzerklärung erstellt und online zugänglich macht», erklärt Mark Meili, Rechtsanwalt und Counsel bei der Wirtschaftskanzlei Prager Dreifuss. Für eine solche Datenschutzerklärung gelten Mindestanforderungen: So müssen die Identität und die Kontaktdaten des Verantwortlichen und der Bearbeitungszweck der Daten angegeben werden. Dazu gegebenenfalls Informationen zu den Personen, an welche die Daten weitergegeben werden. Falls die Daten ins Ausland gelangen, muss auch dies klargestellt werden.
«Damit sichergestellt ist, dass eine Datenschutzerklärung korrekt ist, muss sich das Unternehmen bewusst werden, welche Datenbe-arbeitungen es überhaupt vornimmt», so Mark Meili. Allge-mein empfiehlt er, dass sich Betriebe eine Übersicht verschaffen, in welchem Umfang sie vom neuen Gesetz betroffen sind. «Insbesondere welche Personendaten sie zu welchen Zwecken erheben, bearbeiten oder speichern.» Weiter sollten Verträge mit Kunden und Lieferanten überprüft werden, ob sie den aktuellen Datenschutzanforderungen entsprechen.
Unternehmen sind zudem verpflichtet, eine dem Risiko angemessene Datensicherheit zu gewährleisten. «Dies kann es erforderlich machen, die IT-Systeme und Software zu aktualisieren», sagt Mark Meili.
Gemäss dem Rechtsanwalt ist es sinnvoll, innerhalb des Unternehmens ein Bewusstsein für Datenschutz zu schaffen. Beispielsweise sei es zu empfehlen, dass sich eine Person innerhalb eines Teams das entsprechende Wissen aneignet und dann als Ansprechperson bei Fragen zur Verfügung steht.
Auch beim Datenschutz von Arbeitnehmenden gibt es Änderungen. So müssen auch sie vom Arbeitgeber aufgeklärt werden, wie ihre Daten verarbeitet werden. Laut Mark Meili empfiehlt sich hier eine separate Datenschutzerklärung. «Zudem gilt, dass der Arbeitgeber die Daten nur bearbeiten darf, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind.» In jedem Fall, auch nach einer Kündigung, dürfen nur diejenigen Personendaten aufbewahrt werden, die zwingend nötig sind. Ist dies nicht mehr der Fall, müssen sie gelöscht oder anonymisiert werden.
Das revidierte Gesetz sieht ausserdem ein Auskunftsrecht vor. Betroffene können Auskunft darüber verlangen, welche Daten verarbeitet werden. Hat jemand Hinweise darauf, dass personenbezogene Daten nicht ausreichend geschützt sind, kann er die Löschung beantragen oder beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Anzeige erstatten.
Werden Informations-, Auskunfts- oder Sorgfaltspflichten vorsätzlich verletzt, drohen mit dem neuen Gesetz Bussen bis zu 250 000 Franken. Diese werden in der Schweiz allerdings in erster Linie gegen natürliche Personen ausgesprochen und nicht gegen Unternehmen.
Auf seiner Website erklärt der EDÖB die einzelnen Aspekte des neuen Datenschutzgesetzes ausführlich. Hotelleriesuisse und Gastrosuisse bieten ihren Mitgliederbetrieben Anleitungen und Vorlagen für Datenschutzerklärungen.
(Alice Guldimann)
