Es drohen happige Bussen

Neues Datenschutzgesetz

Es drohen happige Bussen

9. März 2023 agvs-upsa.ch – Die Zeit läuft: Am 1. September des laufenden Jahres tritt das neue Datenschutzgesetz in Kraft. Verbands­mitglieder als auch die Geschäftsstelle selbst arbeiten an dessen Umsetzung. Noch sind nicht alle Betriebe auf Kurs, weshalb der Verband dringend rät, das Thema ernst zu nehmen und die nötigen Schritte bis Ende August umzusetzen. ​

artikelbild.jpg
Foto: Istock/Teaser Shutterstock

Kro. «Unser Betrieb steht noch in Vorbereitung und Abklärung mit den zuständigen Stellen und Verantwortlichen», sagt Beat Salzmann, Inhaber und Geschäftsführer der Forellensee-Garage AG in Zweisimmen BE. «Die Information über die Umsetzung ist nach wie vor unklar», hält er fest. Mit dieser Herausforderung ist Beat Salzmann nicht allein. Das neue Datenschutzgesetz, das per 1. September dieses Jahres in Kraft tritt, ist für viele Unternehmer und Geschäftsführer noch immer ein Buch mit sieben Siegeln. Das betrifft nicht nur kleinere Betriebe, sondern auch mittlere und grosse. «Wir sind das Ganze am Zusammentragen und intern am Aufgleisen», sagt beispielsweise Marc Weber, Inhaber und Geschäftsführer der ­Ausee-Garage AG in Au-Wädenswil ZH. Und auch bei der Binelli Group überprüft man derzeit die internen Prozesse, «um sicherzustellen, dass sie datenschutzkonform sind», wie Julian ­Dubacher, Leiter Marketing und Kommunikation, auf Anfrage von AUTOINSIDE bestätigt. Die Zeit läuft, weshalb inzwischen auch im Autogewerbe die meisten Betriebe daran arbeiten, was Cornelia Stengel in der Februar-Ausgabe von AUTOINSIDE auf den Punkt brachte. Die Geschäftsführerin des Schweizerischen Leasingverbandes bezeichnete als die wichtigste Grundlage «eine Bestandesaufnahme der Bearbeitungen von Personendaten, um sich auf das Inkrafttreten des neuen Gesetzes vorzubereiten». 

«Das erforderliche Know-how für die Umsetzung der Anforderungen des Datenschutzgesetzes und der Importeure bzw. Hersteller ist gross», sagt Volker Dohr, Rechtsanwalt und CEO von Impunix, einer auf Datenschutz spezialisierten Firma (siehe Kasten). «Allein die Grundlagen und Begrifflichkeiten zu erlernen und dann seinen Mitarbeitern zu vermitteln, sei eine Herausforderung für die Geschäftsleitung. Hinzu kommen unter anderem umfassende und strafbewehrte Pflichtaufgaben wie Dokumentation, Datenschutzerklärungen, technische und organisatorische Massnahmen, kleines Berufsgeheimnis, das neu alle Mitarbeitende betrifft, Datenschutzverträge mit allen Dienstleistern prüfen, Auslandstransfers beachten und Auskunftsbegehren richtig zu beantworten. Plus weitere, nicht strafbewehrte Pflichten wie Bearbeitungsverzeichnis, Richtlinien, Schulungen, Datenverlustmeldung, Datenschutzfolgeabschätzung, Löschkonzept, Privacy-by-Default. 
 
Guter Rat: Professionelle Hilfe beiziehen
Gefragt, welche Schlüsse der Rechtsdienst des AGVS aus den an ihn gestellten Fragen zieht, sagt Tahir Pardhan: «Die konkrete Umsetzung des neuen DSG ist sehr komplex und für jeden Betrieb unterschiedlich. Eine einzige, für alle Betriebe gültige Lösung ist daher schwierig.» Zumal strafrechtliche ­Konsequenzen in Form von Geldstrafen drohen, sei es höchst ratsam, professionelle Hilfe zur Umsetzung beizuziehen.

Hier gibt es mehr Informationen
Der AGVS hat zusammen mit dem Schweizerischen Leasingverband verschiedene Informationen zusammengestellt, die einen nützlichen Einblick ins Thema geben. Sie finden die entsprechenden Links auf der Webseite des AGVS. Die AGVS-Medien werden in den nächsten Monaten regelmässig Artikel zum neuen Datenschutzgesetz publizieren. 
Zum Thema Datenschutzgesetz führt der AGVS auch ein Webinar durch. Referenten sind ­Cornelia Stengel, Geschäftsführerin des Schweizerischen Leasingverbandes und Dozentin an verschiedenen Hochschulen, Luca Stäuble, Rechtsanwalt und Dozent an der Hochschule für Wirtschaft Zürich, sowie Gaspare Loderer, Rechtsanwalt im Bereich Datenschutz. Das Webinar dauert einen halben Tag. Die nächsten Termine: Dienstag, 21. März, und Mittwoch, 
29. März. Alle weiteren Informationen finden Sie in der AGVS Business Academy

Externe Hilfe dank dem AGVS
Die internen Vorbereitungen für die Umsetzung des neuen Datenschutzgesetzes lässt die AGVS-Geschäftsstelle von der externen Firma Impunix überprüfen. Das Unternehmen hat speziell für den Automobilhandel ein Datenschutz «Rundum-sorglos-Paket» entwickelt. In Zusammenarbeit mit dem AGVS und Importeuren gewährleistet Impunix eine ganzheitliche Umsetzung zum Fixpreis und garantiert, dass Bussen und Verstösse ausgeschlossen sind. Im Hinblick auf das Startdatum des neuen Datenschutzgesetzes arbeiten bereits mehrere Garagenbetriebe mit Impunix zusammen. So sagt beispielsweise Patrick ­Burkhardt von der Schönegg Garage AG in Spiez BE: «Ich wäre nicht auf die Idee gekommen, dass uns jemand in der Schweiz den Datenschutz abnimmt.»

«Für Markenvertreter ist die Sache noch etwas komplizierter: Neben dem neuen Datenschutz müssen die Markengaragisten die Vorgaben der Importeure erfüllen, die unterschiedlich sind und sich meist am EU- und nicht am Schweizer Recht orientieren.» Der ehemalige Leiter des Rechtsdienstes der Amag macht noch auf einen weiteren, nicht unwesentlichen Aspekt aufmerksam: «Es gilt zu berücksichtigen, dass Datenschutz kontinuierlich stattfindet und das Wissen aktuell gehalten werden muss.» Und das gilt dann wiederum für alle Mitgliedsbetriebe. 

Grundsätzlich gilt es, eine Reihe von Fragen zu beantworten, primär deren drei. Erstens: Müssen wir etwas machen? Zweitens: Was müssen wir machen? Und die vermutlich wichtigste Frage: Was sind die Gefahren, wenn ich im September 2023 die Vorgaben des Datenschutzes nicht erfülle? «Wir raten, das Thema ernst zu nehmen und die nötigen Schritte bis Ende August umzusetzen», sagt Markus Aegerter, AGVS-Geschäftsleitung. «Es drohen sonst happige Bussen.» Als Garagist gelange man an sensible Daten, z.B. bei Leasingverträgen.

Beim AGVS will man auch in dieser Frage mit dem guten Beispiel vorangehen und steht anhand von Fallbeispielen bereits mitten in der korrekten technischen Umsetzung des Datenschutzgesetzes. Dies unter anderem mit in der Praxis durchgespielten, fiktiven Auskunftsbegehren. «Basierend auf den Erkenntnissen aus diesen Anwendungsfällen wurde ein Informationssicherheits- und Datenschutzkonzept (ISDS) ausgearbeitet. Dieses Dokument wurde so ausgelegt, dass es für die Mitarbeitenden auch als Nachschlagewerk dient und regelmässig überprüft bzw. erweitert wird», erklärt ­Markus Aegerter. Dieses ISDS-Konzept werde nun noch durch eine externe Firma im Detail analysiert und wo nötig ergänzt.

Seinen Mitgliedern steht der Verband mit Rat und Tat zur Seite: Die Garagisten finden auf der AGVS-Website verschiedenste Checklisten und zahlreiche Berichte und Hinweise. Ausserdem bietet der AGVS Webinare mit Cornelia Stengel an, einer ausgewiesenen Spezialistin zum Thema Datenschutzgesetz (siehe Kasten). «Und natürlich steht unser Juristenteam für Fragen zur Verfügung», weist Markus ­Aegerter auf den Support durch den Verband hin. 

Tahir Pardhan vom AGVS-Rechtsdienst ist in Sachen Datenschutzgesetz tatsächlich gefordert. Die Anfragen von Verbandsmitgliedern häufen sich, gerade in letzter Zeit. Tahir Pardhan beantwortet in der folgenden blauen Box die fünf aktuell am meisten gestellten Fragen.
 
AGVS-Rechtsdienst zum neuen Datenschutzgesetz: Die wichtigsten Fragen

Mit dem neuen Datenschutzgesetz werden der Umgang und damit die Nutzung von Kundendaten klarer ­geregelt. Das hat teilweise markante Anpassungen zur Folge. Tahir Pardhan vom AGVS-Rechtsdienst beantwortet die fünf aktuell meistgestellten Fragen. 

Tahir Pardhan, was muss man bezogen auf das neue Datenschutzgesetz tun? 
Tahir Pardhan
: Das revidierte Datenschutzgesetz stellt neue, zum Teil auch strafbewehrte Anforderungen an die Bearbeitung von personenbezogenen Daten. Um den Anforderungen gerecht zu werden, müssen Unternehmen primär überprüfen, welche personenbezogenen Daten sie sammeln, bearbeiten sowie speichern und dabei ihre Datenverarbeitungsprozesse dokumentieren. Wichtig ist ebenfalls, dass die betroffenen Personen in geeigneter Weise über die Bearbeitung ihrer Daten informiert werde, zum Beispiel über eine Datenschutzerklärung. Damit allein ist es aber noch nicht getan, denn das Gesetz kennt noch weitere Vorschriften.

Kann man die Datenschutzerklärung des Importeurs kopieren?
Es ist dringend abzuraten, die Datenschutzerklärung eines anderen Unternehmens, insbesondere die des Importeurs, zu kopieren. Der Importeur ist Lieferant und hat keine Endkundenprozesse wie beispielsweise Verkauf, Finanzierung, Aftersales, sodass diese in seiner Datenschutzerklärung nicht dokumentiert sind. Es ist wichtig, dass jedes Unternehmen seine eigene Situation und internen Prozesse bewertet, um sicherzustellen, dass es dem neuen DSG entspricht. Die Datenschutzerklärung muss somit spezifisch auf den eigenen Betrieb und die eigenen Datenverarbeitungsprozesse abgestimmt sein.

Ist das EU-Datenschutzrecht einzuhalten?
In der Regel nicht. Erst wenn Dienstleistungen und Fahrzeuge explizit im EU-Raum angeboten werden, Personen aus der EU gezielt mit Webseiteanalyse, zum Beispiel Cookies, überwacht werden oder eine Niederlassung im EU-Gebiet oder Liechtenstein betrieben wird, ist die EU-DSGVO einzuhalten.»

Muss man einen Cookie-Banner nutzen?
Es kommt darauf an, wie und wann Cookies auf der Webseite verwendet werden. Werden nur technisch notwendige Cookies verwendet, ist kein Banner erforderlich. Meistens werden jedoch Webtracking-Cookies wie z.B. Google Analytics verwendet, die aber erst nach einer transparenten und angemessenen Information über die Datenbearbeitung geschaltet werden dürfen. Dies kann durch einen Cookie-Banner mit kurzer Erläuterung und Link zur Datenschutzerklärung sowie einem Button «schliessen» gelöst werden, der dann die Webtracking-Cookies frei gibt. Vermutlich wird ein Cookie Banner mit Auswahlmöglichkeiten, wie wir es von EU-Webseiten kennen, nicht erforderlich sein. Hier warten wir noch auf die Empfehlungen der Behörden und Gerichte.

Was droht, wenn man im September 2023 die Vorgaben des neuen DSG nicht umgesetzt hat?
Es drohen Strafanzeigen von Personen, von welchen Personendaten bearbeitet werden, und auch Androhungen der Importeure bezüglich Vertragsverletzung bei Nicht-Umsetzung des neuen DSG. Dies kann zu persönlichen Geldstrafen des Datenschutzverantwortlichen führen. Aus diesen Gründen ist es essenziell, dass sich Garagisten so früh wie möglich mit den Anforderungen des DSG vertraut machen und idealerweise professionelle Hilfe zur Umsetzung in Betracht ziehen. 

 
Feld für switchen des Galerietyps
Bildergalerie

Kommentar hinzufügen

1 + 3 =
Lösen Sie diese einfache mathematische Aufgabe und geben das Ergebnis ein. z.B. Geben Sie für 1+3 eine 4 ein.

Kommentare