bodentraum bodentraum

Datenschutz

Datenschutzrichtlinien der Firma bodentraum schwestermann ag

Diese Datenschutzrichtlinie sieht Regelungen für einen verantwortungsvollen und rechtskonformen Umgang mit Personendaten der oben erwähnten Firma, der Mitarbeitenden sowie weiteren Personen vor, die von oben erwähnter Firma bearbeitet werden. Sie beschreibt die Grundlagen der Umsetzung des Datenschutzrechts in unserem Unternehmen.

I. Allgemeines

Einleitung

Die bei uns Daten sind für das Unternehmen von grossem Wert. Diese Daten sind daher gegen unbefugte Zugriffe und andere Gefährdungen bestmöglich geschützt.

Die Lieferanten, Kunden, Partner und Mitarbeitenden des Unternehmens erwarten, dass die dem Unternehmen anvertrauten Daten besonders geschützt werden und ein sorgsamer Umgang mit ihnen erfolgt. Es wird von uns ein verantwortungsvoller und rechtskonformer Umgang mit Personendaten erwartet. Wir bekennen uns zu unserer Verantwortung im Umgang mit Personendaten und sind deshalb bestrebt, Personendaten nach Massgabe der anwendbaren Rechtsvorschriften zu schützen.

Bei Fragen zum Thema Datenschutz oder zum Umgang mit Personendaten kann die intern für den Datenschutz zuständige Person kontaktiert werden.

Ziel der Datenschutzrichtlinie

Mit dieser Datenschutzrichtlinie sollen einheitliche Standards für den Datenschutz im Unternehmen geschaffen werden.

Durch die Einhaltung der in dieser Datenschutzrichtlinie definierten Standards kommt das Unternehmen seinen datenschutzrechtlichen Verpflichtungen nach und sorgt für eine ausreichende Berücksichtigung der Interessen sowie Rechte der betroffenen Personen.

Die Beachtung dieser Datenschutzrichtlinie ist Voraussetzung für den sicheren Austausch von Personendaten innerhalb des Unternehmens und mit Dritten.

Diese Richtlinie und weitere Weisungen, auf welche die Richtline in Ziff. Fehler! Verweisquelle konnte nicht gefunden werden. verweist, sind bei sämtlichen Prozessschritten und im gesamten Lebenszyklus einer Datenbear- beitung anzuwenden: von der Erhebung, Erfassung, Speicherung und Aufbewahrung der Daten über die vielfältige Verwendung, Nutzung und Bekanntgabe bis zur Archivie- rung und schlussendlich deren Vernichtung.

Folgende Ziele sind bei der Bearbeitung von Daten durch uns zu gewährleisten:

Schutz der Persönlichkeit: Die Rechte von natürlichen Personen (z.B. unsere Kunden, Mitarbeitenden und weitere Personen), deren Daten bearbeitet werden, sollen durch angemessene Schutzmassnahmen gewahrt und respektiert werden.  Geheimnis- und Vertrauensschutz: Die korrekte und sichere Beschaffung und Bearbeitung von Informationen und Daten, insbesondere von Geschäftsgeheimnissen oder von besonders schützenswerten Personendaten, sind wichtig für die von uns erbrachten Dienstleistungen und das uns entgegengebrachte Vertrauen von Kunden, Geschäftspartnern, Mitarbeitenden und staatlichen Institutionen.

Anwendungsbereich der Datenschutzrichtlinie

Diese Datenschutzrichtlinie gilt für jegliche Bearbeitung von Personendaten, wobei insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten erfasst werden. Sie findet Anwendung auf sämtliche Arten von Personendaten, insbesondere Daten von Mitarbeitenden, Kunden, Lieferanten und anderen Geschäftspartnern.

Die Datenschutzrichtlinie beschreibt, konkretisiert bzw. ergänzt dabei auch gesetzliche Vorgaben, namentlich solche aus dem Schweizer Datenschutzgesetz (DSG).

Definitionen

Personendaten im Sinne dieser Unternehmensrichtlinie sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

Beispiele: Personalien (Name, Geburtsdatum, etc.), Kontaktdaten (Adresse, Telefonnummer, E-Mail, etc.), physische Merkmale (Geschlecht, etc.), Kennnummern (Personalnummer, Sozialversicherungsnummer, etc.), Kommunikationsdaten, finanzielle Informationen (Kontonummer, Einkommen, etc.), Standortdaten, IP-Adresse, Geräte-IDs usw.

Betroffene Personen sind diejenigen natürlichen Personen, über die Personendaten bearbeitet werden.

«Bearbeitung» ist jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, bspw. das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten, Abgleich, Verknüpfung, Einschränkung, Anonymisierung

Verantwortlicher ist eine private Person, die allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet (siehe auch Ziff. 8).

Auftragsbearbeiter ist ein Dritter, der im Auftrag des Verantwortlichen Personendaten bearbeitet (siehe auch Ziff. 8).

II. Grundregeln der Datenbearbeitung

Datenschutzrechtliche Bearbeitungsgrundsätze (Art. 6 und 8 DSG)

Alle Mitarbeitenden sind für die datenschutzkonforme Bearbeitung der Daten in ihrem Zuständigkeitsbereich verantwortlich. Dabei müssen besonders die folgenden Grundsätze eingehalten werden.

Rechtmässigkeit der Bearbeitung: Personendaten dürfen nur rechtmässig bearbeitet werden.

Fairness: Wir bearbeiten Personendaten auf faire Weise und nur so, wie es die betroffene Person von uns berechtigterweise erwartet. Wir vermeiden Diskriminierungen.

Transparenz: Wenn wir Personendaten von der betroffenen Person selbst oder von anderen Quellen beschaffen, informieren wir betroffene Personen aktiv, frühzeitig, detailliert und in leicht verständlicher Form über die Bearbeitung ihrer Personendaten.

Zweckbindung: Personendaten dürfen nur zu Zwecken beschafft und verwendet werden, die bei der Beschaffung transparent angegeben wurden oder mit dem angegebenen Zweck vereinbar sind. Beruht die Bearbeitung auf einer Einwilligung, muss die Einwilligung die Zwecke eindeutig umfassen.

Verhältnismässigkeit: Die Bearbeitung von Personendaten darf jeweils nicht über das hinausgehen, was geeignet und notwendig ist, um den mit der Bearbeitung verfolgten Zweck zu erreichen. Der Zugang zu Personendaten ist grundsätzlich auf Mitarbeitende des Unternehmens zu beschränken, die den Zugang zur Erfüllung ihrer Aufgaben benötigen.

Datenminimierung und Speicherbegrenzung: Es dürfen nicht mehr Personendaten als verwendet werden. Daten, die für den Zweck nicht mehr benötigt werden, müssen gelöscht oder anonymisiert werden, wenn keine Aufbewahrungspflichten oder -rechte entgegenstehen. Für jede Datensammlung und jede Datenbearbeitung sollte ein Löschkonzept bestehen.

Richtigkeit: Personendaten müssen richtig und — sofern sie nicht nur über einen bestimmten Stand Auskunft geben sollen — stets auf dem aktuellen Stand sein. Unrichtige oder unvollständige Personendaten müssen berichtigt oder ergänzt werden. Ist dies nicht möglich, müssen sie grundsätzlich gelöscht oder anonymisiert werden, soweit keine gesetzliche Aufbewahrungspflicht gilt.

Sicherheit: Die Sicherheit der von uns bearbeiteten Personendaten muss jederzeit in angemessener Weise gewährleistet sein. Personendaten müssen insbesondere gegen Vernichtung, Verlust, Veränderung oder unbefugte Offenbarung geschützt sein. Dafür sind rechtzeitig frühzeitig die mit der Bearbeitung verbundenen Risiken für die betroffenen Personen zu bewerten, und es sind angemessene Schutzmassnahmen zu planen.

Grundsätzlich müssen die benannten Bearbeitungsgrundsätze eingehalten werden, dann ist eine Datenbearbeitung gemäss Schweizer Recht in der Regel rechtmässig. Wird aber einer der in Art. 6 und 8 des Schweizer DSG aufgeführten Datenbearbeitungsgrundsätze verletzt, liegt eine Persönlichkeitsverletzung vor, Eine solche liegt auch dann vor, wenn eine betroffene Person die Bearbeitung ausdrücklich untersagt hat oder Dritten besonders schützenswerte Personendaten bekanntgegeben werden. Eine Persönlichkeitsverletzung durch uns kann jedoch durch folgende Gründe gerechtfertigt werden, sodass diese nicht widerrechtlich ist:      Einwilligung der betroffenen Person,         überwiegendes privates oder öffentliches Interesse oder             Gesetz.

Einwilligung und Widerspruch

Eine Einwilligung der betroffenen Person zur Datenbearbeitung durch ein Unternehmen ist grundsätzlich nicht erforderlich, auch nicht bei besonders schützenswerten Personendaten.

Widerspricht die betroffene Person hingegen einer Datenbearbeitung ausdrücklich, ist diese nur gerechtfertigt, wenn überwiegende Interessen des Verantwortlichen oder eine gesetzliche Grundlage vorliegen (siehe auch der letzte Abschnitt von Ziff. 5).

Informationspflicht (Datenschutzerklärung)

Wir informieren die betroffenen Personen in präziser, transparenter, verständlicher und leicht zugänglicher Form über die Bearbeitung ihrer Personendaten. Dies geschickt mittels einer allgemeinen Datenschutzerklärung auf unserer Website. Die Information über die Datenbearbeitung muss dabei in einer klaren und einfachen Sprache erfolgen. Die Information über die Datenbearbeitung muss von anderen Sachverhalten klar getrennt sein und darf insbesondere nicht in Allgemeinen Geschäftsbedingungen mit anderen Themen vermischt werden. Die Information erfolgt grundsätzlich vor oder gleichzeitig mit der Erhebung der Daten. Nur wenn wir die Personendaten nicht direkt bei der betroffenen Person erheben, kann die Information beim ersten Direktkontakt mit der betroffenen Person nachgeholt werden.

Die Information über die Bearbeitung von Personendaten muss einen bestimmten Mindestinhalt aufweisen. Entsprechende Datenschutzerklärungen und Hinweise dürfen nur in Abstimmung mit der intern für den Datenschutz zuständigen Person ausgearbeitet bzw. geändert werden.

Datenschutzerklärungen geben Antworten auf die folgenden Fragen geben:

Wer ist für die Datenbearbeitung verantwortlich und an wen können sich betroffene Personen wenden?  Welche Daten werden bearbeitet?

Wofür werden die Daten bearbeitet (Bearbeitungszweck)?

 An wen werden die Daten weitergegeben und wofür?

Werden Daten von uns direkt oder von einem Auftragsbearbeiter ins Ausland übermittelt und, wenn ja, mittels welchen Schutzmechanismen wird ein angemessenes Datenschutzniveau sichergestellt?

Wie lange werden die Daten gespeichert?

Welche Datenschutzrechte haben die betroffenen Personen (Auskunft, Berichtigung, Löschung, Beschränkung, Widerspruch, Datenportabilität, Beschwerde an eine Aufsichtsbehörde)?

Falls anwendbar: Werden wesentliche Entscheidungen vollautomatisch (bspw. durch Kl-Systeme) getroffen?

Bei Online-Diensten weisen wir aktiv auf die Verwendung von Cookies und anderen Tracking-Technologien sowie deren Zweck hin und holen eine Einwilligung ein.

 

Verantwortung für die Bearbeitung von Personendaten

Wir bearbeiten Personendaten in der Regel als Verantwortlicher. Sie bestimmt über die

Zwecke der Datenbearbeitung. Sie entscheidet auch über die Mittel, d.h. die wesentliChen Aspekte der Datenbearbeitung (z.B. welche Daten bearbeitet werden, von welChen Quellen diese stammen, wer darauf Zugriff hat, etc.).

Auftragsbearbeiter

Die Bearbeitung von Personendaten kann einem Dienstleister als Auftragsbearbeiter übertragen werden, z.B. dem Anbieter einer Software für Mitarbeiteradministration.

Gegenüber der betroffenen Person bleibt aber unser Unternehmen als Verantwortlicher für die Bearbeitung der Personendaten verantwortlich.

Für den Beizug eines Auftragsbearbeiters müssen folgende Voraussetzungen erfüllt sein:

Bei der Auswahl des Auftragsbearbeiters wurde darauf geachtet, dass dieser den Datenschutz und insbesondere die Datensicherheit gewährleisten kann.

Die Übermittlung von Personendaten an den Auftragsbearbeiter verstösst nicht gegen gesetzliche oder vertragliche Geheimhaltungspflichten.

Soll ein Auftragsbearbeiter mit Sitz im Ausland beauftragt werden, müssen die Voraussetzungen von Ziff. 9 erfüllt sein.

Vor der Übermittlung von Personendaten an den Auftragsbearbeiter wird eine schriftliche Auftragsbearbeitungsvereinbarung abgeschlossen.

 

Auftragsbearbeiter müssen in der Auftragsbearbeitungsvereinbarung u.a. verpflichtet werden, Personendaten nur in Übereinstimmung mit dem Auftrag und den Instruktionen des Verantwortlichen zu bearbeiten, sie zu keinen anderen Zwecken zu verwenden und die Sicherheit der Datenbearbeitung zu gewährleisten.

Auftragsbearbeiter müssen zudem verpflichtet werden, den Verantwortlichen bei der Einhaltung des Datenschutzes im Einklang mit den Anforderungen des Datenschutzrechts und der Auftragsbearbeitungsvereinbarung zu unterstützen, insbesondere beim Umgang mit Datenschutzverletzungen und bei Datenschutz-Folgenabschätzungen. Unterbeauftragte dürfen nur mit Zustimmung des Verantwortlichen beigezogen werden.

9. Übermittlung von Personendaten an andere Empfänger (auch im Ausland)

Jede Übermittlung, Offenlegung, Bereitstellung, Bearbeitung oder andere Form der Bekanntgabe von Personendaten an einen anderen Verantwortlichen oder sonstigen Empfänger ist nur zulässig, wenn die Bekanntgabe der betroffenen Person mitgeteilt wurde und die Bekanntgabe mit dem bei der Datenbeschaffung bekanntgegebenen Bearbeitungszweck vereinbar ist.

Dies gilt für die Bekanntgabe an andere Unternehmen oder Behörden. Nicht als Bekanntgabe gilt hingegen die Weitergabe von Personendaten innerhalb der gleichen juristischen Person. Daten dürfen jedoch nur dann für Mitarbeitende zugänglich sein, wenn diese die Daten für ihre Arbeit tatsächlich benötigen.

Wir sind verpflichtet, den Schutz der Daten auch dann zu gewährleisten, wenn Daten auftrags- und zweckgebunden ins Ausland übermittelt werden. Für Übermittlungen an Empfänger im Ausland gilt zusätzlich die Voraussetzung, dass im Staat des Empfängers ein angemessenes Datenschutzniveau besteht. Ein angemessenes Datenschutzniveau besteht z.B. in den EU-/EWR-Mitgliedstaaten, Grossbritannien und der Schweiz. Bei anderen Empfängerstaaten ist jeweils im Einzelfall zu prüfen, ob ein angemessenes Datenschutzniveau besteht. Fehlt ein angemessenes Datenschutzniveau im betreffenden Empfängerstaat, ist die Übermittlung nur in den folgenden Fällen zulässig:

Mit dem Empfänger wurde ein geeigneter Datenübermittlungsvertrag geschlossen, in dem sich der Empfänger verpflichtet hat, ein angemessenes Datenschutzniveau zu gewährleisten.

Die Übermittlung ist notwendig, um einen Vertrag mit der betroffenen Person abzuwickeln oder um einen Vertragsantrag der betroffenen Person zu bearbeiten.

Alle von der Übermittlung betroffenen Personen haben ausdrücklich und nach detaillierter Information sowie Aufklärung über die damit verbundenen Risiken in die Auslandsübermittlung eingewilligt.

Die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

Eine Übermittlung von Personendaten in einen Staat ohne angemessenes Datenschutzniveau ist stets nur in Abstimmung mit der intern für den Datenschutz zuständigen Person/Stelle zulässig.

III. Innerbetriebliche Prozesse

Anforderungen an Mitarbeitende

Alle Mitarbeitende des Unternehmens sind dem Datenschutz verpflichtet. Sie werden namentlich darüber informiert, dass es untersagt ist, Personendaten für private Zwecke zu nutzen, an Unbefugte zu übermitteln oder sie Unbefugten zugänglich zu machen. Die Pflicht zur Wahrung der Vertraulichkeit gilt über das Ende der Anstellung hinaus.

Auch innerhalb des Unternehmens achten wir darauf, dass nur diejenigen Mitarbeitenden Zugriff auf Personendaten erhalten, die sie zur Erledigung ihrer Aufgaben für das Unternehmen benötigen.

Alle Mitarbeitenden werden zu Beginn ihrer Anstellung und nachfolgend regelmässig in Datenschutzthemen geschult und sensibilisiert.

Verzeichnis der Bearbeitungstätigkeiten (Bearbeitungsverzeichnis)

Sämtliche bestehenden und neuen Datenbearbeitungen müssen in einem Bearbeitungsverzeichnis dokumentiert werden. Das Unternehmen führt somit ein Verzeichnis der Bearbeitungstätigkeiten im Zusammenhang mit Personendaten. Das Verzeichnis ist stets aktuell und einen Überblick über die datenschutzrelevanten Aktivitäten im Unternehmen verschaffen.

Das Bearbeitungsverzeichnis des Verantwortlichen muss mindestens die folgenden Angaben umfassen:

Umschreibung der Datenbearbeitung/Bereich

Verantwortliches Unternehmen

Bearbeitungszwecke

Kategorien der betroffenen Personen

Kategorien der bearbeiteten Personendaten

Kategorien der Datenempfänger

Übermittlungen in Drittstaaten

Grundlage für die Übermittlung in Drittstaaten

Löschfrist/Aufbewahrungsdauer     Datensicherheit

Kontaktdaten der für die Datenbearbeitung zuständigen Person

Datenschutz durch Technik, datenschutzfreundliche Voreinstellungen sowie DatenschutzFolgeabschätzung

Zur Bearbeitung von Personendaten genutzte Systeme werden von Anfang an so gestaltet, dass der Datenschutz eingehalten werden kann. Die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein (Privacy by Design).

Die Verantwortlichen müssen die Standardeinstellung am Gerät bzw. an der Software so wählen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.

Eine Datenschutz-Folgenabschätzung ist dann erforderlich, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte von betroffenen Personen mit sich bringen kann, das kann insbesondere in den folgenden Fällen sein:  Einsatz von neuen oder neuartigen Technologien;  systematische und umfassende Bewertung persönlicher Aspekte (Profiling);  umfangreiche Bearbeitung besonders schützenswerter Personendaten (z.B. Gesundheitsdaten, Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten);  systematische Überwachung umfangreicher öffentlicher Bereiche (z.B. mittels Videoüberwachung).

IV. Rechte der betroffenen Personen

Wir sind verpflichtet, betroffenen Personen die Ausübung ihrer Rechte auf einfache Weise zu ermöglichen. Entsprechende Begehren sind grundsätzlich kostenlos und fristgerecht in geeigneter Form zu beantworten bzw. zu behandeln, und der Umgang mit solchen Begehren ist vollständig zu dokumentieren. Die eingehenden Begehren sind stets an die für den Datenschutz zuständige Person unverzüglich weiterzuleiten. Eine eigene Beantwortung von Datenschutzbeschwerden findet nicht statt.

Für die Beantwortung von Betroffenenbegehren haben wir 30 Tage Zeit. Damit die für den Datenschutz zuständige Person somit rechtzeitig reagieren kann, muss ein Betroffenenbegehren intern unverzüglich weitergeleitet werden.

Auskunftsrecht

Auf Anfrage ist einer betroffenen Person mitzuteilen, ob von dem Unternehmen Personendaten über sie bearbeitet werden. Sofern dies der Fall ist, hat die betroffene Person einen Anspruch auf Auskunft über die entsprechenden Personendaten. Beim Auskunftsrecht geht es darum, in Erfahrung zu bringen, ob Personendaten bearbeitet werden und wenn ja, welche, sodass die betroffene Person ihre weiteren Rechte geltend machen kann. Dazu gehören neben den bearbeiteten Personendaten als solche Angaben zur Identität des Verantwortlichen, zum Bearbeitungszweck, zur Aufbewahrungsdauer, zur Datenherkunft und gegebenenfalls Informationen über automatisierte Einzelentscheide und die Empfänger (auch als Kategorien).

Bei der Auskunftserteilung ist sicherzustellen, dass die Identität der betroffenen Person verifiziert wird. Weiter werden im Rahmen der Auskunftserteilung keine Personendaten Dritter offenbart. Die Auskunft erfolgt stets kostenlos.

Datenportabilität / Recht auf Datenherausgabe und Datenübertragung

Betroffene Personen können ihre Daten, die sie dem Unternehmen bekannt gegeben haben, in einem gängigen elektronischen Format herausverlangen, wenn die Daten automatisiert bearbeitet werden und die betroffene Person zur Bearbeitung eingewilligt hat oder die Bearbeitung im Rahmen eines entsprechenden Vertrags erfolgt.

Recht auf Berichtigung

Eine betroffene Person kann nach Art. 32 Abs. 1 DSG verlangen, dass unrichtige Personendaten berichtigt werden.

Recht auf Datenlöschung

Wenn Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden und keine gesetzliche Grundlage und kein überwiegendes privates Interesse Dritter besteht, kann die betroffene Person die Löschung ihrer Personendaten verlangen.

Widerspruch

Betroffene Personen haben das Recht, jederzeit Widerspruch gegen die Bearbeitung von Personendaten einzulegen, insbesondere die Bearbeitung zum Zweck von Direktmarketing einzulegen. Dies gilt auch für ein allfälliges Profiling, soweit es mit solchem Direktmarketing in Verbindung steht. Ein Widerspruch kann zu einer Löschpflicht führen.

Widerruf

Soweit Daten auf Basis einer Einwilligung einer betroffenen Person bearbeitet werden, kann diese die Einwilligung jederzeit widerrufen.

V. Zuständigkeit

Interne Verantwortung

In erster Linie sind diejenigen Mitarbeitenden für die Einhaltung der Vorgaben dieser Datenschutzrichtlinie verantwortlich, die jeweils mit der Datenbearbeitung betraut sind.

Alle Mitarbeitenden des Unternehmens achten auf die Einhaltung dieser Datenschutzrichtlinie und tragen auf diese Weise dazu bei, dass in dem gesamten Unternehmen einheitlich hohe Datenschutzstandards etabliert sind.

Meldung von Verstössen und Zusammenarbeit mit Aufsichtsbehörden

Die Mitarbeitenden haben dem Vorgesetzten bzw. dem Datenschutzbeauftragten unverzüglich Bericht zu erstatten, wenn sie Kenntnis von einem Verstoss gegen diese Datenschutzrichtlinie oder gesetzliche Bestimmungen haben, die sich auf den Schutz personenbezogener Daten beziehen.

Verletzungen der Datensicherheit (z.B. Offenlegung für Unbefugte, Datenverlust, Cyberangriff etc.), die für die Betroffenen zu einem hohen Risiko für ihre Persönlichkeit oder ihre Grundrechte führen, werden vom Unternehmen dem EDÖB «so rasch als möglich», also zeitnah, gemeldet.

Sanktionen

Verstösse gegen das Datenschutzrecht und diese Richtlinie können für uns einschneidende Konsequenzen haben. Es drohen insbesondere hohe Bussen, Schadenersatzansprüche sowie Reputationsverlust. Für einzelne Mitarbeitende können Verstösse gegen das Datenschutzrecht und diese Richtlinie arbeitsrechtliche Disziplinarmassnahmen (einschliesslich Entlassung) und Rechtsansprüche von uns zur Folge haben.

Konkret bedeutet dies, dass den Fehlbaren strafrechtliche (Busse bis CHF 250 1 000.-) und dem Unternehmen zivilrechtliche (bis hin zu Schadenersatz) Konsequenzen sowie Reputationsschäden drohen können. Strafrechtlich verantwortlich ist in erster Linie die natürliche Person, d.h. der/die vorsätzlich fehlbare Mitarbeitende. Datenschutzverletzungen können auch unternehmensinterne disziplinarische Konsequenzen haben.

VI. Weitere Bestimmungen

Publizität

Diese Unternehmensrichtlinie ist allen Mitarbeitenden des Unternehmens in geeigneter Weise zugänglich gemacht worden.

Eine allgemeine Veröffentlichung dieser Datenschutzrichtlinie ist nicht vorgesehen. Diese Richtlinie ist nur für interne Zwecke vorgesehen.

Änderungen

Das Unternehmen behält sich das Recht vor, diese Datenschutzrichtlinie bei Bedarf zu ändern. Eine Änderung kann insbesondere erforderlich werden, um gesetzlichen Vorgaben, Forderungen der Aufsichtsbehörden oder unternehmensinternen Verfahren zu entsprechen.

In regelmässigen Abständen wird auch geprüft, inwieweit technologische Veränderungen eine Anpassung dieser Unternehmensrichtlinie erforderlich machen.

Anhang: Glossar

Auftragsbearbeiter: Eine natürliche oder juristische Person oder eine andere Organisation, die Personendaten im Auftrag eines Verantwortlichen bearbeitet.

Automatisierte Einzelentscheidung: Eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Betroffene Person: Eine Person, auf die sich bearbeitete Personendaten beziehen.

Besonders schützenswerte Personendaten: In abschliessender Aufzählung im DSG sind das 1. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,

Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,

genetische Daten,

biometrische Daten, die eine natürliche Person eindeutig identifizieren,

Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,

Daten über Massnahmen der sozialen Hilfe.

Keine besonders schützenswerten Personendaten sind insbesondere Vermögens- und Einkommensdaten.

Datenschutzbeauftragte/r gemäss DSGVO: Eine unabhängige, interne oder externe Person oder ein unabhängiges externes Unternehmen, die oder das nach den Vorschriften der DSGVO bestellt wurde und den Verantwortlichen zu Datenschutzfragen berät sowie prüft, ob der Verantwortliche das Datenschutzrecht einhält. Im DSG besteht das Pendant des «Datenschutzberaters» für private Verantwortliche. Der Datenschutzberater gemäss DSG hat ähnliche Aufgaben wie ein/e Datenschutzbeauftragte/r nach der DSGVO, ist jedoch freiwillig.

Datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default): Grundsatz, wonach ein Verantwortlicher sicherstellt, dass Nutzereinstellungen ab Werk jeweils so (vor)eingestellt sind, dass nur Personendaten bearbeitet werden, die für den Bearbeitungszweck notwendig sind.

Einwilligung: Jede freiwillige, unmissverständliche, für einen konkreten Zweck und nach ausreichender Information aktiv erteilte Zustimmung zur Bearbeitung der sie betreffenden Personendaten durch eine betroffene Person, z.B. durch eine schriftliche oder elektronisch abgegebene Erklärung. Eine Einwilligung kann durch die betroffene Person jederzeit widerrufen werden.

Empfänger: Eine natürliche oder juristische Person oder andere Organisation, der Personendaten offengelegt werden,

Kind: Gemäss DSGVO sind dies natürliche Personen bis zur Vollendung des 16. Lebensjahres. Die Mitgliedstaaten der EU können diese Schwelle jedoch bis zur Vollendung des 13. Lebensjahres senken. Für Kinder gelten unter der DSGVO besondere Vorschriften. In der Schweiz gibt es hierzu keine speziellen Regeln im DSG.

Profiling: Automatisierte Bearbeitung von Personendaten, um persönliche Aspekte einer natürliChen Person zu bewerten, z.B. zur Analyse oder Vorhersage von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel.

Verantwortlicher: Die natürliche oder juristische Person oder andere Organisation, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Bearbeitung von Personendaten entscheidet.