Datenschutzrichtlinie
I. Allgemeines
1. Einleitung
- 1.1. Die im Unternehmen vorhandenen Datensind für das Unternehmen von grossem Wert. Diese Daten sind daher gegen unbefugte Zugriffe und andere Gefährdungen zu schützen.
1.2 Die Kunden, Partner und Mitarbeiter des Unternehmens erwarten, dass die dem Unternehmen anvertrauten Daten besonders geschützt werden und ein sorgsamer Umgang mit ihnen erfolgt.
1.3 [Bei Fragen zum Thema Datenschutz oder zum Umgang mit Personendaten kann der Datenschutzbeauftragte [Thöny Mode, info@thoenymode-davos.ch/sub, 081 413 33 63] kontaktiert werden.]
1.4 […]
2. Ziel der Datenschutzrichtlinie
2.1 Mit dieser Datenschutzrichtlinie sollen einheitliche Standards für den Datenschutz im Unternehmen geschaffen werden.
2.2 Durch die Einhaltung der in dieser Datenschutzrichtlinie definierten Standards kommt das Unternehmen seinen datenschutzrechtlichen Verpflichtungen nach und sorgt für eine ausreichende Berücksichtigung der Interessen sowie Rechte der betroffenen Personen.
2.3 Die Beachtung dieser Datenschutzrichtlinie ist Voraussetzung für den sicheren Austausch von Personendaten innerhalb des Unternehmens und mit Dritten.
2.4 […]
3. Anwendungsbereich der Datenschutzrichtlinie
3.1 Diese Datenschutzrichtlinie gilt für jegliche Bearbeitung von Personendaten, wobei insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten erfasst werden. Sie findet Anwendung auf sämtliche Arten von Personendaten, insbesondere Daten von Mitarbeitern, Kunden, Lieferanten und anderen Geschäftspartnern.
3.2 Die Datenschutzrichtlinie beschreibt, konkretisiert bzw. ergänzt dabei auch gesetzliche Vorgaben, namentlich solche aus dem Schweizer Datenschutzgesetz (DSG).
3.3 […]
4. Definitionen
4.1 Personendaten im Sinne dieser Unternehmensrichtlinie sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
4.2 Betroffene Personen sind diejenigen natürlichen Personen, über die Personendaten bearbeitet werden.
4.3 Verantwortlicher ist eine private Person, die allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet.
4.4 Auftragsbearbeiter ist ein Dritter, der im Auftrag des Verantwortlichen Personendaten bearbeitet.
[…]
II. Grundregeln der Datenbearbeitung
5. Rechtmässigkeit
5.1 Personendaten müssen rechtmässig bearbeitet werden. Die Bearbeitung gilt nur als rechtmässig, wenn sie durch (a) Einwilligung der betroffenen Person, durch (b) ein überwiegendes privates oder öffentliches Interesse oder durch (c) Gesetz gerechtfertigt ist.
6. Transparenz
6.1 Die Bearbeitung der Daten muss grundsätzlich so erfolgen, dass sie der betroffenen Person bekannt ist.
7. Verhältnismässigkeit
7.1 Bei der Bearbeitung von Personendaten ist der Grundsatz der Verhältnismässigkeit zu beachten. Gemäss diesem Grundsatz dürfen nur solche Daten erhoben werden, die für den entsprechenden Zweck notwendig und geeignet sind.
7.2 Weiter dürfen Personendaten nur so lange gespeichert werden, wie dies für den Zweck notwendig ist (vgl. hiernach).
8. Zweckbindung
8.1 Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.
8.2 Werden die Personendaten zum Zweck der Bearbeitung nicht mehr benötigt, müssen diese vernichtet oder anonymisiert werden.
9. Richtigkeit
9.1 Alle Mitarbeiter haben darauf zu achten, dass Personendaten richtig sind und auf dem neuesten Stand gehalten werden.
9.2 Es müssen alle angemessenen Massnahmen getroffen werden, um unzutreffende oder unvollständige Daten zu berichtigen oder zu vernichten.
10. Datensicherheit
10.1 Für das Unternehmen ist von grosser Bedeutung, dass die Sicherheit der Daten jederzeit gewährleistet ist. Vor diesem Hintergrund sind die Personendaten durch technische und organisatorische Massnahmen u.a. gegen Verlust, gegen unbefugten Zugriff und vor anderen Gefahren zu schützen.
10.2 Für die einzelnen Vorgänge der Datenbearbeitung sind die konkreten Schutzmassnahmen zu dokumentieren und auf ihre Angemessenheit zu überprüfen.
10.3 Die IT-Abteilung kann weitergehende Vorgaben im Interesse der Datensicherheit erlassen, insbesondere in Bezug auf die Nutzung von IT-Systemen im Unternehmen.
11. Einwilligung und Widerspruch
11.1 Eine Einwilligung der betroffenen Person zur Datenbearbeitung durch ein Unternehmen ist grundsätzlich nicht erforderlich, auch nicht bei besonders schützenswerten Personendaten.
11.2 Widerspricht die betroffene Person hingegen einer Datenbearbeitung ausdrücklich, ist diese nur gerechtfertigt, wenn überwiegende Interessen des Verantwortlichen oder eine gesetzliche Grundlage vorliegen.
12. Informationspflicht
12.1 Betroffene Personen müssen möglichst vorgängig informiert werden, zu welchem Zweck Personendaten über sie erhoben und bearbeitet werden. Werden die Daten nicht direkt bei der betroffenen Person beschafft, wird diese innert eines Monats nach Erhalt der Daten informiert.
12.2 Macht die betroffene Person ihre Personendaten dem Verantwortlichen von sich aus zugänglich, gilt diese als informiert.
12.3 Wenn sich der Zweck der Datenbearbeitung ändert, müssen bereits informierte Personen erneut informiert werden.
13. Auftragsbearbeitung
13.1 Wenn Dienstleister des Unternehmens in dessen Auftrag Personendaten verarbeiten (sog. Auftragsbearbeiter), ist zu beachten, dass die gleichen Sorgfaltsanforderungen wie beim verantwortlichen Unternehmen auch für den Auftragsbearbeiter gelten. Insbesondere sind die Zweckbindung und Datensicherheit vertraglich sicherzustellen.
14. Übermittlung von Personendaten ins Ausland
14.1 Die Übermittlung von Personendaten ins Ausland ist nur in Staaten zulässig, in denen durch den Bundesrat ein ähnlich hohes Datenschutzniveau festgestellt wurde, wie in der Schweiz. Eine Einhaltung des Schweizer Datenschutzstandards kann zudem unter anderem durch den Abschluss zusätzlicher vertraglicher Vereinbarungen erreicht werden.
IV. Innerbetriebliche Prozesse
15. Anforderungen an Mitarbeiter
15.1 Alle Mitarbeiter des Unternehmens sind dem Datenschutz verpflichtet. Sie werden namentlich darüber informiert, dass es untersagt ist, Personendaten für private Zwecke zu nutzen, an Unbefugte zu übermitteln oder sie Unbefugten zugänglich zu machen. Die Pflicht zur Wahrung der Vertraulichkeit gilt über das Ende der Anstellung hinaus.
15.2 Auch innerhalb des Unternehmens ist darauf zu achten, dass nur die Mitarbeiter Zugriff auf Personendaten erhalten, die sie zur Erledigung ihrer Aufgaben für das Unternehmen benötigen.
15.3 Alle Mitarbeiter sollen zu Beginn ihrer Anstellung und nachfolgend regelmässig in Datenschutzthemen geschult und sensibilisiert werden.
16. Verzeichnis der Bearbeitungstätigkeiten
16.1 Das Unternehmen führt ein Verzeichnis der Bearbeitungstätigkeiten im Zusammenhang mit Personendaten. Darin müssen festgehalten werden: Identität des Verantwortlichen bzw. des Auftragsbearbeiters, Bearbeitungszweck, Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten, Kategorien der Empfängerinnen und Empfänger, Aufbewahrungsdauer oder Kriterien zu deren Festlegung, wenn möglich Beschreibung der Massnahmen zur Datensicherheit sowie allfällige Zielstaaten, sollten die Daten ins Ausland gehen. Das Verzeichnis sollte stets aktuell sein und einen Überblick über die datenschutzrelevanten Aktivitäten im Unternehmen verschaffen.
17. Datenschutz durch Technik, datenschutzfreundliche Voreinstellungen sowie Datenschutz-Folgeabschätzung
17.1 Zur Bearbeitung von Personendaten genutzte Systeme sind von Anfang an so zu gestalten, dass der Datenschutz eingehalten werden kann. Die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein (Privacy by Design).
17.2 Die Verantwortlichen haben die Standardeinstellung am Gerät bzw. an der Software so zu wählen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt. Dies betrifft bspw. den Akzept von Cookies auf der Website.
17.3 Namentlich wenn eine geplante Datenschutzbearbeitung ein hohes Risiko für die Persönlichkeit und die Grundrechte betroffener Personen birgt, ist eine Datenschutz-Folgeabschätzung (DSFA) vorzunehmen und zu dokumentieren.
17.4 […]
V. Rechte der betroffenen Personen
18. Auskunftsrecht
18.1 Auf Anfrage ist einer betroffenen Person mitzuteilen, ob von dem Unternehmen Personendaten über sie bearbeitet werden. Sofern dies der Fall ist, hat die betroffene Person einen Anspruch auf Auskunft über die entsprechenden Personendaten. Beim Auskunftsrecht geht es darum, in Erfahrung zu bringen, ob Personendaten bearbeitet werden und wenn ja, welche, sodass die betroffene Person ihre weiteren Rechte geltend machen kann. Dazu gehören neben den bearbeiteten Personendaten als solche Angaben zur Identität des Verantwortlichen, zum Bearbeitungszweck, zur Aufbewahrungsdauer, zur Datenherkunft und gegebenenfalls Informationen über automatisierte Einzelentscheide und die Empfänger (auch als Kategorien).
18.2 Bei der Auskunftserteilung ist sicherzustellen, dass die Identität der betroffenen Person verifiziert wird. Weiter ist zu beachten, dass im Rahmen der Auskunftserteilung keine Personendaten Dritter offenbart werden. Die Auskunft ist in der Regel kostenlos und innert 30 Tagen zu erteilen.
19. Datenportabilität / Recht auf Datenherausgabe und Datenübertragung
19.1 Betroffene Personen können ihre Daten, die sie dem Unternehmen bekannt gegeben haben, in einem gängigen elektronischen Format herausverlangen, wenn die Daten automatisiert bearbeitet werden und die betroffene Person zur Bearbeitung eingewilligt hat oder die Bearbeitung im Rahmen eines entsprechenden Vertrags erfolgt.
20. Recht auf Berichtigung
20.1 Eine betroffene Person kann nach Art. 32 Abs. 1 DSG verlangen, dass unrichtige Personendaten berichtigt werden.
21. Recht auf Datenlöschung
21.1 Wenn Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden und keine gesetzliche Grundlage und kein überwiegendes privates Interesse Dritter besteht, kann die betroffene Person die Löschung ihrer Personendaten verlangen.
[…]
VI. Zuständigkeit
22. Verantwortung
22.1 In erster Linie sind diejenigen Mitarbeiter für die Einhaltung der Vorgaben dieser Datenschutzrichtlinie verantwortlich, die jeweils mit der Datenbearbeitung betraut sind.
22.2 Alle Mitarbeiter des Unternehmens haben auf die Einhaltung dieser Datenschutzrichtlinie zu achten und auf diese Weise dazu beizutragen, dass in dem gesamten Unternehmen einheitlich hohe Datenschutzstandards etabliert werden.
22.3 Werden gesetzliche datenschutzrechtliche Pflichten verletzt, drohen den Fehlbaren strafrechtliche (Busse bis CHF 250’000.-) und dem Unternehmen zivilrechtliche (bis hin zu Schadenersatz) Konsequenzen sowie Reputationsschäden. Strafrechtlich verantwortlich ist in erster Linie die natürliche Person, d.h. der vorsätzlich fehlbare Mitarbeiter. Datenschutzverletzungen können auch unternehmensinterne disziplinarische Konsequenzen haben.
22.4 […]
23. Meldung von Verstössen und Zusammenarbeit mit Aufsichtsbehörden
23.1 Die Mitarbeiter haben dem Vorgesetzten bzw. dem Datenschutzbeauftragten unverzüglich Bericht zu erstatten, wenn sie Kenntnis von einem Verstoss gegen diese Datenschutzrichtlinie oder gesetzliche Bestimmungen haben, die sich auf den Schutz personenbezogener Daten beziehen.
23.2 Verletzungen der Datensicherheit (z.B. Offenlegung für Unbefugte, Datenverlust, Cyberangriff etc.), die für die Betroffenen zu einem hohen Risiko für ihre Persönlichkeit oder ihre Grundrechte führen, müssen vom Unternehmen dem EDÖB «so rasch als möglich», also zeitnah, gemeldet werden.
23.3 […]
VII. Weitere Bestimmungen
24. Publizität
24.1 Diese Unternehmensrichtlinie ist allen Mitarbeitern des Unternehmens in geeigneter Weise zugänglich zu machen, [insbesondere über das Intranet].
24.2 Eine allgemeine Veröffentlichung dieser Datenschutzrichtlinie ist nicht vorgesehen.
25. Änderungen
25.1 Das Unternehmen behält sich das Recht vor, diese Datenschutzrichtlinie bei Bedarf zu ändern. Eine Änderung kann insbesondere erforderlich werden, um gesetzlichen Vorgaben, Forderungen der Aufsichtsbehörden oder unternehmensinternen Verfahren zu entsprechen.
25.2 In regelmässigen Abständen soll auch geprüft werden, inwieweit technologische Veränderungen eine Anpassung dieser Unternehmensrichtlinie erforderlich machen.
26. […]
Privacy Policy
I. General
1. Introduction
- 1.1. The data held by the company is of great value to the company. Therefore, these data must be protected against unauthorized access and other threats.
1.2 Customers, partners, and employees of the company expect that the data entrusted to the company is treated with particular care and is protected.
1.3 [For questions regarding data protection or the handling of personal data, the Data Protection Officer [Thöny Mode, info@thoenymode-davos.ch/sub, 081 413 33 63] can be contacted.]
1.4 […]
2. Purpose of the Data Protection Policy
2.1 This Data Protection Policy aims to establish uniform standards for data protection within the company.
2.2 By complying with the standards defined in this Data Protection Policy, the company fulfills its legal obligations regarding data protection and ensures the adequate consideration of the interests and rights of the individuals concerned.
2.3 Adherence to this Data Protection Policy is a prerequisite for the secure exchange of personal data within the company and with third parties.
2.4 […]
3. Scope of the Data Protection Policy
3.1 This Data Protection Policy applies to any processing of personal data, including but not limited to the collection, storage, retention, use, alteration, disclosure, archiving, deletion, or destruction of data. It applies to all types of personal data, particularly data related to employees, customers, suppliers, and other business partners.
3.2 The Data Protection Policy describes, specifies, or supplements legal requirements, including those outlined in the Swiss Federal Data Protection Act (DSG).
3.3 […]
4. Definitions
4.1 Personal data, as defined in this corporate policy, includes all information relating to a specific or identifiable natural person.
4.2 Data subjects are the natural persons whose personal data is processed.
4.3 Data controller is an individual, whether alone or jointly with others, who determines the purpose and means of processing.
4.4 Data processor is a third party who processes personal data on behalf of the data controller.
[…]
II. Fundamental Data Processing Principles
5. Legitimacy
5.1 Personal data must be processed lawfully. Processing is considered lawful only when it is justified by (a) the consent of the data subject, (b) a predominant private or public interest, or (c) the law.
6. Transparency
6.1 Data processing must generally be conducted in a manner that is known to the data subject.
7. Proportionality
7.1 When processing personal data, the principle of proportionality must be observed. According to this principle, only data that are necessary and suitable for the respective purpose may be collected.
7.2 When processing personal data, the principle of proportionality must be observed. According to this principle, only data that are necessary and suitable for the respective purpose may be collected.
8. Purpose Limitation
8.1 Personal data may only be collected for a specific purpose that is identifiable to the data subject; they may only be processed in a manner compatible with this purpose.
8.2 When personal data are no longer needed for the processing purpose, they must be destroyed or anonymized.
9. Accuracy
9.1 All employees must ensure that personal data are accurate and kept up to date.
9.2 All reasonable measures must be taken to correct or destroy inaccurate or incomplete data.
10. Data Security
10.1 Ensuring data security at all times is of great importance to the company. In this context, personal data must be protected against loss, unauthorized access, and other threats through technical and organizational measures, among others.
10.2 Specific protective measures for individual data processing operations must be documented and assessed for adequacy.
10.3 The IT department may issue additional guidelines in the interest of data security, especially regarding the use of IT systems within the company.
11. Consent and Objection
11.1 Consent from the data subject for data processing by a company is generally not required, even for particularly sensitive personal data.
11.2 However, if the data subject explicitly objects to data processing, it is only justified if there are overriding interests of the data controller or a legal basis.
12. Duty to Inform
12.1 Data subjects must be informed, preferably in advance, of the purpose for which their personal data will be collected and processed. If the data is not obtained directly from the data subject, they will be informed within one month of receiving the data.
12.2 If the data subject voluntarily provides their personal data to the data controller, they are considered informed.
12.3 If the purpose of data processing changes, individuals who have already been informed must be informed again.
13. Data Processing by Third Parties
13.1 When service providers of the company process personal data on behalf of the company (so-called data processors), it should be noted that the same due diligence requirements applicable to the responsible company also apply to the data processor. Specifically, contractual agreements must ensure purpose limitation and data security.
14. Transfer of Personal Data Abroad
14.1 The transfer of personal data abroad is only permissible to countries where the Federal Council has determined a similar high level of data protection as in Switzerland. Compliance with Swiss data protection standards can also be achieved, among other things, through additional contractual agreements.
IV. Internal Processes
15. Requirements for Employees
15.1 All employees of the company are committed to data protection. They are explicitly informed that it is prohibited to use personal data for private purposes, disclose it to unauthorized persons, or make it accessible to unauthorized individuals. The duty to maintain confidentiality extends beyond the termination of employment.
15.2 Within the company, care must be taken to ensure that only employees who require access to personal data for their tasks within the company are granted such access.
15.3 All employees should receive training and awareness programs on data protection topics at the beginning of their employment and regularly thereafter.
16. Register of Processing Activities
16.1 The company maintains a register of processing activities related to personal data. This register must include the following information: the identity of the data controller or data processor, the purpose of processing, a description of the categories of data subjects and the categories of personal data processed, categories of recipients, retention periods or criteria for determining them, if possible, a description of data security measures, and any destination countries if data is transferred abroad. The register should always be up-to-date and provide an overview of data protection-related activities within the company.
17. Data Protection by Design and by Default, as well as Data Protection Impact Assessment
17.1 Systems used for processing personal data must be designed from the outset to ensure data protection. The technical and organizational measures must be appropriate to the state of the art, the nature and scope of data processing, and the risks that data processing poses to the personality or fundamental rights of data subjects (Privacy by Design).
17.2 Data controllers must configure device or software settings as the default option to limit the processing of personal data to the minimum necessary for the intended purpose, unless the data subject specifies otherwise. This applies, for example, to cookie acceptance on websites.
17.3 Especially when a planned data processing poses a high risk to the personality and fundamental rights of data subjects, a Data Protection Impact Assessment (DPIA) must be conducted and documented.
17.4 […]
V. Rights of Data Subjects
18. Right to Information
18.1 Upon request, a data subject must be informed whether the company processes personal data about them. If so, the data subject has the right to information about the specific personal data being processed. The right to information is aimed at determining whether personal data is being processed and, if so, which data, so that the data subject can exercise their further rights. This includes, in addition to the processed personal data itself, information about the identity of the data controller, the purpose of processing, retention periods, data source, and, if applicable, information about automated individual decisions and recipients (also by category).
18.2 When providing information, it must be ensured that the identity of the data subject is verified. It should also be noted that no personal data of third parties should be disclosed as part of the information provision. Information is generally provided free of charge and within 30 days.
19. Data Portability / Right to Data Disclosure and Data Transfer
19.1 Data subjects can request their data, which they have provided to the company, in a commonly used electronic format if the data is processed automatically, and the data subject has consented to processing or processing is carried out under an applicable contract.
20. Right to Rectification
20.1 A data subject can request the correction of incorrect personal data in accordance with Art. 32 para. 1 of the Swiss Federal Data Protection Act (DSG).
21. Right to Erasure
21.1 If personal data is processed contrary to the explicit declaration of will of the data subject and there is no legal basis or overriding private interest of third parties, the data subject can request the deletion of their personal data.
[…]
VI. Responsibility
22. Accountability
22.1 Primarily, those employees responsible for data processing are responsible for complying with the provisions of this data protection policy.
22.2 All employees of the company must ensure compliance with this data protection policy and contribute to establishing consistently high data protection standards throughout the organization.
22.3 Violating legal data protection obligations may result in criminal penalties (fines of up to CHF 250,000.-) for the individuals at fault and civil consequences (including compensation) for the company, as well as damage to its reputation. In criminal matters, primary responsibility lies with the natural person, i.e., the employee intentionally at fault. Data protection violations can also have internal disciplinary consequences for the company.
22.4 […]
23. Reporting Violations and Cooperation with Supervisory Authorities
23.1 Employees must promptly report any violations of this data protection policy or legal provisions related to the protection of personal data to their supervisor or the Data Protection Officer.
23.2 Data security breaches (e.g., unauthorized disclosure, data loss, cyberattacks, etc.) that pose a high risk to the personality or fundamental rights of data subjects must be reported to the Federal Data Protection and Information Commissioner (FDPIC) “as soon as possible,” meaning promptly.
23.3 […]
VII. Additional Provisions
24. Publication
24.1 This corporate policy should be made readily accessible to all employees of the company, [particularly through the intranet].
24.2 General publication of this data protection policy is not envisaged.
25. Changes
25.1 The company reserves the right to amend this data protection policy as needed. Amendments may be necessary to comply with legal requirements, regulatory demands, or internal company procedures.
25.2 Periodically, an evaluation should be conducted to determine whether technological changes necessitate adjustments to this corporate policy.
26. […]