I. Einleitung
1 Vorliegende Empfehlungen beziehen sich auf einzelne ausgewählte Fragestellungen be-züglich des am 01. September 2023 in Kraft getretenen schweizerischen Datenschutz-rechts.
2 Von Coiffure Suisse wird eine Datenschutzerklärung zur Verfügung gestellt, welche von den Coiffeur-Unternehmen verwendet und je nach Bedarf angepasst werden kann. Für die Verwendung der Datenschutzerklärung empfiehlt Coiffure Suisse, dass diese
1. auf der Webseite von Coiffeure-Unternehmen aufgeschaltet ist und insbesondere, soweit Aktivitäten über die Webseite durchgeführt werden, mithin beispielsweise Termine online vereinbart oder Produkte online erworben werden, per Mausklick zu bestätigen ist, dass die Datenschutzerklärung gelesen und verstanden wurde, oder aber,
2. bei Fehlen einer Webseite, die Datenschutzerklärung im Coiffeur-Salon gut sichtbar aufliegt und die Kunden auf diese aufmerksam gemacht werden.
3 Aus Gründen der besseren Lesbarkeit wird in vorliegenden Empfehlungen ausschliess-lich das generische Maskulinum verwendet. Weibliche und anderweitige Geschlechteri-dentitäten werden hiervon ausdrücklich mitumfasst.
II. Bearbeitung datenschutzrechtlich geschützter Personendaten
4 Der gesetzliche Datenschutz umfasst Personendaten, mithin sämtliche Daten, welche sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Ein Teil hiervon wird von der geltenden Rechtsordnung als besonders schützenswert erachtet und un-tersteht besonderen Regelungen. Die besonders schützenswerten Personendaten um-fassen Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansich-ten oder Tätigkeiten, Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten, biometrische Daten, mithin Daten, wel-che eine natürliche Person eindeutig identifizieren, Daten über verwaltungs- und straf-rechtliche Verfolgungen oder Sanktionen sowie Daten über Massnahmen der sozialen Hilfe.
5 Bezüglich Coiffeur-Unternehmen sind diejenigen Personendaten vom Datenschutz er-fasst, von welchen in Ausübung des Berufes, welcher die Kenntnis solcher Daten erfor-dert, Kenntnis erlangt wurde.
6 Die Bearbeitung umfasst jeglichen Umgang mit Personendaten, insbesondere deren Be-schaffung, Bearbeitung im engeren Sinne sowie deren Aufbewahrung.
3
III. Pflicht zur Information über die Datenbearbeitung
7 Die Person, deren Daten bearbeitet werden, ist grundsätzlich mindestens zu informieren über:
• die Identität und die Kontaktdaten der verantwortlichen Person, mithin derjenigen Person, welche die Daten bearbeitet,
• den Bearbeitungszweck sowie
• gegebenenfalls die Empfänger oder Kategorien hiervon, denen die Personendaten bekannt gegeben werden.
8 Hingegen bedarf es insbesondere keiner Information bei bereits bestehenden Kunden.
9 Weitergehende Informationspflichten bestehen bei der Bekanntgabe von Personendaten ins Ausland.
IV. Einwilligung
10 Personen, deren Daten bearbeitet werden, haben hierin grundsätzlich einzuwilligen. Die Einwilligung kann eine ausdrückliche sein, sich aus den Umständen ergeben oder aber eine mutmassliche sein. Einzig bezüglich der Bearbeitung besonders schützenswerter Personendaten muss die Einwilligung eine ausdrückliche sein. Bei minderjährigen Kin-dern hat die Erteilung der Einwilligung grundsätzlich durch deren gesetzliche Vertreter zu erfolgen. Die Schriftlichkeit der Einwilligung ist hingegen nicht verlangt.
11 Soweit eine Person der Datenbearbeitung widerspricht, ist dieser Widerspruch mit Wir-kung für die Zukunft zu beachten. Die weitere Datenbearbeitung ist zu unterlassen und die fortgesetzte Datenbearbeitung ist einzustellen.
V. Datenbearbeitung durch Auftragsbearbeiter
12 Wird die Datenbearbeitung einer Drittperson übertragen (Auftragsbearbeiter), so hat die verantwortliche Person vertraglich sicherzustellen, dass der Auftragsbearbeiter nament-lich in der Lage ist, die Zweckbindung und Datensicherheit zu gewährleisten.
VI. Aufbewahrung von Personendaten
13 Die Dauer, während dieser Personendaten aufbewahrt werden müssen, wird daten-schutzrechtlich nicht definiert. Die Bearbeitung der Personendaten hat jedoch dem
4
Grundsatz der Verhältnismässigkeit zu genügen, mithin dürfen Daten nur so lange ge-speichert werden, wie dies zur Erreichung des Zwecks, für den sie bearbeitet werden, notwendig ist. Hierzu gehört auch, dass beispielsweise im Rahmen einer Rechtsstreitig-keit Beweise erbracht werden können. Die Notwendigkeit hierzu entfällt erst nach Ablauf der jeweils anwendbaren Verjährungsfristen. Als Faustregel kann von einer Verjährungs-frist von 10 Jahren ausgegangen werden. Im konkreten Einzelfall kann indes eine kür-zere oder längere Verjährungsfrist zur Anwendung kommen. 14 Daneben stellt die Rechtsordnung ausserhalb des Datenschutzrechts besondere Aufbe-wahrungsfristen auf. So beispielsweise eine Frist von 5 Jahren nach Mehrwertsteuerge-setz oder eine Frist von 10 Jahren, wenn ein Coiffeur-Unternehmen der Pflicht zur Buch-führung und Rechnungslegung nach Obligationenrecht unterliegt.
VII. Meldepflicht von Datensicherheitsverletzungen
15 Jede Person, welche datenschutzrechtlich geschützte Personendaten bearbeitet, ge-währleistet durch geeignete technische und organisatorische Massnahmen eine dem Ri-siko angemessene Datensicherheit.
16 Bei einer Verletzung der Datensicherheit, welche voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte derjenigen Person führt, um deren Daten es sich handelt, ist so rasch als möglich dem Eidgenössischen Datenschutz- und Öffent-lichkeitsbeauftragen (EDÖB) mindestens von der Art der Verletzung der Datensicherheit, deren Folgen und der ergriffenen oder vorgesehenen Massnahmen Meldung zu ma-chen. In gewissen Fällen ist überdies diejenige Person zu informieren, um deren Daten es sich handelt.
17 Tritt die Verletzung der Datensicherheit beim Auftragsbearbeiter ein, hat dieser so rasch als möglich der verantwortlichen Person hiervon Mitteilung zu machen, sodass diese wiederum dem EDÖB Meldung erstatten kann.
VIII. Disclaimer
18 Vorliegende Empfehlungen sind ausschliesslich für informative Zwecke und weder eine vollständige Checkliste noch können sie eine Rechtsberatung ersetzen. Coiffure Suisse lehnt jede Haftung ab, die sich im Zusammenhang mit der Anwendung oder Unterlas-sung einer Handlung durch vorliegende Empfehlungen ergeben kann. Zudem wird emp-fohlen, gegebenenfalls fachkundige Unterstützung in Anspruch zu nehmen.
***