Das neue Bundesgesetz über den Datenschutz
Was ist das revDSG?
revDSG ist die Abkürzung für das neue Bundesgesetz über den Datenschutz, das am 1. September 2023 in Kraft treten wird. Das überarbeitete Datenschutzgesetz der Schweiz (revDSG) soll den aktuellen Rechtsrahmen des Landes auf den neuesten Stand bringen und anderen Rechtsakten wie der DSGVO gleichstellen.
Sobald es in Kraft ist, unterliegen dem Gesetz alle schweizerischen und internationalen Unternehmen, die Schweizer Bürgern Waren und Dienstleistungen anbieten und deren personenbezogenen Daten verarbeiten. Ähnlich wie bei der DSGVO führt das revDSG das Prinzip der Extraterritorialität für seine Anwendbarkeit ein, was bedeutet, dass es auch für Unternehmen außerhalb der Schweiz gilt, wenn sie die personenbezogenen Daten von Schweizer Bürgern verarbeiten.
Das revDSG wird nur für den Schutz personenbezogener Daten gelten, im Gegensatz zum alten DSG, das auch den Schutz der Daten eines Unternehmens umfasste. Es weist viele Ähnlichkeiten mit der DSGVO auf, da die Absicht des Gesetzgebers darin bestand, den schweizerischen Rechtsrahmen zu harmonisieren und ihn der DSGVO anzunähern. Das revDSG ist jedoch in bestimmten Bereichen weniger streng als die DSGVO, z. B. in Bezug auf Sanktionen, die Ernennung eines Datenschutzbeauftragten und die Anforderungen an Datenschutzrichtlinien.
Welche Rechte werden betroffenen Personen im Rahmen des revDSG gewährt?
Unternehmen müssen betroffenen Personen die folgenden Rechte in Bezug auf ihre personenbezogenen Daten einräumen:
1. Das Recht auf Information
2. Das Recht auf Datenportabilität
3. Das Recht auf Löschung
4. Das Recht auf Korrektur
Die Umsetzung des revDSG bei Atlassian
Ähnlich wie die DSGVO sieht das revDSG die Rollen eines Datenverantwortlichen (Controller) und eines Datenverarbeiters (Processor) vor. Atlassian agiert überwiegend als Datenverarbeiter für personenbezogene Daten im Namen unserer Kunden im Zusammenhang mit der Bereitstellung unserer Cloud-Produkte. Weitere Informationen findest du in Abschnitt 2.2 sowie Anlage A, Anhang 1(B) und Teil A des Zusatzes zur Datenverarbeitung.
Rechte betroffener Personen nach dem revDSG
Atlassian informiert seine Benutzer und Kunden in seiner Datenschutzrichtlinie über seine Datenverarbeitungspraktiken, Zwecke und andere relevante Daten.
Darüber hinaus unterstützen unsere Tools Kunden bei der Erfüllung der gesetzmäßigen Verpflichtungen im Rahmen des revDSG in Bezug auf Anfragen von betroffenen Personen. Weiter unten erfährst du mehr über unsere Tools.
1. Zur Unterstützung von Kunden bei ihrem Recht auf Löschung:
- Unternehmensadministratoren von Atlassian können die Löschung von Konten verwalteter Benutzer über Kontrollen in ihrem Administratorportal veranlassen.
- Nicht verwaltete Endbenutzer können die Löschung ihrer personenbezogenen Daten beantragen, indem sie über die Profilseite ihres Atlassian-Kontos eine Löschanfrage stellen.
- Personen, die personenbezogene Daten angegeben oder Atlassian zur Verfügung gestellt haben, aber kein Atlassian-Konto besitzen, können ebenfalls eine Löschanfrage stellen.
2. Zur Unterstützung von Benutzern bei ihrem Zugriffsrecht:
- Unternehmensadministratoren von Atlassian können den Zugriff auf die Daten ihrer verwalteten Benutzer über den Atlassian-Support veranlassen.
- Nicht verwaltete Endbenutzer können den Zugriff auf ihre personenbezogenen Daten beantragen, indem sie über den Atlassian-Support eine Zugriffsanfrage stellen.
- Personen, die personenbezogene Daten angegeben oder Atlassian zur Verfügung gestellt haben, aber kein Atlassian-Konto besitzen, können ebenfalls eine Zugriffsanfrage stellen.
Auswahl und Einwilligung
Auswahlmöglichkeiten und Transparenz bei der Erfassung, Verwendung und Weitergabe von Informationen sind uns wichtig und wir bieten unterschiedliche Optionen für die jeweiligen Produkt- oder Kontoeinstellungen. In unserer Datenschutzrichtlinie werden diese Optionen, ihre Anwendung sowie etwaige relevante Einschränkungen zusammengefasst.
Weitere Informationen zu Datenrechten von Endbenutzern findest du unter: "Verwalte den Schutz deiner persönlicher Daten".
Für Endbenutzer in der Schweiz holen wir für mehr Klarheit und Kontrolle an allen Erfassungsstellen Einwilligungen für Cookies und Marketingbotschaften ein.
Datenschutzvereinbarung
Atlassian hat seine Datenschutzvereinbarung für Kunden aktualisiert, um dem revDSG zu entsprechen. Sie berücksichtigt das schweizerische DSG, wie in der Vereinbarung definiert. Die neueste Version der Datenschutzvereinbarung findest du hier.
Internationale Datenübertragungen
Als Unternehmen mit einem globalen Kundenstamm und Betrieb muss Atlassian in der Lage sein, Daten auf der ganzen Welt zu übertragen und abzurufen. Wir verstehen und respektieren die Regeln für die internationale Übertragung personenbezogener Daten in Länder außerhalb der Schweiz und bieten Kunden im Rahmen unseres Zusatzes zum Datenschutz (DPA) ein robustes Framework für die internationale Datenübertragung. Der DPA stellt sicher, dass unsere Kunden personenbezogene Daten auf rechtmäßige Weise an Atlassian Cloud-Produkte außerhalb der Schweiz übertragen und sich dabei unter Berücksichtigung entsprechender Änderungen nach schweizerischem Recht auf die Standardvertragsklauseln verlassen können.
Ähnlich wie die DSGVO erlaubt das Schweizer Datenschutzrecht internationale Datenübertragungen, sofern die gesetzlichen Anforderungen erfüllt sind. Laut dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) können die neuen EU-Standardmodellklauseln auch verwendet werden, um internationale Datenübertragungen von der Schweiz in Länder ohne angemessenes Datenschutzniveau zu schützen, vorausgesetzt, sie beinhalten die notwendigen Änderungen, um dem schweizerischen Recht Rechnung zu tragen.
Immer wenn wir deine Daten an Unterauftragsverarbeiter von Atlassian weitergeben, übernehmen wir die Verantwortung dafür, wie deine Daten von diesen Unternehmen verwendet werden. Wir unterziehen alle Serviceanbieter einer umfassenden Prüfung und schließen Verträge mit ihnen ab, die sicherstellen, dass die personenbezogenen Daten unserer Kunden ausreichend geschützt sind. Wir werden die entsprechenden Anforderungen ebenso wie alle anderen von europäischen Datenschutzbehörden ausgegebenen Anforderungen auch weiterhin fortlaufend analysieren. In der Zwischenzeit gelten folgende Hinweise:
- In unserer Folgenabschätzung für die Datenübertragung stellen wir wichtige Informationen zu Datenübertragungen bereit.
- Atlassian ermöglicht Kunden, abgedeckte Produktdaten im Ruhezustand einem bestimmten Standort zuzuweisen. Geplante Erweiterungen unseres Datenresidenzprogramms (einschließlich Datenresidenz für Anwendungen und zusätzliche Standorte) findest du in der Cloud-Roadmap von Atlassian.
- Wir verschlüsseln Daten während der Übertragung und im Ruhezustand.
- Wir veröffentlichen jedes Jahr einen Transparenzbericht, in dem Behördenanfragen bezüglich des Zugriffs auf Benutzerdaten, der Entfernung von Inhalten oder der Sperrung von Benutzerkonten festgehalten werden.
- Wir stellen weitere Informationen über unsere Richtlinien und Verfahren zur Reaktion auf Anfragen nach Benutzerdaten bereit. Diese findest du in unseren Richtlinien für die Strafverfolgung.
Weitere Informationen zu unserem Zusatz zum Datenschutz und die Standardvertragsklauseln findest du in unseren Datenschutz-FAQs.
Weitere Informationen dazu, wie wir unter Einhaltung der DSGVO personenbezogene Daten verarbeiten, findest du in unserer Datenschutzrichtlinie.
Besuche unsere Seite Zusatz zum Datenschutz, falls du mehr über die neuesten Entwicklungen (wie z. B. Gesetze zur Datenübertragung) erfahren möchtest.
Weitere Verpflichtungen
Im Folgenden sind weitere Initiativen aufgelistet, die für unsere Cloud-Produkte implementiert wurden:
- Wir sorgen dafür, dass Atlassian-Mitarbeiter, die auf personenbezogene Daten von Atlassian-Kunden zugreifen und diese verarbeiten, im Umgang mit Daten und im Aufrechterhalten der Sicherheit und Vertraulichkeit von Daten geschult sind.
- Wir stellen eine Liste mit Unterauftragsverarbeitern auf unserer Unterauftragsverarbeiter-Seite bereit und bieten ein RSS-Feed-Abonnement, um dich regelmäßig über Änderungen zu informieren.
- Wir haben uns selbst zu Datenfolgenabschätzungen verpflichtet und halten im Bedarfsfall Rücksprache mit den zuständigen Aufsichtsbehörden.
- Wir unterstützen dich, indem wir Sicherheitsverletzungen an Aufsichtsbehörden melden und Kunden und Benutzer umgehend über Verstöße informieren.
- Wir verpflichten uns dazu, die Vorschriften als Datenimporteure gemäß der Standardmodellklauseln einzuhalten.
Unser hilfsbereites Team ist für dich da
Noch Fragen zu unserem Compliance-Programm?
Hat Atlassian Cloud-Zertifizierungen? Kann mir jemand beim Ausfüllen des Fragebogens zu Sicherheit und Risiko helfen? Wo kann ich weitere Informationen herunterladen?
Trust & Security-Community
Tritt der Trust & Security-Gruppe der Atlassian Community bei, erhalte Informationen direkt von unserem Sicherheitsteam und teile Informationen, Tipps und Best Practices für den sicheren und zuverlässigen Einsatz von Atlassian-Produkten.
Atlassian-Support
Wende dich an einen unserer kompetenten Supportmitarbeiter und erhalte Antworten auf deine Fragen.