Neues Datenschutzgesetz: Was müssen KMUs tun?
26.01.2022
Das neue Datenschutzgesetz verpflichtet Unternehmen dazu, die notwendigen Massnahmen zu ergreifen, um die Sicherheit von Personendaten sicherzustellen und den Datenmissbrauch möglichst zu verhindern. Dabei müssen Unternehmen in einer Datenschutzerklärung darüber informieren, wie sie die personenbezogenen Daten erheben oder verarbeiten. Alle Unternehmen der Schweiz sind vom neuen Datenschutzgesetz betroffen, das voraussichtlich
im Jahr 2023 in Kraft treten wird.
Bl/Sg. Daten haben heute für Private und Unternehmen eine ganz andere Bedeutung als vor einigen Jahren. Das bald 30 Jahre alte geltende Bundesgesetz über den Datenschutz (DSG) wurde daher vom Parlament revidiert. Die Revision ist auch notwendig, damit die Schweiz aus Sicht der Datenschutz-Grundverordnung der Europäischen Union weiterhin als Drittstaat anerkannt wird. Das DSG umfasst neu nur die Daten von natürlichen Personen. Unternehmensbezogene Daten, welche keine Personen betreffen, sind nicht Teil des DSG. Der Datenschutz umfasst auch die Datensicherheit, wie beispielsweise den Schutz vor Cyberangriffen. Das neue DSG schafft für Unternehmen neue Pflichten, insbesondere bei der Erhebung, dem Verlust und dem Missbrauch von Personendaten.
Alle Unternehmen sind von den Änderungen betroffen
Das neue Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen in der Schweiz, deren Daten durch Private oder den Staat bearbeitet werden. Daher sind alle Unternehmen in der Schweiz vom DSG betroffen, sofern diese Personendaten bearbeiten. Die Personendaten können Arbeitnehmer wie auch Kunden, Partner und Lieferanten betreffen. Besonders vom neuen Gesetz betroffen sind Unternehmen, die eine grosse Menge an Personendaten bearbeiten (Online-Verkäufe und Dienstleistungen, Import/Export, grosser Kundenstamm) oder Unternehmen, die besonders schützenswerte Personendaten* bearbeiten. Allen Unternehmen, die vom neuen Gesetz besonders betroffen sind, wird empfohlen, die Dienste von Experten (IT, Recht, Treuhand) aus dem Bereich Datenschutz in Anspruch zu nehmen. Das Thema Datenschutz kann jedoch nicht ausgelagert werden. Mit der Digitalisierung wird die Menge, der zu verarbeitenden Daten in allen Unternehmen weiter zunehmen. Alle Betriebe werden sich entsprechend mit diesem Thema künftig stärker auseinandersetzen müssen. Am besten wird eine dafür verantwortliche Person im Betrieb bestimmt, welche auch eine Schulung in diesem Bereich absolviert.
Warum ist es wichtig, sich bereits jetzt vorzubereiten?
Ein Grossteil der im Gesetz festgelegten Pflichten gelten mit Inkrafttreten des neuen DSG per sofort (voraussichtlich im Jahr 2023). Für kleinere Unternehmen (weniger als 250 Mitarbeitende) wird es gewisse Erleichterungen geben. Die Details sind noch nicht bekannt und werden in der Verordnung geregelt. Die neuen Vorgaben können von KMU’s schlank umgesetzt werden. Der BGV empfiehlt seinen Mitgliedern sich vor allem auf 1. die Datenschutzerklärung, 2. die Prüfung von möglichen Anpassungen an Verträgen mit Lieferanten und Partnern und 3. das Verzeichnis der Bearbeitungstätigkeiten zu fokussieren, ausser das Unternehmen bearbeitet besonders schützenswerte Personendaten*. Da sich die Sanktionen in der Schweiz direkt gegen die verantwortliche Person im Betrieb und nicht gegen das Unternehmen richtet, ist es im Interesse des Unternehmens selber die Verantwortlichkeiten und Prozesse im Bereich Datenschutz verbindlich festzulegen.
*Besonders schützenswerte Personendaten sind Daten über: 1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, 2. die Gesundheit (auch genetische und biometrische Daten), die Intimsphäre oder die Rassenzugehörigkeit, 3. Massnahmen der sozialen Hilfe, 4. administrative oder strafrechtliche Verfolgungen und Sanktionen.
Die wichtigsten Punkte für die korrekte Umsetzung
Mit dem neuen DSG müssen Personen über die Beschaffung und Bearbeitung ihrer Daten informiert werden. Die betroffenen Personen haben zudem Anspruch auf jede Information zu ihren persönlichen Daten bei den Unternehmen. Um diese gesetzliche Pflicht einzuhalten, sind folgende Punkte zu beachten:
1. Das Unternehmen muss sich so organisieren, dass klar ist, wer Zugriff auf welche Personendaten hat und dies auch dokumentieren.
2. Der Zugriff auf Personendaten, insbesondere auf sensible und schützenswerte Daten sind auf das Nötigste zu beschränken.
3. Das Unternehmen muss die notwendigen organisatorischen und technischen Massnahmen ergreifen, um die Datensicherheit sicherzustellen und den Datenmissbrauch möglichst zu verhindern.
4. Das Vorgehen und die Zuständigkeiten im Falle von Datenschutzverletzungen sind festzulegen und zu dokumentieren. Dafür soll ein Verzeichnis der Bearbeitungstätigkeiten erstellt werden.
5. In der Datenschutzerklärung wird der Umgang mit Personendaten im Unternehmen erläutert. Bestehende Datenschutzerklärungen sollten geprüft und angepasst werden. Falls noch keine Datenschutzerklärung vorliegt, sollte eine solche bis zum Inkrafttreten des DSG aufgesetzt werden.
6. Die Verträge mit Auftragsbearbeitern (Lieferanten und Partner) sind zu überprüfen und allenfalls anzupassen, wenn diese Personendaten erhalten oder bearbeiten.
7. Das Unternehmen ist verpflichtet, bereits bei der Planung zur Einführung von neuen digitalen Instrumenten (wie Kundendatenbank oder E-Shop), den Datenschutz zu berücksichtigen und die angemessenen Schutzmassnahmen* frühzeitig zu treffen.
8. Eine Datenschutz-Folgenabschätzung ist vorzunehmen, wenn eine Datenbearbeitung (wie Gesundheitsdaten) ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann. Findet eine Datenschutzverletzung (Daten werden entwendet) solcher sensiblen Daten statt, muss diese dem Bund (EDÖB) gemeldet werden.
9. In der Schweiz muss inüber die Verwendung der Personendaten nur informiert werden (z. B. auf der Webseite) und es muss keine Einwilligung eingeholt werden. Ein Einwilligung muss nur bei der nicht zweckgebundenen Datenhaltung vorliegen (z. B. Massenmail an unbekannte Personen, welche keinen Bezug zum Betrieb haben).
Für weitere Informationen und Unterstützung wenden sich die KMUs an ihre Treuhänder. Der BGV steht seinen Mitgliedern für Auskünfte zur Umsetzung des neuen Datenschutzgesetzes zur Verfügung.
* Die Grundsätze Privacy by Design (Datenschutz durch Technik) und Privacy by Defaut (Datenschutz durch datenschutzfreundliche Voreinstellungen) müssen dabei berücksichtigt werden.