Das revidierte Datenschutzgesetz ist in Kraft, und alle sind betroffen. Dominic Müller, Director bei Fidinam, fast den Handlungsbedarf für kleine und mittelgrosse Unternehmen zusammen.
Am 1. September 2023 ist in der Schweiz das revidierte Datenschutzgesetz in Kraft getreten. Das Gesetz sieht keine Übergangsfristen vor, es gilt die durch das revidierte Gesetz notwendigen Massnahmen getroffen zu haben. Die Fidinam Gruppe unterstützt seit über 60 Jahren Unternehmen, Unternehmer und Privatpersonen dabei, erfolgreich zu sein.
Wir kennen daher die Bedürfnisse von kleinen und mittelgrossen Unternehmen ausgezeichnet. Der vorliegende Artikel soll als Gedankenstütze dienen und Impulse liefern für Unternehmen, die noch nicht vollständig vorbereitet sind.
Kurz und bündig: nDSG per 1. September 2023
Das Vorgängergesetz des neuen Datenschutzgesetzes war bereits 30 Jahre alt. Unter richtigen Zugzwang gekommen ist die Schweiz in den letzten Jahren insbesondere durch die Aktualisierung der Gesetzesgrundlage in der EU. Durch die Einführung der DSGVO im Jahre 2018 lief die Schweiz nämlich Risiko, von der EU nicht mehr als Staat mit angemessenem Datenschutzniveau betrachtet zu werden.
Die bislang bereits bekannten Grundsätze des schweizerischen Datenschutzgesetzes bleiben prinzipiell unverändert. Anders als in der DSGVO ist in der Schweiz nach wie vor nicht für jede Datenbearbeitung eine explizite Einwilligung notwendig. Datenbearbeitung bleibt zustimmungsfrei erlaubt, solange sie rechtmässig ist, nach Treu und Glauben erfolgt, verhältnismässig und zweckgebunden ist.
Weiter muss die Datenbearbeitung zeitlich beschränkt sein und auf der Basis korrekter Daten erfolgen. Wichtig zu beachten vor diesem Hintergrund sind aber die erweiterten Informationspflichten, auf die wir detailliert eingehen werden.
Die wichtigsten Massnahmen für KMU
Die Vorgehensweise beginnt mit der Auseinandersetzung mit der Datenverarbeitung im Unternehmen. Wir empfehlen daher die Erarbeitung eines Bearbeitungsverzeichnisses als Grundlage für die daraus abzuleitenden Massnahmen:
- Übersicht über die Verarbeitung von Personendaten im Unternehmen
- Erarbeitung von Datenschutzerklärungen
- Übersicht über Datenbekanntgaben an Dritte
- Übersicht über internationale Datentransfers
- Erstellung eines Bearbeitungsverzeichnisses
- Überprüfung und Aktualisierung der technischen und organisatorischen Massnahmen TOM
- Implementierung interner Prozesse für neue DSG-Anforderungen
- Bestimmung einer internen Ansprechperson für Datenschutzthemen
- Für eine umfassende Absicherung gegen die Risiken im Zusammenhang mit dem Datenschutz sind grundsätzlich alle acht Punkte zu berücksichtigen. Für kleinere KMU mit beschränkter Datenbearbeitung und als absolutes Minimalziel stellen wir nachfolgend drei zentrale Themenbereiche vor, wo Massnahmen zu treffen sind.
Drei zentrale Punkte
Unternehmen, die Datenschutz bereits heute verantwortungsvoll umsetzen stehen im Zusammenhang mit dem revidierten Datenschutzgesetz insbesondere drei wichtige Pendenzen an, die überprüft, aktualisiert oder umgesetzt werden müssen.
Es handelt sich hierbei um die Datenschutzerklärung(en), um die Datenbekanntgabe an Dritte (inkl. Auslandsdatenbekanntgabe) und um die technischen und organisatorischen Massnahmen.
1. Die Datenschutzerklärung
Die Informationspflichten von Datenverantwortlichen werden durch das neue Datenschutzgesetz deutlich erweitert. Betroffene Personen müssen über die Datenbearbeitung informiert werden, auch in Fällen wo die Daten nicht direkt bei der betroffenen Person erhoben werden.
Betroffene können unter anderem Kunden, Webseitenbesucher, App-Nutzer, Lieferanten oder auch die eigenen Mitarbeiter sein. Die Datenschutzerklärung auf Ihrer Website muss insbesondere folgende Angaben enthalten (Art. 19 Abs. 2 ff. nDSG):
- Wer ist für die Website verantwortlich und wie kann der Kontakt erfolgen?
- Für welchen Zweck oder für welche Zwecke werden die Personendaten bearbeitet?
- Wer sind allfällige Empfänger:innen der bearbeiteten Personendaten?
- Wie wird ein allfälliger Daten-Export abgesichert?
- Welche Rechte haben die betroffenen Personen im Zusammenhang mit dem Datenschutz?
Es empfiehlt sich, die Datenschutzerklärung möglichst generisch und weit zu fassen, um sämtliche möglichen Datenbearbeitungen heute und in naher Zukunft damit abdecken zu können.
2. Datenbekanntgabe an Dritte und ins Ausland
Wer Dritte in die Bearbeitung von Personendaten einbezieht, muss sich vergewissern, dass dieser in der Lage ist, den Datenschutz so zu gewährleisten, wie wenn er selbst Datenverantwortlicher wäre. Diese Verpflichtung wird mit sogenannten Auftragsdatenbearbeitungsverträgen sichergestellt.
Datenverantwortliche (sprich Controller) sind in der Pflicht, Dritte die Daten für ihn bearbeiten, vertraglich auf angemessenen Datenschutz zu verpflichten. Im Hinblick auf den Datenexport in ein anderes Land bringt das nDSG keine wesentlichen Neuerungen. Datenexport ist also nach wie vor problemlos möglich in Länder, die einen angemessenen Datenschutz sicherstellen können.
Allerdings ist diese Liste kurz. Der Datenexport in Länder ohne angemessenen Schutz muss nach wie vor durch vertragliche Garantien abgesichert werden. Dies gilt auch für konzerninternen Datenaustausch. Die vertragliche Absicherung des Datenexports geschieht durch die Verwendung der Standardvertragsklauseln, welche vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten geprüft und freigegeben wurden.
3. Technische und organisatorische Massnahmen (TOM)
TOM ist ein Sammelbegriff für die Massnahmen, die Sie als Unternehmen ergreifen, um Daten sicher zu erfassen, zu bearbeiten, aufzubewahren, weiterzugeben und zu vernichten. Es müssen in diesem Zusammenhang alle Massnahmen ergriffen werden, deren Umsetzungsaufwand in einem angemessenen Verhältnis zum Schutzzweck stehen.
Fazit: Handlungsbedarf bei fast allen Schweizer Unternehmen
Das revidierte Datenschutzgesetz ist mit den Anforderungen in der Europäischen Union abgestimmt. Wir sehen Handlungsbedarf bei fast allen Schweizer Unternehmen im Hinblick auf die erweiterten Informationspflichten und die Auftragsbearbeitung. Fidinam unterstützt Sie lösungsorientiert und schnell.
- Mehr Informationen zu Fidinam erhalten Sie hier.
Dominic Müller ist bei Fidinam für die Geschäftsentwicklung des Treuhandgeschäftes verantwortlich. Er hat an der Universität Bern Jura studiert und seine gesamte bisherige Karriere in der Beratung und im Outsourcing für nationale und internationale Kunden verbracht. Seine Schwerpunkte liegen in den Bereichen Personalwesen, Lohnbuchhaltung, Datenschutz und Digitalisierung.