Das neue Datenschutzgesetz der Schweiz: Das müssen KMUs wissen
Datenschutz in der Schweiz
Im Jahr 1992 trat in der Schweiz das Datenschutzgesetz in Kraft. In den fast 30 Jahren hat sich das Sammeln und Nutzen der Daten stark verändert. Deshalb tritt am 1. September 2023 das neue Datenschutzgesetz (nDGS) in Kraft, dass den Umgang mit Daten und deren Schutz zeitgemäss regeln soll. Mit diesem Schritt reagiert die Schweiz auf die Anpassung des Datenschutzgesetzes der EU. Betroffen vom neuen Gesetz sind alle Unternehmen mit Sitz in der Schweiz und ausländische Unternehmen, die in der Schweiz tätig sind oder in der Schweiz Daten bearbeiten.
Wir stellen Dir die wichtigsten Änderungen im Datenschutzgesetz vor und erklären Dir, welche Pflichten Dein Unternehmen erfüllen muss. Auch zeigen wir Dir, wie Du am besten vorgehst, um die neuen Regeln in Deinem KMU umzusetzen.
Die wichtigsten Anpassungen im revidierten Datenschutzgesetz
- Das revidierte Datenschutzgesetz schützt nur noch natürliche Personen. Auf den Schutz von juristischen Personen wird verzichtet.
- Betroffene Personen müssen angemessen informiert werden, wenn ein Unternehmen ihre Daten sammelt und verwendet. Das ist auch der Fall, wenn ein Unternehmen die Daten nicht von den betroffenen Personen selbst beschafft.
- Das Verzeichnis der Datensammlung wird durch das Verzeichnis der Bearbeitungstätigkeiten ersetzt. Dieses muss von Unternehmen geführt werden, die mehr als 250 Mitarbeiter haben oder die grosse Mengen an besonders schützenswerten Daten verarbeiten.
- Unternehmen müssen eine Datenschutz-Folgeabschätzung erstellen, wenn bei der Bearbeitung der Daten ein hohes Risiko für die Persönlichkeit oder die Grundrechte einer betroffenen Person entsteht.
- Bei einem Profiling mit hohem Risiko muss die betroffene Person der Datenbearbeitung zustimmen. Ein Profiling mit hohem Risiko besteht dann, wenn durch die Bearbeitung von Daten ein Risiko für die Persönlichkeit und die Grundrechte der betroffenen Person bestehen.
Die Pflichten des Unternehmens im Datenschutzgesetz
Analyse der gesammelten Daten
In der EU dürfen Unternehmen keine personenbezogenen Daten sammeln, sofern keine Rechtfertigung dafür vorliegt. Dagegen ist es Unternehmen in der Schweiz grundsätzlich erlaubt, Daten zu sammeln und zu bearbeiten, auch ohne rechtfertigenden Grund. Die gesammelten Daten müssen aber einem bestimmten Zweck dienen und können nicht für mögliche zukünftige Zwecke erhoben und gespeichert werden.
In bestimmten Fällen müssen KMUs die Einwilligung von betroffenen Personen einholen, um ihre Daten bearbeiten zu können. Eine Einwilligung ist nötig, wenn:
- Besonders schützenswerte Daten bearbeitet werden
- Ein Profiling mit hohem Risiko besteht
- Das Profiling durch ein Bundesorgan durchgeführt wird
Dabei muss ein Unternehmen nachweisen können, dass betroffene Personen ihre Einwilligung erteilt haben. Je höher das Risiko einer Datenschutzverletzung ist, desto grösser sind die Anforderungen an die Gültigkeit der Einwilligung.
Zu den besonders schützenswerten Daten gehören:
- Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Tätigkeiten oder Ansichten
- Daten über Gesundheit, Intimsphäre, Rasse oder Ethnie
- Genetische Daten
- Biometrische Daten, die eine Person eindeutig identifizieren
- Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen
- Daten über Massnahmen der sozialen Hilfe
Betroffene Personen informieren
Unternehmen sind dazu verpflichtet, betroffenen Personen mitzuteilen, dass ihre Daten gesammelt und bearbeitet werden. Dabei muss das Unternehmen präzise, verständlich und in einer leicht zugänglichen Form über die folgenden Punkte informieren:
- Identität und Kontaktdaten des Datenschutzbeauftragten im Unternehmen
- Bearbeitungszweck der Daten
- Empfänger der Daten, sofern diese weitergegeben werden
- Ob die Daten ins Ausland gegeben werden und welche Sicherheitsmassnahmen getroffen werden, sofern das Land nicht über einen angemessenen Datenschutz verfügt
Rechte der Betroffenen
Wer glaubt, dass seine Rechte durch die Bearbeitung von Daten verletzt werden, kann bei einem Unternehmen Auskunft verlangen. Unternehmen müssen über folgende Punkte Auskunft geben:
- Identität und Kontaktdaten des Datenschutzbeauftragten im Unternehmen
- Welche Daten bearbeitet werden
- Den Bearbeitungszweck der Daten
- Die Aufbewahrungsdauer der Daten oder nach welchen Kriterien festgelegt wird, wie lange die Daten aufbewahrt werden
- Angaben über die Herkunft der Daten, sofern diese nicht vom Unternehmen selbst erhoben wurden
- Gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung, sowie die Logik, auf der die Entscheidung beruht
- Die Empfänger oder die Kategorie von Empfängern, denen Personendaten bekannt gegeben werden, sofern das Unternehmen Daten weitergibt
Ein Unternehmen kann die Auskunft verweigern oder aufschieben, wenn eine Anfrage offensichtlich unbegründet ist oder die Interessen Dritter überwiegen.
Datenexporte
Beim Datenexport ins Ausland hat sich die Rechtslage kaum geändert. Unternehmen sind dazu berechtigt, Daten ins Ausland zu exportieren, sofern diese Länder über angemessene Datensicherheitsmassnahmen verfügen. Datenexporte können auch in Länder getätigt werden, die keinen angemessenen Schutz besitzen. In diesem Fall müssen Unternehmen aufzeigen, welche Massnahmen unternommen werden, um den Schutz der Daten zu gewährleisten.
Für den Export der Daten ist eine Rechtfertigung des Unternehmens notwendig. Beispiele für eine solche Rechtfertigung können die Einwilligung der betroffenen Personen, eine Vertragspflicht oder ein überwiegendes öffentliches Interesse sein. In jedem Fall müssen betroffene Personen angemessen darüber informiert werden, wohin ein Unternehmen ihre Daten exportiert.
Handlungsempfehlungen für Unternehmen
Zuständigkeit regeln
Bestimme im Voraus einen Datenschutzbeauftragten, der im Unternehmen für die Sicherstellung des Datenschutzrechtes zuständig ist. Der Verantwortliche muss über Prozesse, bei denen Daten verwendet werden, informiert sein und wissen, wie bei Verstössen gegen das Datenschutzgesetz vorgegangen wird. Zudem wird diese Person als Kontaktperson im Unternehmen hinterlegt.
Überblick verschaffen
Verschaffe Dir einen Überblick, welche Daten in Deinem KMU vorhanden sind. Dazu stellst Du Dir folgende Fragen:
- Welche Daten sind im Unternehmen vorhanden?
- Wozu werden diese Daten verwendet?
- Wie lange werden diese Daten gespeichert?
- Wie wird die Sicherheit der Daten gewährleistet?
Lücken identifizieren
Analysiere die Prozesse in Deinem Unternehmen und finde heraus, wo Lücken im Bezug auf das neue Datenschutzrecht bestehen. Am besten eignet sich dafür eine GAP-Analyse, die den momentanen Stand des Unternehmens mit den Vorgaben abgleicht und aufzeigt, wo Massnahmen getroffen werden müssen.
Dokumente anpassen
Erstelle eine Datenschutzerklärung oder passe das bestehende Dokument auf Deiner Webseite an. Wichtig ist, dass die Identität des Verantwortlichen, der Bearbeitungszweck der Daten und die Empfänger der Daten, sofern die Daten weitergegeben werden, aufgelistet werden.
IT-Sicherheit überprüfen
Überprüfe die IT-Sicherheit in Deinem Unternehmen, damit Daten angemessen geschützt sind. Findest Du Lücken, die ein Risiko für die Datensicherheit darstellen, müssen diese dringend behoben werden. Bei diesem Schritt lohnt es sich, mit einem IT-Spezialisten zusammenzuarbeiten.
Anfragen bearbeiten
Wenn betroffene Personen nach einer Auskunft über die Verwendung Ihrer Daten verlangen, muss das Vorgehen geregelt sein. Bestimme mindestens eine Person im Unternehmen, die Anfragen bearbeitet, lege fest, wie bei Anfragen vorgegangen wird und in welcher Frist eine Anfrage beantwortet werden soll.
Mitarbeiter sensibilisieren
Mach Deine Mitarbeiter immer wieder aufmerksam auf das Thema Datenschutz und informiere sie angemessen darüber. Mitarbeiterschulungen helfen auch dabei, den Wissensstand Deiner Mitarbeiter aktuell zu halten.
Prozesse laufend optimieren
Nachdem das revidierte Datenschutzgesetz im Unternehmen umgesetzt wurde, solltest Du regelmässig überprüfen, ob die Prozesse optimal verlaufen und ob Daten im Unternehmen angemessen geschützt sind. So gehst Du sicher, dass Sicherheitsrisiken, die im Laufe der Zeit auftreten, beseitigt werden und Dein Unternehmen immer auf dem neusten Stand ist.
Fazit
Mit dem Inkrafttreten des neuen Datenschutzgesetzes der Schweiz kommen einige Änderungen auf die Unternehmen zu.
Wer gut gewappnet ist, stellt sicher, dass die Datenschutzvorschriften eingehalten und Bussen vermieden werden, Daten im Unternehmen sicher sind und das Vertrauen der Kunden gestärkt wird. Daher ist es ratsam, sich angemessen mit dem Thema zu befassen und die Anpassungen sorgfältig im Unternehmen umzusetzen. Auch sollten die Datensicherheit im Unternehmen und die internen Prozesse regelmässig überprüft werden, um mögliche Verstösse verhindern zu können.
Um für das neue Gesetz gewappnet zu sein, ist es ratsam, sich im Voraus gut vorzubereiten. Werden die Zuständigkeiten im Unternehmen klar geregelt und die Prozesse auf das neue Gesetz optimiert, erspart man sich Probleme, Bussen und stärkt das Vertrauen der Kunden.
