Das neue Datenschutzgesetz der Schweiz tritt offiziell im September 2023 in Kraft. Genügend Zeit für KMU, dringend nötige Vorkehrungen zu treffen.
Zuerst die gute Nachricht: Wer sich aufgrund der Europäischen Datenschutz-Grundverordnung (DSGVO) bereits mit gewissen Anpassungen und Änderungen befasst hat, ist auf dem richtigen Weg. Das neue Schweizer Datenschutzgesetz lehnt sich sehr stark ans Europäische Gesetz an. Für alle anderen – dies dürften ganz besonders die zahlreichen KMU sein, die keine ausländischen Kunden oder Angestellte haben – gilt: Jetzt ist die Zeit zum Handeln gekommen.
Das neue Datenschutzgesetz (DSG) reagiert in erster Linie auf die Veränderungen durch die Digitalisierung. Die Anpassung des Gesetzes ist bitter nötig, stammt es im Kern doch noch aus dem Jahr 1992, als es weder Internet noch Smartphones gab. Das Gesetz gilt für alle Unternehmen, die Personendaten von in der Schweiz ansässigen Personen verarbeiten. Neu sind im Gesetz die «besonders schützenswerten» Personendaten etwas weiter gefasst als früher. Es gehören nicht nur Angaben beispielsweise zur Religion oder der politischen Ausrichtung dazu, sondern auch solche zur Ethnie und biometrische Daten wie beispielsweise der Fingerabdruck. Und gleich noch ein wichtiger Hinweis: Das Gesetz spricht zwar von «Verarbeitung» von Daten, doch damit ist auch schon eine simple Speicherung gemeint.
Vorsicht beim Profiling
Für die Verwendung der personenbezogenen Daten beispielsweise in einem CRM-System (Customer Relationship Management) gelten ebenfalls verschärfte Regeln. Wer mit gewissen Angaben ein sogenanntes Profiling seiner Kundinnen und Kunden betreibt, muss zukünftig ganz explizit deren Einwilligung einholen. Das heisst: Die Kundschaft muss über die Verwendung der Daten informiert werden und ausdrücklich damit einverstanden sein. Beachten Sie dazu auch den Hinweis unter dem Punkt «Privacy by Default».
Ausdrückliche Zustimmung ist erforderlich
Ganz besonderes Augenmerk sollten die Verantwortlichen in den nächsten Monaten den beiden Begriffen «Privacy by Default» und «Privacy by Design» widmen. Denn hier dürfte der grösste Handlungsbedarf bestehen.
Privacy by Default: Damit ist gemeint, dass die Verarbeitung von Personendaten eindeutig mit dem Verwendungszweck in Zusammenhang stehen muss. Werden zusätzliche Daten erhoben, braucht es die ausdrückliche Zustimmung der Person.
Privacy by Design: Damit ist gemeint, dass bei der Erfassung der Daten – beispielsweise in einem Formular – die Grundsätze von Privacy by Default bereits in den Voreinstellungen angewendet werden. Sollen weitere Daten erhoben werden, müssen diese von den Anwendern selbst aktiviert werden.
KMU sollten sich in den nächsten Monaten ihre Bestellformulare und andere relevante Datenerhebungstools genauer anschauen und gegebenenfalls anpassen, damit diese im September 2023 sicher rechtskonform sind.
Informationspflicht bei Datenverlust
Wer tatsächlich von einem Datenverlust betroffen ist, muss künftig die entsprechenden Behörden von sich aus sofort informieren. Je nach betroffenen Daten müssen auch die betroffenen Personen informiert werden.
Die notwendigen Massnahmen
Die Einhaltung des neuen Datenschutzgesetzes ist für KMU nicht ganz einfach. Insbesondere, weil der Gesetzgeber auch eine Risikoplanung verlangt. Wer also in einem Schadenfall nicht nachweisen kann, dass er sich schon im Vorfeld vorbereitet hat, macht sich ebenfalls strafbar. Immerhin: Die Strafandrohungen sind im Schweizer Recht nicht ganz so drakonisch wie in der EU. Es empfiehlt sich aber auf jeden Fall, sämtliche Daten genau zu analysieren und folgende Punkte zu klären:
- Welche Daten werden von wem erhoben (Kunden und Angestellte)?
- Welche dieser Daten stehen nicht in unmittelbarem Zusammenhang mit der erbrachten Leistung?
- Welche Daten gelten als besonders schützenswert?
- Wo sind diese Daten gespeichert?
- Ist der Schutz der Daten ausreichend?
- Wer hat intern oder extern Zugriff auf die Daten und ist dieser Zugriff wirklich notwendig?
- Wer ist intern zuständig für die Sicherheit der Daten? Ist diese Person ausreichend geschult?
- Welcher Prozess greift bei einem Datenleck und wer ist dafür verantwortlich?
Fazit
Das revidierte Datenschutzgesetz (revDSG) wird demnach bald in der Schweiz in Kraft treten, wobei Unternehmen ihre Governance-Richtlinien anpassen müssen, um gesetzeskonform zu bleiben. Kleine und mittelständische Unternehmen (KMU) können ihren Informations- und Dokumentationspflichten durch interne Prozesse und eine überarbeitete Datenschutzrichtlinie erfüllen. Es lohnt sich jedoch auch, sich von einem erfahrenen IT-Dienstleister mit Fachwissen in Cyber-Security unterstützen lassen. Dieser kann wichtige technische Massnahmen ergreifen, die erforderlich sind, und die Datenspeicherung sowie -sicherung über die in der Schweiz platzierten Servern zu gewährleisten. Der IT-Dienstleister sollte ausserdem eine Dokumentation der getroffenen Massnahmen und Überlegungen erstellen können. Dies ist wichtig aufgrund der weitreichenden Selbstverantwortung und der drohenden strafrechtlichen Konsequenzen. Es lohnt sich daher, bald zu handeln, als später möglicherweise rechtliche Probleme zu bekommen.
Sind Sie fit im Datenschutz Thema und kennen die verschiedenen Empfehlungen, wenn es beispielsweise um Passwortsicherheit geht? Testen Sie Ihr Wissen in unserem neuen Quiz.
