Neues Schweizer Datenschutzgesetz betrifft auch KMU

Die gute Nachricht zuerst: Zur Umsetzung des neuen Datenschutzgesetzes bleibt noch etwas Zeit, denn es wird vermutlich nicht vor 2023 in Kraft treten. Dann aber gilt es ernst und es kommen einige Änderungen auf KMU zu. Eine Übergangsfrist ist ausserdem nicht vorgesehen. Wir haben die wichtigsten Änderungen zusammengefasst.


Was ist neu im revidierten Datenschutzgesetz?

Die Revision des Datenschutzgesetzes ist eine Konsequenz der Digitalisierungswelle der letzten Jahre, denn unser aktuell noch geltendes Gesetz stammt aus dem Jahre 1992. Die Überarbeitung soll nicht zuletzt auch europäischen Standards (EU-Datenschutz-Grundverordnung DSGVO) entsprechen, um die Zusammenarbeit im Europäischen Wirtschaftsraum zu erleichtern. Das neue Schweizer Datenschutzgesetz enthält daher verschiedene Neuerungen:

  • Mehr Rechte, Transparenz und Eingriffsmöglichkeiten für natürliche Personen
  • Stärkung der Eidgenössischen Datenschutzaufsicht
  • Daten von juristischen Personen werden durch das Datenschutzgesetz nicht mehr geschützt
  • Genetische und biometrische Daten zählen neu zu den besonders schützenswerten Personendaten
  • Der Inhaber bzw. der Verwaltungsrat oder ein verantwortlicher Mitarbeiter können persönlich haftbar gemacht werden.


Wer ist vom neuen Gesetz betroffen?

Strenge Anforderungen werden an Unternehmen mit einem erhöhten Risiko für die Verletzung von Persönlichkeitsrechten gestellt. Dabei handelt es sich um Unternehmen, die eine grosse Menge an Personendaten (Plattformen, Online-Shops etc.) oder besonders schützenswerte Personendaten bearbeiten. Als besonders schützenswert gelten etwa Gesundheitsdaten, Meinungsdaten (zu Religion und Politik), genetische Daten etc.

Das neue Datenschutzgesetz gilt jedoch für alle Unternehmen unabhängig der Grösse, Branche etc. Jedes KMU bearbeitet Personendaten von Mitarbeitenden und Kunden und ist so auch vor dem Hintergrund der ständig präsenten Cyberkriminalität zum Schutz dieser Daten verpflichtet.

Cyberversicherung


Wann tritt das revidierte Datenschutzgesetz in Kraft?

Das revidierte Datenschutzgesetz wurde bereits im Herbst 2020 vom Parlament verabschiedet, doch Diskussionen um die dazugehörige Verordnung des Bundes ziehen eventuell Anpassungen nach sich. Es wird frühestens Mitte 2022, wenn nicht erst anfangs 2023 mit dem Inkrafttreten gerechnet.


Wieso sollten KMU sich jetzt schon vorbereiten?

Für die Umsetzung der neuen Vorgaben ist ab Inkrafttreten des Gesetzes keine Übergangsfrist vorgesehen. KMU können sich also viel Stress ersparen, indem sie die Änderungen frühzeitig angehen. Sollte ein KMU nach Inkrafttreten keine Massnahmen treffen, gilt dies als (Eventual-)Vorsatz und kann zu Bussgeldern führen.

Da das Gesetz in vielen Punkten dem DSGVO ähnlich ist, ist vor allem denjenigen KMU geraten, die Änderungen schnell anzugehen, welche ihren Datenschutz bisher auch noch nicht an den EU-Standard angepasst haben.


Was kommt auf KMU zu?

Die Revision hat zum Ziel, natürliche Personen besser zu schützen und ihnen mehr Rechte an ihren Daten zuzugestehen. Dazu muss die natürliche Person jederzeit Einblick in ihre Daten erhalten können und wissen, was mit diesen geschieht. Unternehmen müssen diese Daten und Angaben dementsprechend auch bereitstellen können. Konkret heisst das:

  • In der Datenschutzerklärung muss darüber informiert werden, welche Kundeninformationen auf welche Weise bearbeitet und gespeichert werden.
  • Es dürfen nur für die Bearbeitung notwendige Daten erhoben werden.
  • Daten von natürlichen Personen, die im Ausland verarbeitet werden, aber in der Schweiz Auswirkungen haben (was das heisst, wird in der Verordnung noch konkretisiert) müssen einem angemessenen Datenschutz unterstehen. Je nach Situation sind mit Partnern aus dem Ausland neue Verträge zu erstellen.
  • Bei einer Datenschutzverletzung muss diese zwingend dem Eidgenössischen Datenschutzbeauftragten (EDÖB) sowie bei schweren Verletzungen den betroffenen Privatpersonen gemeldet werden.


KMU können sich schon jetzt vorbereiten, indem sie einen Aktionsplan zur Abarbeitung dieser Punkte aufstellen:

  • Wie und von wem wird das notwendige Fachwissen aufgebaut? Wie und wann werden Mitarbeitende geschult?
  • Welche internen Richtlinien zum Umgang mit Daten und dem Verfahren bei Auskunftsbegehren sind zu erstellen bzw. anzupassen?
  • Welche Passagen der Datenschutzerklärung müssen überprüft bzw. geändert werden?
  • Welche Verträge mit Partnern (auch solche im Ausland) bestehen und müssen überprüft werden?
  • Wie kann die IT-Sicherheit auf den neuesten Stand gebracht werden? Wo liegen Sicherheitslücken vor?
  • Welche Prozesse, die Personendaten verarbeiten, sind bereits ausreichend dokumentiert? Müssen diese ausgeführt werden oder sind neue Dokumentationsprozesse anzulegen?


Was droht bei einem Verstoss gegen das neue Datenschutzgesetz?

Bei einem Verstoss gegen das Datenschutzgesetz sind Bussgelder in Höhe von bis zu 250’000 CHF vorgesehen. Die Sanktionen richten sich dabei direkt gegen die zur Einhaltung des Datenschutzes verantwortliche Person und somit i.d.R. gegen Geschäftsführer oder den Verwaltungsrat. Sanktionen drohen jedoch nur bei vorsätzlichem Verhalten. Deshalb ist es zentral, den oben bereits erwähnten Dokumentationsprozess anzulegen, um im Falle eines Datenschutzverstosses zeigen zu können, dass nach bestem Wissen und Gewissen gehandelt wurde.


Quellen:

zurück