revDSG; CHF 250’000.00 Busse; Strafandrohung; Verantwortlichkeit des Datenverarbeiters; DSGVO; Einführung, neues Schweizer Datenschutzgesetz; 25 Mio. Busse und und und …… Eine Vielzahl an Schlagwörtern, welche mit der Einführung des Datenschutzgesetzes in der Schweiz einhergehen. Was eigentlich wirklich kommt – insbesondre auf KMU’s zukommt – ist vielen Verantwortlichen nicht bewusst.
Der folgende Blog richtet sich an Interessierte aber vor allem an die Geschäftsleitung und Mitarbeiter von KMU’s welche verantwortlich für die Verarbeitung von personenbezogenen Daten sind. Anfangs umreise ich die Problemstellung. Im Weiteren erkläre ich die zwei grundlegenden Begriffe im Rahmen des Datenschutzes. Zum Schluss erhalten Sie eine Checkliste für KMU’s. Sie soll Ihnen einen Überblick zu den erforderlichen Massnahmen geben – inklusive nützlichen Links zu Beispielen, weiterführender Literatur und Musterdokumenten.
Mein Name ist Markus Leverentz. Ich bin Rechtsanwalt mit einer Spezialisierung auf IT Recht und belege zur Zeit einen CAS «Data Privacy Officer» an der HSLU Luzern.
Das neue Datenschutzgesetz (revDSG) tritt am 1. September 2023 in Kraft, ohne Übergangsfrist. Für die Einhaltung der gesetzlichen Vorgaben müssen alle notwendigen Schritte bereits umgesetzt sein und stellen KMU’s vor eine Reihe neuer Herausforderungen. Die Schwierigkeit liegt besonders darin, dass nur die wenigsten KMU’s einen Spezialisten in den Reihen haben und eine externe Fachperson mit hohen Kosten verbunden ist. Hier empfehle ich intern Know-how aufzubauen. Ein externes Coaching reicht zumeist aus. Weiterhin ist es unklar, welche Regelungen des Datenschutzgesetzes von den KMU’s tatsächlich umgesetzt werden müssen. Dies ist abhängig von der Art der Daten, die bearbeitet werden und an der Grösse des Unternehmens.
Was heisst Daten bearbeiten?
Der Begriff des „Bearbeiten“ von Daten umfasst alles vom Speichern bis zum Löschen von Daten. Dabei spielt es keine Rolle, ob die Bearbeitung im digitalen oder analogen Bereich erfolgt. Auch das Aufschreiben von Kontaktdaten am Telefon ist eine Datenbearbeitung und fällt unter das revDSG.
Was sind personenbezogenen Daten?
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören beispielsweise Name, Adresse, Geburtsdatum, E-Mail-Adresse, IP-Adresse, Telefonnummer, Kreditkartennummer und viele weitere Informationen, die mit einer bestimmten Person in Verbindung gebracht werden können.
Checkliste
Um sich an das revidierte Datenschutzgesetz anzupassen, müssen Schweizer KMUs folgende Massnahmen ergreifen:
- Überprüfen und Anpassen von Datenschutzerklärungen für die Website, Verträge, Werbeinhalte usw. Eine gute Muster-Datenschutzerklärung findest Du hier.
- Erstellen oder Anpassen von Richtlinien für die Datenbearbeitung innerhalb des Unternehmens. Hier ein sehr guter Überblick.
- Erstellen eines Verzeichnisses der Datenbearbeitung, ausser für Unternehmen mit weniger als 250 Beschäftigten. Sehr guter Überblick
- Entwickeln einer Vorgehensweise für eine rasche Beantwortung von Anfragen betroffener Personen wie Auskunftsersuchen oder Löschung von Daten.
- Etablierung eines Prozesses für Datenschutz-Folgenabschätzungen bei Datenbearbeitungen mit hohem Risiko (u.a. besonders schützenswerte Personendaten), Hier sollte einen Experten beiziehen.
- Analyse von Subunternehmerverträgen, um sicherzustellen, dass die Sicherheit der Daten gewährleistet ist und entsprechende Klauseln hinzufügen.
- Sicherstellen, dass alle personenbezogenen Daten gelöscht oder anonymisiert werden, sobald sie für den Zweck, der deren Bearbeitung rechtfertigte, nicht mehr benötigt werden.
- Gewährleisten der Datensicherheit durch geeignete technische und organisatorische Maßnahmen. Ein Leitfaden hierzu.
- Benennen eines Datenschutzberaters oder einer Datenschutzberaterin ist nach dem revDSG nicht verpflichtend (nur bei Bundesorganen).
Der Beitrag kann eine unternehmensspezifische Beratung nicht ersetzen, Ich empfehle Ihnen, sich von einem Experten zumindest beraten zu lassen – vor allem wenn besonders schützenwerde Personendaten verarbeitet werden, wie z.B.: über religiöse, politische Ansichten oder Tätigkeiten u.ä.; über die Gesundheit, die Intimsphäre oder der Rassenzugehörigkeit u.ä. über administrative oder strafrechtliche Verfolgungen u.ä. Die Liste ist nicht abschliessend. Bitte informieren Sie sich bei einer Fachperson oder direkt beim EDÖB!
Beachten Sie die strafrechtlichen Konsequenzen einer Sorgfaltspflichtverletzung im Rahmen des Datenschutzes.