Alle Unternehmen, auch die kleinsten, sind von der lange angekündigten und überfälligen Anpassung des schweizerischen Datenschutzgesetzes betroffen. Auch wenn der Geltungsbereich des DSG neu auf Bundesorgane und Private beschränkt ist. Waren Informationssicherheit und Datenschutz im Unternehmen bisher keine Fremdwörter, sind die notwendigen Massnahmen, die ab 1.9.2023 umgesetzt und gelebt werden müssen, überschaubar.
Natürlich betrifft das angepasste DSG auch KMU, das kann man auf jeder Verbands- oder Beraterseite nachlesen. Aber was bedeutet das für mich als Einzel- oder Kleinstunternehmen im Beratungsumfeld ohne Webshop und Kunden aus dem europäischen Ausland? Das panikartige Einblenden eines Cookie-Banners auf der Website mit einem grossen „JA“-Button sollte sicher nicht der erste Reflex sein. Für einen pragmatischen Datenschutz-Self-Check habe ich mir die folgenden sechs Bereiche herausgepickt:
- Verantwortung und Bewusstsein als Geschäftsführer
Als Geschäftsführer bin ich ohnehin als Privatperson für mein Handeln und dessen Folgen verantwortlich und somit haftbar. Das muss ich mir auch beim Datenschutz immer wieder bewusst machen. Zumal das neue Datenschutzgesetz nur für Privatpersonen und Behörden gilt, nicht aber für Unternehmen. Ich muss mir sehr bewusst sein, welche Angriffsfläche ich mit meinen Firmendaten biete. Obwohl das Gesetz kleine Unternehmen mit geringen Datenschutzrisiken nicht dazu verpflichtet, ein «Verzeichnis ihrer Bearbeitungstätigkeiten» zu führen, empfiehlt es sich dennoch, dies im Rahmen des betrieblichen Risikomanagements zu tun.
- Aktives Risikomanagement
Ich muss mir regelmässig Gedanken über die Risiken meines Unternehmens machen und gegebenenfalls Massnahmen ergreifen. Der Schutz der Daten ist dabei ein wichtiger Bestandteil, wobei mir bewusst sein muss, auf welchen neuen Daten ich sitze (neue Kunden, Projekte, Prozesse oder Tools?). Zu ihrem Schutz sind technische und organisatorische Massnahmen erforderlich. Kleine Unternehmen können am meisten von der Umsetzung technischer Massnahmen profitieren und damit die operative Sicherheit erhöhen, da hier keine grossen Projekte geplant werden müssen.
- Operative (Informations-)Sicherheit
Wenn ich weiss, welche Daten ich wo habe, weiss ich auch, wie ich sie vor unbefugtem Zugriff oder Verlust schützen kann. Wenn die Daten verschlüsselt sind und der Zugriff durch Mehrfaktorauthentifizierung geschützt ist, kann ich beruhigt sein, egal ob sie auf meinem Notebook, NAS oder Cloudspeicher liegen. Und ohne den Einsatz eines Passwortmanagers (KeePass) könnte ich wohl auch nicht mehr ruhig schlafen…
- Melde- und Auskunftspflicht
Ein Datenleck kann trotzdem passieren. Wenn ich einen Verlust von Personendaten feststelle, muss ich dies direkt dem EDÖB melden, unabhängig davon, ob die Daten durch eine Ransomware-Attacke veröffentlicht wurden, ich meine SSD mit dem unverschlüsselten Kunden-Backup verloren habe oder einen vertraulichen Brief an die falschen Adressaten verschickt habe. Zudem hat jede Person das Recht, von mir als Verantwortlichen zu erfahren, ob personenbezogene Daten von ihr bearbeitet werden und kann deren Löschung oder Berichtigung verlangen. Die Auskunft muss ich ihr innert 30 Tagen kostenlos erteilen.
- Einwilligung zur Datenbearbeitung / DSFA
Eine ausdrückliche Einwilligung ist nur bei der Bearbeitung von besonders schützenswerten Personendaten und beim Profiling mit hohem Risiko erforderlich (was in der Praxis wohl kaum zur Anwendung kommen wird und vor allem auf die politische Debatte bei der Gesetzesrevision zurückzuführen ist). Auch eine Datenschutzfolgeabschätzung muss nur dann durchgeführt werden, wenn die in der Risikoanalyse festgestellte Datenbearbeitung voraussichtlich ein hohes Risiko für die Persönlichkeitsrechte der Betroffenen darstellt.
- Webauftritt und Datenschutzerklärung
Nun sind wir doch bei den Cookies angelangt. Entgegen der weitverbreiteten Meinung brauchen Schweizer Unternehmen definitiv keine Cookie-Banner und grossen Einwilligungsbuttons. Aber gerade hinsichtlich der Auskunftspflicht ist eine minimale Datenschutzerklärung zwingend nötig, die direkt auf der Website publiziert werden kann. Die ersten Suchergebnisse im Netz weisen meist auf Datenschutzerklärungsgeneratoren hin, welche eher auf die europäische DSGVO, als auf das Schweizer DSG ausgerichtet und viel zu umfangreich sind. Basierend auf dem im ersten Punkt erstellten Verzeichnis, empfiehlt sich die Erstellung und Publikation eines eigenen Textes, der Auskunft darüber gibt, welche Daten zu welchem Zweck bearbeitet werden. Dieser kann auch mit. «Privacy-Icons» ergänzt werden.
Weiterführende Links zum Thema
- KMU Information Bund
- «Jedes KMU fällt unter das Datenschutzgesetz» (swisslegal)
- Acht Fragen zum neuen DSG (Swiss IT-Magazine)
- revDSG Survival Guide für KMU (David Rosenthal)
- Checkliste für KMU (Datenrecht.ch)
- Checkliste für KMU (Farben Schweiz)
- „Next Level“: Weiterführender Ansatz mit interessanten Denkanstössen (Digitale Gesellschaft)