Revidiertes Datenschutzgesetz seit 1.9.2023 in Kraft

06.12.2023

Seit dem 1. September 2023 ist in der Schweiz das revidierte Datenschutzgesetz (DSG) in Kraft. In einem Grobüberblick zeigen wir, was KMU mindestens beachten und vorkehren sollten.

Die rasch fortschreitende technologische Entwicklung und die Digitalisierung machten eine Aktualisierung des Bundesgesetzes über den Datenschutz aus dem Jahr 1992 notwendig. Das revidierte Datenschutzgesetz gilt für natürliche Personen, Unternehmen und Institutionen sowie Bundesorgane. Die Kantone haben gut föderalistisch eigene Datenschutzbestimmungen für ihre eigene Tätigkeiten und für diejenigen ihrer Gemeinden. Die überarbeiteten gesetzlichen Vorschriften beschränken sich nur noch auf das Datensammeln über natürliche Personen. Es beinhaltet eine Informationspflicht an Personen, über welche Daten gesammelt und bearbeitet werden. Ebenfalls besteht gegenüber diesen Personen eine Auskunftspflicht und diese haben ein Recht auf Berichtigung oder Löschung von Daten. Grössere Unternehmungen werden zudem zur Führung eines Bearbeitungsverzeichnisses verpflichtet. Insgesamt sollen mit dem revidierten Datenschutzgesetz die Betroffenen gegen Datenmissbrauch besser geschützt werden und mehr Transparenz hinsichtlich der Verwendung ihrer persönlichen Daten erhalten. Es sieht auch eine Stärkung der Datenschutzaufsicht (durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB) sowie weiterreichende Strafbestimmungen bei Verstössen vor. Weil es zum revidierten Gesetz noch keine Rechtsprechung gibt und lediglich formuliert ist, dass Unternehmungen mit weniger als 250 Mitarbeiter und Mitarbeiterinnen auf die Führung eines Bearbeitungsverzeichnisses verzichten können, wenn deren Datenbearbeitung ein geringes Risiko für Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt, ist die Umsetzung für KMU nicht klar definiert. Es empfiehlt sich aber, zwei Massnahmen – unabhängig von Grösse und Tätigkeit der Unternehmung – umzusetzen.

Datenbearbeitungsverzeichnis

Zwecks Übersicht sollten in einem einfachen Datenbearbeitungsverzeichnis oder Inventar alle gesammelten und erhobenen personenbezogenen Daten (über Mitarbeitende, Kunden, Lieferanten, Geschäftspartner, Konkurrenten, Organe und Inhaber usw.) aufgelistet werden. In der Praxis reicht bei KMU dazu eine einfache Word- oder Excel-Datei. Mit Hilfe dieses Inventars kann die Sensibilität der Daten bewertet werden. Einen besonderen Schutz benötigen die sogenannten «besonders schützenswerten Personendaten». Dabei handelt es sich beispielsweise um Informationen zur Religion, Gesundheit, Intimsphäre, Herkunft einer Person. Es ist festzuhalten und zu definieren, wer im Unternehmen Zugriff und Verwendung von welchen Daten hat und wo diese gesichert werden. Wenn die Bewirtschaftung durch Dritte (Outsourcing) stattfindet, sind mit diesem Partner Verantwortung und Pflichten schriftlich festzulegen. Die vorgenommene Datenerhebung hilft auch bei der Umsetzung der gesetzlichen Informationspflicht, indem Sie anmerken, für welche Zwecke (bspw. Lohnverarbeitung der Mitarbeitenden, Kundeninformationen per Mail, persönliche Lieferantenkontakte) eine Verwendung stattfinden darf. Wenn Informationen beispielsweise im Ausland gespeichert werden, sind – je nach Land – höhere Schutzmechanismen notwendig, da nach dem revidierten Datenschutzgesetz Daten nur unter gewissen Voraussetzungen ausserhalb der Schweiz bekannt gegeben werden dürfen.

Datenschutzerklärung

Aus den Erhebungen und Erkenntnissen heraus ist eine Datenschutzerklärung zu formulieren. Die Datenschutzerklärung sollte transparent, klar und einfach verständlich verfasst sein. Darin sollte beschrieben werden, wie (z.B. durch Besuch der Internetseite) und für welche Verwendungszwecke (z.B. Marketing, Kommunikation) Daten gesammelt und bearbeitet werden. Sie beschreibt, wem die Daten bekannt gegeben werden (z.B. Vertragspartner), wer für die Bearbeitung verantwortlich ist (z.B. bei Outsourcing von einzelnen Aufgaben) und wie die Daten geschützt werden (z.B. organisatorisch oder technisch). Die Bereitstellung oder Publikation der Datenschutzerklärung erfolgt vorteilhafterweise auf Ihrem Internet- oder Social-Media-Auftritt.

Sorgfalt und Sensibilität

Unabhängig der verschärften gesetzlichen Auflagen gilt es weiterhin im Umgang mit Personendaten, insbesondere mit besonders schützenswerten Personendaten, grösste Sorgfalt und Sensibilität zu wahren. Die Formulierung der Datenschutzerklärung und die Erhebung des Bearbeitungsverzeichnisses schärft den Sinn und die Wichtigkeit für den Datenschutz im Unternehmen, insbesondere auch gegenüber Mitarbeitenden. Es empfiehlt sich, dass Bearbeitungsverzeichnis und die Datenschutzerklärung periodisch auf deren Aktualität zu überprüfen und im Betrieb einen Verantwortlichen für den Datenschutz zu bestimmen.