Neues Datenschutzrecht

Seit der Einführung der EU-DSGVO im europäischen Raum im Mai 2018 dürfte das Datenschutzrecht bei jedem KMU-Betrieb mal ein Thema gewesen sein. Die logische Konsequenz war die Angleichung des Schweizer Rechts an die EU-Lösung. Dies wird mit der Einführung des neuen Datenschutzgesetzes (DSG) und der Datenschutzverordnung (DSV) nun per 1. September 2023 umgesetzt. Was bedeutet dies aus KMU-Sicht?

 

Neuerungen

Zweck des DSG ist der Schutz der Persönlichkeit und Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden. Die Datenbearbeitung ist ein sehr weit gefasster Begriff. Jede Beschaffung, Aufbewahrung, Archivierung und Vernichtung von Angaben, die sich auf eine bestimmte Person beziehen, fallen darunter. Jedes KMU sollte sich daher mit dem neuen Datenschutzrecht befassen. Folgende Aspekte verändern sich mit der Einführung des neuen DSG:

- Verbesserte Kontrolle über Personendaten und Transparenz bei der Datenverarbeitung

- Stärkere Verantwortung der datenverarbeitenden Unternehmen

- Erweiterte Betroffenenrechte (Auskunft, Löschung etc.)

- Konkrete Sanktionen durch das EDÖB (Bussen bis CHF 250'000.00)

 

Konkrete Massnahmen

Als KMU stellt sich die Frage, welche der im DSG verankerten Massnahmen zwingend umgesetzt werden müssen. Die sogenannten «12 Gebote» der Bundesverwaltung zur Umsetzung des revidierten DSG bilden dabei eine erste Orientierungshilfe. Nicht alle diese Massnahmen sind aber zwingend und ab dem 1. September 2023 umzusetzen. Es gilt als KMU, die wichtigsten Neuerungen zeitnah und pragmatisch umzusetzen. Dazu zählen insbesondere:

- Erstellen Datenschutzerklärung (z.B. auf Webseite publiziert)

- Anlegen eines Verzeichnisses über die Datenbearbeitung (ev. trotz KMU-Ausnahme

- Datensicherheit durch geeignete technische und organisatorische Massnahmen («TOM»)

- Ernennung Datenschutzbeauftragter im Betrieb (Vorsicht: Risiko EDÖB-Sanktionen)

- Meldeverfahren für Verletzungen des Datenschutzes einführen

- Verträge überprüfen / ergänzen (insb. Vereinbarung zur Auftragsdatenverarbeitung)

Im Zweifelsfall lohnt sich die Absprache mit einem versierten Juristen, um im Hinblick auf die Einführung des DSG nicht unnötigen Aufwand zu betreiben. Gerne stehen wir dazu zur Verfügung.

Mit Einführung des neuen DSG wird die EU-DSGVO übrigens nicht ausser Kraft gesetzt. Sie besteht nach wie vor parallel zum DSG. Die darin enthaltenen, teils noch etwas weitergehenden Regelungen sollten von KMU vor allem bei regelmässigem Bezug zu Personen im EU-Raum weiterhin berücksichtigt werden.