Datenschutzgesetz: Mehr Sorgfalt ist gefragt
Mit der zunehmenden Datenflut steigt auch das Bedürfnis, persönliche Daten vor Missbrauch zu schützen. Das revidierte Datenschutzgesetz (DSG) setzt hier die zeitgemässen Leitplanken. Es gilt ab 1. September 2023. Unternehmen sollten die verbleibende Zeit nutzen, um die nötigen Anpassungen umzusetzen.
Boris Blaser
KGV-Vorstandsmitglied und
Vorstandsmitglied des Treuhänderverbands TREUHAND|SUISSE,
Sektion Zürich
Natürlich gibt es je nach Branche, Firmengrösse und Ausmass der digitalen Arbeitsprozesse Unterschiede. Aber grundsätzlich erfasst, speichert und bearbeitet noch das kleinste KMU persönliche Daten, namentlich Kunden- und Mitarbeiterdaten. Hier setzt das revidierte Datenschutzgesetz an. Es konzentriert sich auf den Schutz der Daten von natürlichen Personen, während der Schutz von Unternehmensdaten anderweitig geregelt wird. Persönliche Daten werden nicht umsonst als das «Gold des 21. Jahrhunderts» bezeichnet. In der Datenspur, die jede und jeder von uns bei den unterschiedlichsten Firmen hinterlässt, steckt viel Potenzial. Mittels «Profiling» erstellen interessierte Unternehmen aus dem bunten Blumenstrauss an persönlichen Angaben ziemlich präzise Bilder über den Einzelnen. Dass solche Informationen auf grosses wirtschaftliches Interesse stossen und eben auch missbraucht werden können, liegt nahe.
Daten besser schützen
Das revidierte Datenschutzgesetz verstärkt den Schutz für Daten von natürlichen Personen. Neuerungen ergeben sich vor allem bei den sogenannt «besonders schützenswerten» Personendaten. In diese Kategorie fielen schon bisher Angaben zur Herkunft, gesundheitliche Informationen, Informationen zur Religionszugehörigkeit, zu politischen oder weltanschaulichen Meinungen. Neu in diese Kategorie gehören unter anderem auch genetische Daten oder biometrische Daten (Fingerabdruck, Retina-Scan). Unternehmen, die solche Daten ihrer Mitarbeitenden oder ihrer Kunden erfassen, müssen stärker als bisher die Persönlichkeitsrechte berücksichtigen. Insbesondere müssen sie bei der Erfassung – egal auf welchem Kanal diese erfolgt – immer die Einwilligung der betroffenen Person einholen.
«Privacy by Default»
Welche persönlichen Daten sind für einen geschäftlichen Vorgang tatsächlich nötig und welche nicht? Diese Frage gewinnt mit dem neuen Datenschutzgesetz ganz grundsätzlich an Bedeutung. Wenn beispielsweise eine Autogarage oder ein Schreinergeschäft die Daten eines Neukunden erfasst, sind gewisse Personendaten natürlich unerlässlich: Namen, Wohnort, Fahrausweisnummer u.ä. Werden aber zusätzliche Daten erfasst (Blutgruppe, Religionszugehörigkeit, Hobby, Vorstrafen, Nationalität, Geburtstage der Kinder, Name des Familienhundes usw.) ist es zuweilen fraglich, warum dies beim Autokauf oder bei einem Schreinerauftrag von Belang sein sollte. Wenn solche «vermeidbaren» Daten erfasst werden, muss die betroffene Person im Moment der Erfassung darüber in Kenntnis gesetzt und um ihre Zustimmung gebeten werden. Das Datenschutzgesetz spricht in diesem Fall von «Privacy by Default», also vom Datenschutz an der Quelle: beim Erfassen von persönlichen Daten im konkreten Einzelfall.
«Privacy by Design»
Zusätzlich gilt für Unternehmen im Umgang mit Personendaten neu «Privacy by Design». Damit sind die allgemeinen Grundsätze angesprochen, die beim Erfassen von Personendaten in den entsprechenden Systemen, Formularen und Arbeitsprozessen bereits vorgegeben sein müssen. Das kann je nach Unternehmen ziemlich anspruchsvoll sein, weil es zahlreiche Geschäftsvorgänge gibt, bei denen persönliche Daten erfasst, bearbeitet und gespeichert werden. Deshalb ist es wichtig, dass sich betroffene Unternehmen ausreichend Zeit nehmen. Es ist unerlässlich, in einer ersten Phase einen genauen Überblick zu gewinnen und einen systematischen Datenkatalog zu erstellen. Dabei wird klar, wo überhaupt Handlungsbedarf besteht und wo Anpassungen bei den datenschutzrechtlichen Voreinstellungen nötig sind. Gleichzeitig entsteht damit die Grundlage für eine langfristig systematische Handhabung. Denn der Schutz von persönlichen Daten ist bei Inkrafttreten des revidierten Gesetzes am 1. September 2023 nicht einfach erledigt. Datenschutz ist und bleibt ein Thema, das im Verlauf der Zeit und der geschäftlichen Weiterentwicklung immer wieder überprüft und angepasst werden muss.
Risikoplanung
In bestimmten Fällen wird eine Risikoplanung Pflicht. Es gilt, mögliche Risiken, die sich im Umgang mit Personendaten ergeben können (Datenverlust, Datenleck, Hacking-Angriff usw.) bereits im Voraus abzuschätzen und Massnahmen umzusetzen, welche diese Risiken minimieren. Betroffen sind hier vor allem Unternehmen, die mit sehr umfangreichen und/oder sensiblen Personendaten umgehen, beispielsweise Gesundheitseinrichtungen oder Finanzdienstleister. Sollte es trotz aller Sorgfalt zu einem Datenleck kommen, dann legt das revidierte Datenschutzgesetz für das betroffene Unternehmen eine Meldepflicht an den Datenschutz- und Öffentlichkeitsbeauftragten des Bundes (EDÖB) fest.
Boris Blaser
KGV-Vorstandsmitglied und
Vorstandsmitglied des Treuhänderverbands TREUHAND|SUISSE,
Sektion Zürich
Partner
Meistgelesene Artikel
Gespräch mit dem Chat-Generator
27. Februar 2023
Strompreis: «Lieferanten nutzen die Situation aus»
22. November 2023
Cleantech-Gipfel mit Swissness oder: Warum China die Schweiz braucht
21. August 2023
Die Stadt Zhenjiang auf Promotionstour in Zürich
6. Juli 2023
«Ich würde alles genau gleich machen»
24. April 2023
Ihre Meinung ist uns wichtig
Anzeige
Partner
Meistgelesene Artikel
Gespräch mit dem Chat-Generator
27. Februar 2023
Strompreis: «Lieferanten nutzen die Situation aus»
22. November 2023
Cleantech-Gipfel mit Swissness oder: Warum China die Schweiz braucht
21. August 2023
Die Stadt Zhenjiang auf Promotionstour in Zürich
6. Juli 2023
«Ich würde alles genau gleich machen»
24. April 2023