Datenschutzgesetz: Mehr Sorgfalt ist gefragt

Mit der zunehmenden Datenflut steigt auch das Bedürfnis, persönliche Daten vor Missbrauch zu schützen. Das revidierte Datenschutzgesetz (DSG) setzt hier die zeitgemässen Leitplanken. Es gilt ab 1. September 2023. Unternehmen sollten die verbleibende Zeit nutzen, um die nötigen Anpassungen umzusetzen.

Bild stock.adobe.com/Elnur

Persönliche Daten werden – auch im Unternehmensumfeld – nicht umsonst als das «Gold des 21. Jahrhunderts» bezeichnet.

Boris Blaser

KGV-Vorstandsmitglied und Vorstandsmitglied des Treuhänderverbands TREUHAND|SUISSE,
Sektion Zürich

Natürlich gibt es je nach Branche, Firmengrösse und Ausmass der digitalen Arbeitsprozesse Unterschiede. Aber grundsätzlich erfasst, speichert und bearbeitet noch das kleinste KMU persönliche Daten, namentlich Kunden- und Mitarbeiterdaten. Hier setzt das revidierte Datenschutzgesetz an. Es konzentriert sich auf den Schutz der Daten von natürlichen Personen, während der Schutz von Unternehmensdaten anderweitig geregelt wird. Persönliche Daten werden nicht umsonst als das «Gold des 21. Jahrhunderts» bezeichnet. In der Datenspur, die jede und jeder von uns bei den unterschiedlichsten Firmen hinterlässt, steckt viel Potenzial. Mittels «Profiling» erstellen interessierte Unternehmen aus dem bunten Blumenstrauss an persönlichen Angaben ziemlich präzise Bilder über den Einzelnen. Dass solche Informationen auf grosses wirtschaftliches Interesse stossen und eben auch missbraucht werden können, liegt nahe.

Daten besser schützen

Das revidierte Datenschutzgesetz verstärkt den Schutz für Daten von natürlichen Personen. Neuerungen ergeben sich vor allem bei den sogenannt «besonders schützenswerten» Personendaten. In diese Kategorie fielen schon bisher Angaben zur Herkunft, gesundheitliche Informationen, Informationen zur Religionszugehörigkeit, zu politischen oder weltanschaulichen Meinungen. Neu in diese Kategorie gehören unter anderem auch genetische Daten oder biometrische Daten (Fingerabdruck, Retina-Scan). Unternehmen, die solche Daten ihrer Mitarbeitenden oder ihrer Kunden erfassen, müssen stärker als bisher die Persönlichkeitsrechte berücksichtigen. Insbesondere müssen sie bei der Erfassung – egal auf welchem Kanal diese erfolgt – immer die Einwilligung der betroffenen Person einholen.

«Privacy by Default»

Welche persönlichen Daten sind für einen geschäftlichen Vorgang tatsächlich nötig und welche nicht? Diese Frage gewinnt mit dem neuen Datenschutzgesetz ganz grundsätzlich an Bedeutung. Wenn beispielsweise eine Autogarage oder ein Schreinergeschäft die Daten eines Neukunden erfasst, sind gewisse Personendaten natürlich unerlässlich: Namen, Wohnort, Fahrausweisnummer u.ä. Werden aber zusätzliche Daten erfasst (Blutgruppe, Religionszugehörigkeit, Hobby, Vorstrafen, Nationalität, Geburtstage der Kinder, Name des Familienhundes usw.) ist es zuweilen fraglich, warum dies beim Autokauf oder bei einem Schreinerauftrag von Belang sein sollte. Wenn solche «vermeidbaren» Daten erfasst werden, muss die betroffene Person im Moment der Erfassung darüber in Kenntnis gesetzt und um ihre Zustimmung gebeten werden. Das Datenschutzgesetz spricht in diesem Fall von «Privacy by Default», also vom Datenschutz an der Quelle: beim Erfassen von persönlichen Daten im konkreten Einzelfall.

«Privacy by Design»

Zusätzlich gilt für Unternehmen im Umgang mit Personendaten neu «Privacy by Design». Damit sind die allgemeinen Grundsätze angesprochen, die beim Erfassen von Personendaten in den entsprechenden Systemen, Formularen und Arbeitsprozessen bereits vorgegeben sein müssen. Das kann je nach Unternehmen ziemlich anspruchsvoll sein, weil es zahlreiche Geschäftsvorgänge gibt, bei denen persönliche Daten erfasst, bearbeitet und gespeichert werden. Deshalb ist es wichtig, dass sich betroffene Unternehmen ausreichend Zeit nehmen. Es ist unerlässlich, in einer ersten Phase einen genauen Überblick zu gewinnen und einen systematischen Datenkatalog zu erstellen. Dabei wird klar, wo überhaupt Handlungsbedarf besteht und wo Anpassungen bei den datenschutzrechtlichen Voreinstellungen nötig sind. Gleichzeitig entsteht damit die Grundlage für eine langfristig systematische Handhabung. Denn der Schutz von persönlichen Daten ist bei Inkrafttreten des revidierten Gesetzes am 1. September 2023 nicht einfach erledigt. Datenschutz ist und bleibt ein Thema, das im Verlauf der Zeit und der geschäftlichen Weiterentwicklung immer wieder überprüft und angepasst werden muss.

Risikoplanung

In bestimmten Fällen wird eine Risikoplanung Pflicht. Es gilt, mögliche Risiken, die sich im Umgang mit Personendaten ergeben können (Datenverlust, Datenleck, Hacking-Angriff usw.) bereits im Voraus abzuschätzen und Massnahmen umzusetzen, welche diese Risiken minimieren. Betroffen sind hier vor allem Unternehmen, die mit sehr umfangreichen und/oder sensiblen Personendaten umgehen, beispielsweise Gesundheitseinrichtungen oder Finanzdienstleister. Sollte es trotz aller Sorgfalt zu einem Datenleck kommen, dann legt das revidierte Datenschutzgesetz für das betroffene Unternehmen eine Meldepflicht an den Datenschutz- und Öffentlichkeitsbeauftragten des Bundes (EDÖB) fest.

Boris Blaser

KGV-Vorstandsmitglied und Vorstandsmitglied des Treuhänderverbands TREUHAND|SUISSE,
Sektion Zürich

Ihre Meinung ist uns wichtig

Das Thema ist wichtig.

icon_thumbs_up
icon_thumbs_down

Der Artikel ist informativ.

icon_thumbs_up
icon_thumbs_down

Der Artikel ist ausgewogen.

icon_thumbs_up
icon_thumbs_down