How-to des Datenschutzes

Das totalrevidierte Datenschutzgesetz steht vor der Tür! Ein Untergang mit wehenden Fahnen kann aber (noch) verhindert werden. Der vorliegende Beitrag zeigt auf, wie die wichtigsten Pflichten für das individuelle Unternehmen erkannt und mit verhältnismässigem Aufwand umgesetzt werden können.

Skizze Anna Kuhn

Guter Datenschutz beruht auf Risikoeinschätzungen.

von Anna Kuhn

Per 1. September 2023 tritt das totalrevidierte Schweizer Datenschutzgesetz (DSG) in Kraft. Es gilt für Private (natürliche und juristische Personen) sowie Bundesorgane, die Personendaten bearbeiten. Für öffentliche Organe der Kantone gelten die kantonalen Datenschutzgesetze, deren Überarbeitungen unterschiedlich weit fortgeschritten sind. Sinn und Zweck der Revision ist die Stärkung des Schutzes der Privatsphäre im Zeitalter der Digitalisierung. Weiter soll das Datenschutzniveau der Schweiz an dasjenige der EU angeglichen werden, damit der Datenaustausch weiterhin vereinfacht möglich bleibt.

Was gilt neu?

Das revidierte Datenschutzgesetz enthält eine ganze Reihe neuer Pflichten. In der Tendenz unterliegen Unternehmen verstärkten Dokumentationspflichten für ihre Datenbearbeitungen. Sie müssen ein Verzeichnis der Bearbeitungstätigkeiten erstellen, über Datenbeschaffungen informieren oder sogenannte Datenschutz-Folgenabschätzungen durchführen, um nur einige der Pflichten zu nennen. Die strengeren Pflichten gehen direkt einher mit einem härteren Sanktionsregime. So sind Strafbestimmungen mit Bussen bis zu 250 000 Franken für Privatpersonen vorgesehen. Weiter erhält die Aufsichtsbehörde (EDÖB) griffigere Aufsichtsinstrumente und kann direkt Verfügungen erlassen und u.a. die Löschung von Daten verlangen.

Was jetzt?

Zuerst durchatmen und sich mit dem Gedanken anfreunden, dass eine 100%ige Compliance nicht möglich ist. Vielmehr beruht guter Datenschutz auf Risikoeinschätzungen. Ein Unternehmen muss die für sich relevanten und sensitiven Datenbearbeitungen (Kundendaten, Personaldossiers der Mitarbeitenden, Forschungsdaten etc.) kennen und dort in den Datenschutz investieren. In der Praxis bewährt sich das Vorgehen nach einem klaren Plan, der folgende Schritte beinhaltet.

Anwendbares Recht: Zuerst müssen die anwendbaren Datenschutzgesetze eruiert werden. Für private Unternehmen ist dies grundsätzlich das Schweizer DSG. Aufgrund des extraterritorialen Anwendungsbereichs kann für gewisse Datenbearbeitungen auch die EU-DSGVO relevant sein. Weiter sind thematisch verwandte Gesetze miteinzubeziehen (bspw. branchenspezifische Auflagen zur Informationssicherheit).
Data Mapping: Es ist eine Übersicht über die bearbeiteten Personendaten zu erstellen. Dies ist nicht nur eine gesetzliche Pflicht (Verzeichnis der Bearbeitungstätigkeiten), sondern auch zwingende Basis für den Erfolg eines Datenschutzprojekts. Das Gesetz gibt keine Form vor, sodass man mit Excel oder einer Datenschutz-Software arbeiten kann. Empfohlen wird bspw. das Tool «ZOA-GDPR» der Firma SWISS FIN LAB GmbH. Es enthält diverse Prozesse und Anleitungen, ist nutzerfreundlich, auf das Schweizer DSG ausgerichtet und auch für kleinere Unternehmen erschwinglich.
Massnahmenliste: Basierend auf dem Data Mapping wird datenschutzrechtlicher Handlungsbedarf rasch ersichtlich (Gap-Analyse). Gestützt darauf ist ein Katalog mit den wichtigsten Massnahmen und einer Priorisierung zu erstellen. Positiver Nebeneffekt ist, dass die geplanten Massnahmen dokumentiert sind und das Unternehmen nachweisen kann, dass es sich mit Datenschutz ernsthaft auseinandersetzt.
Schrittweise Umsetzung: Anschliessend kann der Massnahmenkatalog Schritt für Schritt abgearbeitet werden. Kriterien für die Priorisierung können sein, ob eine Pflicht strafbewehrt ist, ob es sich um heikle Daten handelt (z.B. besonders schützenswerte Personendaten) oder ob eine Datenbearbeitung besonders reputationsrelevant ist.
Schulungen und Aware-ness: Damit Datenschutz erfolgreich ist, müssen alle Mitarbeitenden mitwirken. Jedes Gesetz und jede Weisung ist unnütz, wenn sie im Arbeitsalltag nicht beachtet werden. Der Schulungs- und Awareness-Aspekt darf also nicht vergessen gehen!
Dazu kann ein Unternehmen ein Handbuch mit wichtigen Prozessen, Merkblätter oder Schulungsvideos für die Mitarbeitenden bereitstellen. Arbeitgebende sind auch gut beraten, ihre Mitarbeitenden mit geeigneten Massnahmen vor strafrechtlichen Sanktionen zu schützen (arbeitsrechtliche Fürsorgepflicht).
Review und Verbesserung: Datenschutz ist eine Daueraufgabe! Es ist sicherzustellen, dass getroffene Massnahmen aufrechterhalten und stetig verbessert werden. Ein Unternehmen kann bspw. eine Datenschutz-Task-Force ins Leben rufen, die sich den Stand des Datenschutzes regelmässig anschaut und Lücken und Handlungsbedarf identifiziert.
Auch kann eine interne Datenschutzberaterin ernannt werden, die sich eigens dem Datenschutz widmet. Eine niederschwelligere Lösung ist die Bestimmung einer internen Person, die das Thema Datenschutz auf dem Radar hat und bei Bedarf Unterstützung externer Anwältinnen einholt.
Aktiv werden!
Die Zeit bis zum Inkrafttreten des DSG ist kurz, der Pflichtenkatalog lang. Erstellen Sie daher noch heute einen Aktionsplan! Gründe dafür gibt es viele. Nebst der Reduktion von Unternehmensrisiken ist guter Datenschutz ein Alleinstellungsmerkmal und Verkaufsargument eines Unternehmens. Die Beachtung des Datenschutzes ist zudem Ausdruck des wertschätzenden Umgangs mit Mitarbeitenden und Kunden und Kundinnen und stiftet Vertrauen.

Partner

Ihre Meinung ist uns wichtig

Das Thema ist wichtig.

Der Artikel ist informativ.

Der Artikel ist ausgewogen.