Neues Datenschutzgesetz – ein Risiko für KMU?

Das neue Datenschutzgesetz (DSG) wird voraussichtlich zusammen mit der vom Bundesrat noch zu erlassenden Datenschutzverordnung (VDSG) am 1. September 2023 in Kraft treten.

«Das neue DSG trägt dem Konsumverhalten (Online-Shopping, Bezahldiensten usw.), den Kommunikationstechniken, den sozialen Netzwerken, den technologischen Entwicklungen (Digitalisierung, künstliche Intelligenz usw.) sowie den internationalen Standards Rechnung.»

Warum ist das neue DSG notwendig?

Das geltende Schweizer Datenschutzgesetz stammt aus dem Jahr 1992. Seither hat sich die Welt gesellschaftlich und technologisch rasant weiterentwickelt. Durch das Internet und die grossen Datenverarbeiter wie Google (gegründet 1998), Facebook (2004), Instagram (2010) und vielen mehr, hat sich die gespeicherte Datenmenge massiv vergrössert. Parallel dazu hat auch der Online-Konsum (Amazone, Zalando, brack, digitec, Coop@home usw.) stark zugenommen.

Um den damit verbundenen Persönlichkeitsrechten Genüge zu tun, hat die zuständige EU-Kommission am 25. Mai 2018 für alle EU-Mitgliedstaaten die EU-Datenschutzgrundverordnung (DSGVO oder GDPR) in Kraft gesetzt. Seit dem 20. Juli 2018 wurde die DSGVO auf den gesamten Europäischen Wirtschaftsraum (EWR) und damit neben den EU-Mitgliedstaaten auch auf Liechtenstein, Island sowie Norwegen ausgeweitet.

Die Schweiz ist auf Grund des aktuell gültigen, veralteten Datenschutzgesetzes aus der Sicht der EU ein «Drittland»!

Ohne die Anpassung des DSG würde die Schweiz den Anforderungen an einen modernen Datenschutz nicht mehr genügen, und die Schweiz und die Schweizer Unternehmen müssten befürchten, vom Austausch von Personendaten mit der EU bzw. dem EWR abgeschnitten zu werden. Viele Schweizer Unternehmen fallen aufgrund ihrer Ausrichtung auf ebendiesen Wirtschaftsraum in den Anwendungsbereich der DSGVO. Dieses verlangt, dass Daten nur dann ohne weiteres in einen anderen Staat übermittelt werden dürfen, wenn dieser über ein aus Sicht der EU «angemessenes» Datenschutzniveau verfügt. Der problemlose Datenfluss aus der EU ist für die Schweiz, die sehr enge wirtschaftliche Beziehungen zur EU pflegt, von besonders grosser Bedeutung. Die zuständige EU-Kommission hat seit Mai 2021 die Überprüfung der Angemessenheit der Schweizer Datenschutzgesetzgebung, im Hinblick auf die baldige Einführung des DSG, mehrmals verschoben. Ohne das revidierte DSG wären die Schweizer Unternehmen gezwungen, mit allen ihren Datenaustauschpartnern in der EU bzw. im EWR jeweils einzeln Verträge über diesen Datenaustausch abzuschliessen. Das DSG soll diese Lücke schliessen. Es ist auf die internationalen Normen abgestimmt, soll die technologischen Entwicklungen nicht behindern und die Stärken der bisherigen Gesetzgebung nicht vollständig aufgeben.

Betrifft das DSG auch KMU?

Ja, sämtliche Unternehmen, unabhängig von ihrer Grösse, sind vom DSG betroffen. Dabei spielt es keine Rolle, ob die Daten der Kunden, Partner, Lieferanten und Mitarbeiter analog oder digital aufbewahrt werden. Durch die Digitalisierung der Prozesse wird die Menge der zu verarbeitenden Daten in den Unternehmen weiter stark zunehmen. Entsprechend sollten alle Unternehmen das neue DSG umsetzen, das ohne Übergangsfrist am 1. September 2023 in Kraft tritt. Für Unternehmen, die im grenzüberschreitenden Raum tätig sind und / oder Mitarbeitende aus einem EU-Staat beschäftigen, die DSGVO jedoch noch nicht übernommen haben, ist dies besonders wichtig.

Das neue DSG verpflichtet Unternehmen dazu, die notwendigen organisatorischen und technischen Massnahmen zu ergreifen, um die Datensicherheit sicherzustellen und den Datenmissbrauch möglichst zu verhindern. Dies hat mit der steigenden Cyber-Kriminalität einen ganz neuen und hohen Stellenwert erhalten.

Sanktionen und Risiken

Im Falle eines Verstosses gegen das neue DSG können Bussgelder bis CHF 250’000 ausgesprochen werden. Während sich die Bussen bei der DSGVO gegen das fehlbare Unternehmen richten, zieht das neue DSG die für die Einhaltung des Datenschutzes verantwortliche natürliche Person (z.B. Geschäftsführer oder Verwaltungsrat) zur Rechenschaft. Dabei reicht bereits der Eventualvorsatz, das heisst, der Straftatbestand ist erfüllt, wenn die tatsächlich eingetretene Verletzung in Kauf genommen wurde. Für das Unternehmen dürfte vor allem der Reputationsschaden ein nicht zu vernachlässigendes Problem darstellen. 

Zusätzlich kann der Eidgenössische Datenschutzbeauftrage (EDÖB) mittels Verwaltungsmassnahmen anordnen, dass die Datenverarbeitung angepasst, unterbrochen oder abgebrochen wird oder Personendaten gelöscht werden.

Was sind die wichtigsten Vorkehrungen

1. Datenschutzerklärungen im Internet, in Werbe und Verkaufsdokumenten: Erstellen oder überprüfen und anpassen
2. Datenbearbeitungsrichtlinien: Erstellen oder überprüfen und anpassen.
3. Datenbearbeitungsverzeichnis: Erstellen oder überprüfen und anpassen.
4. Betroffenenrechte: Implementieren eines Prozesses zur fristgerechten Bearbeitung.
5. Datenschutzverletzungen: Implementieren eines Prozesses zur fristgerechten Meldung.
6. Datenschutz-Folgenabschätzung: Implementieren eines Prozesses.
7. Verträge mit den Auftragsbearbeitern: Überprüfen und anpassen, insbesondere bezüglich Meldepflicht bei Datenschutzverletzungen, der Weitergabe an Unterauftragnehmer und der Datensicherheit.
8. Personendaten: Sicherstellen, dass diese gelöscht oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
9. Personendaten: Sicherstellen, dass diese nur an Länder bekanntgegeben werden und in Länder gespeichert werden (auch Cloud), die einen angemessenen Schutz gewährleisten. Der Bundesrat publiziert eine entsprechende Liste. Soweit die Länder nicht auf dieser Liste aufgeführt sind, dürfen Daten unter bestimmten Bedingungen dennoch exportiert werden, unter anderem mit dem ausdrücklichen Einverständnis der Betroffenen.
10. Datensicherheit: Sicherstellen durch geeignete technische und organisatorische Massnahmen. Da die Datenübermittlung per E-Mail unsicher ist, sollte zumindest bei besonders schützenswerten Personendaten eine E-Mail-Verschlüsselung zur Verfügung stehen. Der Bundesrat muss die Mindestanforderungen noch festlegen.
11. Datenportabilität: Sicherstellen der Datenherausgabe in einem gängigen elektronischen Format, wenn die Daten elektronisch und vor allem in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags bearbeitet werden.
12. Datenschutzberater*in: Ernennen eines Datenschutzberaters und dem EDÖB melden (empfohlen). Die Kontaktdaten müssen veröffentlicht werden. Gemäss DSGVO ist die Ernennung zwingend.