Expertentipps: Das neue Datenschutzgesetz (revDSG) - was ist zu tun?

Seit Mai 2018 gilt in der EU ein einheitliches und ausgebautes Datenschutzrecht: die Datenschutz-Grundverordnung (DSGVO). Nun hat auch die Schweiz ihr Datenschutzrecht überarbeitet und in weiten Teilen der DSGVO angepasst. Das revidierte Datenschutzgesetz tritt am 1. September 2023 in Kraft. 

Was ist Datenschutz überhaupt? 

Daten, die natürliche Personen betreffen, sollen vor Missbrauch geschützt werden. Da das aktuelle Gesetz noch aus dem Jahr 1992 stammt, war eine Revision dringend erforderlich. Immerhin hat sich seither einiges verändert, vor allem in Hinblick auf die technologischen Entwicklungen und die Digitalisierung. Das revidierte Gesetz soll unsere Privatsphäre besser wahren und uns ermöglichen, selbst über die Bearbeitung unserer Daten zu bestimmen.

Die wichtigsten Neuerungen der revDSG 

• Die Anforderungen an die Transparenz sind höher: Ein Unternehmen muss die Betroffenen besser und umfassender informieren, welche Personendaten zu welchen Zwecken bearbeitet werden. 
• Unternehmen müssen besser dokumentieren, wie sie Personendaten bearbeiten: Das beinhaltet Aufzeichnungen über vorhandene Personendaten, die Art sowie der Zweck der Bearbeitung und die Empfänger dieser Daten. 
• Die Sicherheit der Personendaten hat jetzt eine höhere Priorität: Es sind technische und organisatorische Massnahmen umzusetzen. 
• Bei Datensicherheitsvorfällen ab einem gewissen Schweregrad (z. B. bei Datendiebstahl, -verlust, -leck) besteht eine Meldepflicht. Unternehmen müssen den Eidgenössischen Datenschutzbeauftragten (EDÖB) informieren, allenfalls auch die Betroffenen. 
• Die vorsätzliche Missachtung des Datenschutzgesetzes wird mit Bussen von bis zu 250’000 Franken bestraft. In erster Linie drohen diese Bussgelder den verantwortlichen Personen. Lässt sich die Verantwortung nicht genau zuordnen, wird das Unternehmen gebüsst.

Was muss ein KMU jetzt tun, um Datenschutzverletzungen zu vermeiden? 

Je nach Unternehmen und den konkreten Datenbearbeitungen variieren die Massnahmen. Grundsätzlich gilt: Der Aufwand soll sich nach der Grösse des Unternehmens richten, der Menge an Datenbearbeitungen und vor allem den Auswirkungen auf die betroffenen Personen. Dies sind die wichtigsten Punkte, die KMU umsetzen sollten: 

1. Eine Person bestimmen, die sich der Sache annimmt und eine Bestandsaufnahme macht: Sie dokumentiert in einem Bearbeitungsverzeichnis, bei welchen Prozessen im Unternehmen Personendaten verarbeitet werden. Für Unternehmen mit weniger als 250 Mitarbeitenden, die keine sensitiven Daten bearbeiten und die kein Hochrisiko-Profiling machen, ist ein solches Verzeichnis freiwillig. Für alle anderen ist es Pflicht. 
2. Sind in deinem Unternehmen Drittpersonen mit gewissen Datenbearbeitungen beauftragt? Dann überprüfe, ob die Daten ins Ausland gehen und was es für solche sogenannten Auftragsbearbeitungen zu regeln gilt (z. B. Verträge zur Auftragsbearbeitung abschliessen). 
3. Prozesse, die aus Sicht der betroffenen Personen besonders risikoreich sind, müssen genauer geprüft werden. Allenfalls ist es notwendig, eine sogenannte Datenschutz-Folgeabschätzung vorzunehmen, auch dokumentierte Risikobeurteilung genannt. 
4. Die betroffenen Personen informieren. Für gewöhnlich geschieht das mit einer Datenschutzerklärung auf der Website. 
5. Die Informations-Sicherheit prüfen und allenfalls anpassen. 
6. Prozesse implementieren für die Beantwortung von Anfragen der betroffenen Personen (Auskunftsbegehren) und für den Fall von Sicherheitsvorfällen. 
7. Diese Prozesse regelmässig überprüfen und aktualisieren. 

«Ein Unternehmen muss die Betroffenen umfassend informieren, welche Personendaten zu welchen Zwecken bearbeitet werden.»
Christoph Hofer, Jurist und Rechtsanwalt

Welche Unternehmen sind vom neuen Datenschutzgesetz besonders betroffen? 

Grundsätzlich alle, die grosse Mengen Personendaten bearbeiten, deren Datenbearbeitung besondere Risiken für die betroffenen Personen haben oder wenn sie besonders schützenswerte Personendaten bearbeiten. Beispiele für besonders schützenswerte Informationen sind Gesundheitsdaten oder biometrische Daten. Wenn du einen Online-Shop führst, solltest du bei der Umsetzung ebenfalls ganz genau hinschauen.  

Welche Übergangsfristen gelten? 

Es gibt keine Übergangsfristen. Alle Unternehmen müssen die neuen Datenschutzvorschriften bis zum Inkrafttreten des revidierten Datenschutzgesetzes umsetzen, also bis zum 1. September 2023. 

Wo gibt es Hilfe, um die neuen Anforderungen an den Datenschutz umzusetzen? 

Das tönt furchtbar kompliziert? Auf den ersten Blick schon. Lass dich davon aber nicht abschrecken. Wichtig ist, dass du damit beginnst. Hier findest du weitere gute und verständliche Hilfeseiten, mit denen die Umsetzung sicher klappt: 

• Merkblatt des Datenschutzanwaltes David Rosenthal für KMU 
• Kostenloses online Self Assessement Tool von David Rosenthal und seinem Team 
• Hinweise des Eidgenössischen Datenschutzbeauftragten (EDÖB) 
• Ausführlichere Formulare und Vorlagen stellt David Rosenthal hier zur Verfügung 
• Das Team um den Datenschutzanwalt David Vasella betreibt unter datenrecht.ch einen interessanten Blog. Auch hier finden sich Checklisten und viele Tipps für die Praxis.