Datenschutzgesetz: Bereiten Sie sich jetzt vor!
Die Einführung des neuen Datenschutzgesetzes im nächsten Jahr verlangt von allen Unternehmen Anpassungen. Die Änderungen sind einschneidend und auch Schweizer KMU sollten sich darauf vorbereiten.
Die Verbraucherinnen und Verbraucher stellen im Umgang mit ihren persönlichen Daten immer höhere Ansprüche an unsere Unternehmen. Diese Daten sind das Gold der digitalen Wirtschaft und müssen daher besonders geschützt werden.
Die im vergangenen Herbst verabschiedete Revision des Datenschutzgesetzes zielte darauf ab, das Gesetz von 1992 an die jüngsten technologischen Entwicklungen anzupassen und gleichzeitig das Schutzniveau für den Einzelnen zu erhöhen. Im Grundsatz geht es darum, dass sich jede Verarbeitung von Daten auf eine identifizierte oder direkt bzw. indirekt identifizierbare Person bezieht, verhältnismässig ist und nicht missbraucht werden kann.
Durch die Stärkung und Einführung neuer Rechte für die Bürgerinnen und Bürger (Rechte im Bezug auf Zugang, Löschung, Übertragbarkeit persönlicher Daten usw.), schafft dieses Gesetz auch neue Verpflichtungen für Unternehmen. Diese haben nicht nur die Pflicht auf Anfrage von Privatpersonen hin zu informieren und zu reagieren, sondern müssen, wenn personenbezogene Daten erhoben werden, Datenschutzverletzungen auch melden. In manchen Fällen geht das Gesetz sogar noch weiter und verlangt zum Beispiel eine Folgenanalyse oder die Einrichtung eines Registers für personenbezogene Datenverarbeitungstätigkeiten. Der damit verbundene Aufwand ist nicht zu unterschätzen.
Um sich bestmöglich auf dieses neue regulatorische Regime vorzubereiten, müssen KMU einen ganzheitlichen Ansatz verfolgen:
Risiken einschätzen
Unternehmen, die grosse Mengen an Daten verarbeiten, sind einem höheren Risiko ausgesetzt, gegen das neue Gesetz zu verstossen. Es ist für sie daher wichtig, alle personenbezogenen Daten (Kunden, Lieferanten, Mitarbeitende usw.) oder sogenannt «sensible Daten» (Religion, Gesundheit, Genetik usw.) in IT-Systemen, Datenbanken und anderen gemeinsam genutzten Systemen zu erfassen und zu kartografieren.
Organisieren und absichern
Die Verbesserung der IT-Sicherheit und die Entwicklung interner Verfahren können helfen, sich vor Datenverletzungen, -verlusten, -lecks oder Anfragen von Einzelpersonen zu schützen oder richtig darauf zu reagieren. Um die Data Governance zu verbessern, können sich Unternehmen auch über den gesamten Lebenszyklus der Daten am Grundbekenntnis der Schweizer Wirtschaft zu einem verantwortungsvollen Umgang mit Daten orientieren.
Bewusstsein schärfen
Alle Ebenen eines Unternehmens, vom Auszubildenden bis zum Geschäftsführer, sollten beim Datenschutz einbezogen und sensibilisiert werden. Ein Empfangsmitarbeiter verarbeitet bereits Daten, wenn er ein Besucherregister führt. Allerdings sind es die Geschäftsführer und Verwaltungsräte, denen bei Nichteinhaltung des Gesetzes strafrechtliche Sanktionen drohen.
Antizipieren
Obwohl das Gesetz voraussichtlich erst in der zweiten Hälfte des nächsten Jahres in Kraft tritt, müssen in den kommenden Monaten Verträge mit Klauseln ergänzt werden, die dem neuen Gesetz entsprechen. Dies ist mühselig und kann zu Diskussionen mit Kunden führen. Die Unternehmen sind aber gut damit bedient, sich rechtzeitig mit den Neuerungen des revidierten Datenschutzgesetzes auseinanderzusetzen. Je früher, desto besser.
Dieser Text wurde auf Französisch und in einer gekürzten Fassung am 31. März 2021 in «L’AGEFI» publiziert.
