Close
Wonach suchen Sie?
Site search
15. September 2022 Das neue Datenschutzgesetz – auf nur einer Seite
  • Neues DSG ab 1.9.2023

  • Was zu tun ist auf einer Seite

  • Aufwand für KMU beschränkt

Weniger als ein Jahr bleibt noch Zeit, damit sich die Schweiz bis zum 1. September 2023 auf das neue Datenschutzgesetz (DSG) vorbereiten kann. Was aber muss getan werden, um fit zu sein für das neue Regelwerk?

Die Antwort: Jedenfalls für die meisten KMU wird der Aufwand überschaubar bleiben, soweit sie schon einigermassen konform sind mit dem bisherigen DSG. Den Datenschutz vollständig einhalten kann zwar niemand, wie wir immer wieder betonen. Aber ein Unternehmen kann die nötigen Strukturen, Prozesse und das Bewusstsein für den Datenschutz schaffen und hat damit bereits viel erreicht.

VISCHER hat sich zu diesem Zweck etwas Spezielles ausgedacht: Es hat das, was für das bisherige und das revidierte DSG von einem KMU (aber auch von grösseren Unternehmen) zu tun ist auf einem einzigen Blatt zusammengefasst – kurz und knapp, ohne juristische Floskeln. Die Handreichung gibt es kostenlos, sie darf frei weitergegeben und verwendet werden und kann gleich auch als interne Datenschutzweisung benutzt werden, falls ein Betrieb noch keine solche hat.

Diese Handreichung kann hier heruntergeladen werden (und in einer englischen Fassung hier). Wir haben viele Informationen in dem «One-Pager» verpackt:

  • Das bisherige und das neue DSG, wobei angegeben ist, welche Punkte neu sind
  • Farbcodes zeigen, von welcher Art die Regelungen sind (Umgang mit Daten, Betroffenenrechte, Governance, Prozesse)
  • Eine mögliche Priorität der Umsetzung wird angegeben, mit der Möglichkeit, die eigene Umsetzung als «abgehakt» anzugeben
  • Es wird angezeigt, welche Bestimmungen strafbewehrt sind (Bussen bis CHF 250'000, aber nur bei vorsätzlicher Verletzung und nur auf Antrag)
  • Für jene, die bereits DSGVO-konform sind, wird angegeben, wo das Schweizer Recht strenger ist ("Swiss Finish") oder ein anderes Vorgehen erfordert (wo die DSGVO bloss etwas strenger ist, braucht nichts getan zu werden)
  • Es können die internen Kontaktpersonen gleich auf dem Blatt vermerkt werden.
  • Es hat Links zu passenden Quellen und Vorlagen.

Unternehmen können selbstverständlich auch den externen Datenschutzberater ihres Vertrauens angeben, aber einen solchen braucht es nicht zwingend bzw. nur in schwierigen Fällen. Weder das alte noch das neue DSG schreibt einen Datenschutzbeauftragten (bzw. Datenschutzberater, wie er unter dem revidierten DSG heisst) vor. Es empfiehlt sich aber, jemanden zu bestimmen, der oder die sich um den Datenschutz intern kümmert und dafür auch entsprechende Kapazitäten (und Lust) hat – das nötige Wissen lässt sich recht gut mit Inhalten aus öffentlichen Quellen, Tutorials und natürlich auch Weiterbildungen aneignen.

Die neue Datenschutzverordnung (DSV) wird in der Handreichung bereits berücksichtigt. So hat der Bundesrat entschieden, dass die meisten Unternehmen mit weniger als 250 Mitarbeitern kein Verzeichnis der Bearbeitungstätigkeiten erstellen müssen. Das wird vielen KMU sehr entgegenkommen, auch wenn der Aufwand für ein solches Verzeichnis von vielen überschätzt wird und es an sich einen guten Einstieg in die Datenschutz-Compliance bietet. Für die Erstellung der Datenschutzerklärung (DSE), welche die meisten Unternehmen ausbauen müssen (viele decken in ihrer heutigen DSE nur die auf der Website gesammelten Daten ab), braucht es dieses Wissen auch.

Sorgenkind in der Datenschutz-Compliance ist und bleibt nach wie vor die Bekanntgabe von Personendaten ins Ausland, weil die Anforderungen hier seit 2020 übertrieben hochgeschraubt worden sind (notabene nicht vom Gesetzgeber, sondern in der Umsetzung, insbesondere auch durch Anforderungen von Seiten der europäischen Datenschützer) und es selbst für jene, die es "gut" machen wollen, keine vernünftigen Antworten gibt. Es geht hier vor allem um das Risiko, dass bei Übermittlungen in Länder ohne angemessenen Datenschutz (wie sie auch bei den meisten Cloud-Lösungen nicht ausgeschlossen werden können) die dortigen Behörden mitlesen könnten (sogenannter Lawful Access), wenn sie wollten (was sie oft gar nicht dürfen und meist auch nicht wollen, was aber den Datenschützern trotzdem grosse Sorgen bereitet). Für Betriebe bedeutet das vor allem viel Aufwand für rechtliche Abklärungen oder aber die Vorgaben der Datenschützer werden schlicht nicht eingehalten. Auch zu diesem Thema haben wir einige Hilfestellungen publiziert, die inzwischen weit über die Schweiz hinaus eingesetzt werden (dazu eine FAQ zu den EU-Standardvertragsklauseln und eine FAQ zum Risiko des ausländischen Behördenzugriffs auf Englisch und einer Methode zur standardisierten Beurteilung dieses Risikos ebenfalls auf Englisch). Der Verein Unternehmens-Datenschutz hat wiederum eine FAQ zum Thema Cloud publiziert, wo er darauf eingeht, ob die Nutzung von Cloud-Diensten vor dem Hintergrund dieser Diskussion zulässig ist und was zu tun ist.

Einen gewissen Aufwand kann die Prüfung der Vereinbarungen mit Providern und anderen sogenannten Auftragsbearbeitern (oder wie es in Deutschland heisst: Auftragsverarbeitern) mit sich bringen, die auch als "ADV" oder Auftragsdatenverarbeitungsvereinbarungen bekannt sind. Achtung: Wer keine hinreichenden ADVs hat, kann unter dem revidierten DSG bestraft werden. In der Praxis entsprechen die meisten ADV, mindestens die der grossen Provider, den Anforderungen, wenn sie "helvetisiert" wurden (bei Microsoft braucht es z.B. einen Schweizer-Zusatz dazu, den Microsoft aber problemlos mitliefert).

Der grösste Aufwand birgt natürlich die Überprüfung der bestehenden Datenbearbeitungen auf die Frage hin, ob sie datenschutzkonform sind. Hier ändert sich mit dem revidierten DSG allerdings kaum etwas, d.h. die Art und Weise, wie Daten bearbeitet werden dürfen, bleibt in etwas gleich. Viele Unternehmen werden sich darum bisher nicht wirklich systematisch gekümmert und es "aus dem Bauch" gemacht haben, der hier allerdings nicht der schlechteste Ratgeber ist. Die Revision des DSG könnte eine gute Gelegenheit sein, sich in diesem Bereich zum Beispiel mit einer Schulung der Mitarbeiter etwas zu verbessern und diese dann ihre eigenen Datenbearbeitungen unter die Lupe nehmen zu lassen. So kann der Aufwand im Betrieb verteilt werden.

Kostenlos bieten wir auch eine ausführliche Kommentierung zum neuen Datenschutzgesetz (auch auf Französisch) und die Aufzeichnung eines Webinars, wie das revidierte DSG in zehn Schritten umgesetzt werden kann und wo die Unterschiede zur DSGVO sind. Zu letzterem Punkt haben wir auch eine separate Aufstellung (auf Englisch).

Ebenfalls bieten wir eine automatisierte Gap-Analyse an, die unter https://privacyscore.ch kostenlos genutzt werden kann. Sie beantworten einen Fragebogen und erhalten einen PDF-Bericht, der zeigt, wo Sie noch Handlungsbedarf haben und was zu tun ist. Ferner bieten wir Ihnen hier eine Übersicht der unter dem revidierten DSG nötigen oder sinnvollen Dokumente an.

Weiter bieten wir für KMU noch eine Muster-Datenschutzerklärung auf einer Seite an, einen Muster- Auftragsverarbeitungsvertrag auf einer Seite und eine Muster-Datenschutzweisung auf einer Seite kostenlos an.

Wer schliesslich wissen will, wie er sich unter dem neuen Datenschutzgesetz vor Strafbarkeit schützen kann, der sollte auch unseren speziellen Blog-Beitrag zu diesem Thema lesen.

Für die Beantwortung von Fragen, ein Coaching oder sonstige Unterstützung stehen Ihnen der Autor, David Rosenthal, sowie sein Data & Privacy Team gerne zur Verfügung.

Autor