Skip to main content
Neues Datenschutzgesetz ab dem 1. September 2023
bd NEWS

Neues Datenschutzgesetz ab dem 1. September 2023

By 4. September 2023No Comments

Ist Ihr Unternehmen fit für das neue Datenschutzgesetz? Ab 1. September 2023 gilt es, für die Umsetzung des totalrevidierten DSG einige Punkte zu beachten.

1. Ausgangslage
Das neue Datenschutzgesetz geistert wie ein Schreckgespenst durch die KMU, verunsichert deren UnternehmerInnen und wird so lange wie möglich verdrängt. Höchste Zeit also, sich einen kurzen Überblick zu verschaffen! Und obschon bestimmte Voraussetzungen zu erfüllen sind, ist die Umsetzung des revidierten DSG mit Augenmass anzugehen.

2. Die wichtigsten Änderungen auf einen Blick
Das revidierte Datenschutzgesetz zielt vor dem Hintergrund der fortschreitenden technologischen Entwicklung darauf ab, die Transparenz bei der Beschaffung von Personendaten zu stärken, persönliche Daten besser zu schützen und die betroffenen Personen in ihrem Mitbestimmungsrecht zu stärken. Das DSG wird an die Gesetzgebung der EU angeglichen und geht teilweise gar über dessen Anforderungen hinaus. Zusammengefasst sind insbesondere folgende Punkte zu beachten:

  1. Regeln Sie die interne Zuständigkeit und erstellen Sie ein Bearbeitungsverzeichnis;
  2. Erstellen Sie eine Datenschutzerklärung – sowohl für Kundinnen und Kunden als auch für Ihre Arbeitnehmenden;
  3. Eruieren Sie Ihre Dienstleistenden, die in Ihrem Auftrag Daten bearbeiten und prüfen sie die Zusammenarbeitsverträge – für die Datenbearbeitung bleiben Sie selbst verantwortlich;
  4. Dokumentieren Sie ausreichende Sicherheitsmassnahmen, bevor Sie Personendaten ins Ausland übermitteln;
  5. Organisieren Sie sich, um rasch auf Anfragen betroffener Personen antworten zu können;
  6. Bereiten Sie – trotz aller Präventionsmassnahmen – einen Prozess vor, wie mit Datensicherheitsverletzungen umzugehen ist, um im Ernstfall sogleich reagieren zu können;
  7. Instruieren Sie Ihre Mitarbeitenden, die nachfolgenden Datenschutzmassnahmen einzuhalten.

3. Interne Zuständigkeit und Bearbeitungsverzeichnis
Sobald klar ist, wer in Ihrem Unternehmen für die Umsetzung der neuen Datenschutzbestimmungen zuständig ist, kann die interne Prüfung der Datenbearbeitung in Angriff genommen werden. Am besten in Tabellenform werden die Kategorien betroffener Personen bzw. Daten und der Zweck ihrer Bearbeitung festgehalten sowie die Information, an wen die Daten weitergegeben und wie lange sie aufbewahrt werden. Dieses Verzeichnis bietet dem Datenschutzverantwortlichen einen guten Einstieg – auch wenn KMU mit weniger als 250 Mitarbeitenden und ohne sensitive Daten dazu nicht verpflichtet sind.

4. Datenschutzerklärung
Auf der Grundlage des Verzeichnisses der Datenbearbeitungen kann eine angemessene Datenschutzerklärung erstellt werden oder – falls bereits eine vorhanden ist – diese überprüft und gegebenenfalls angepasst werden. Die ausgebaute Informationspflicht im neuen DSG bedeutet für Unternehmen, dass sie mittels einer Datenschutzerklärung betroffenen Personen bestimmte Auskünfte über die Datenbearbeitung erteilen müssen. Die Erklärung kann auf der eigenen Webseite aufgeschaltet oder in Verträgen abgedruckt werden. Cookies (kleine Textdateien, die beim Besuch von Webseiten auf dem lokalen Rechner von NutzerInnen gespeichert und beim erneuten Seitenbesuch zurück an den Server gesendet werden) auf Schweizer Websites erfordern keinen sogenannten «Cookie Banner». Ein einfacher Hinweis in der Datenschutzerklärung ist ausreichend.

5. Auftragsbearbeiter
Eine Auftragsbearbeitung liegt immer dann vor, wenn Sie eine Datenbearbeitung durch eine Drittperson ausführen lassen. Tatsächlich ist es nicht ganz einfach zu erkennen, in welchen Fällen es sich um einen Auftragsbearbeiter handelt; typische Beispiele sind etwa IT-Service und Cloud Provider. Da Sie dem Auftragsbearbeiter Instruktionen erteilen, bleiben Sie für dessen Datenbearbeitung verantwortlich. Deshalb braucht es nicht nur einen Auftragsbearbeitungsvertrag, sondern es gilt, den Auftragsbearbeiter sorgfältig auszuwählen, zu instruieren und zu überwachen.

6. Auslandtransfer
Sobald Daten ins Ausland weitergegeben werden, ist das Datenschutzniveau des Empfängerstaats zu prüfen. Der Bundesrat hat in Anhang 1 zur Datenschutzverordnung eine Liste erstellt, welche Länder über ein angemessenes Datenschutzniveau verfügen. Wird das betreffende Land nicht in dieser Liste aufgeführt, sind entweder ein völkerrechtlicher Vertrag, vom EDÖB genehmigte Datenschutzklauseln oder ähnliche Schutzvorschriften erforderlich, damit der Auslandtransfer straflos erfolgen kann. In der Datenschutzerklärung muss die betroffene Person sodann über eine Datenbekanntgabe ins Ausland informiert werden, wobei aber auch Begriffe wie «Europa» oder «weltweit» verwenden werden können.

7. Auskunftsrechte
Gemäss der Zielsetzung des neuen DSG für mehr Selbstbestimmung und Transparenz kann jede Person vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Sofern nötig, kann sie auch veranlassen, dass die Daten gelöscht oder berichtigt werden. Gemäss neuem DSG sind Informationen, die der betroffenen Person immer erteilt werden müssen, insbesondere solche über die bearbeiteten Personendaten, den Bearbeitungszweck und die Aufbewahrungsdauer bzw. die Kriterien zur Festlegung dieser Dauer. Jede Person, die ihr Auskunftsrecht, das Recht auf Berichtigung oder auf Löschung ihrer Daten wahrnehmen will, muss zwar selbst aktiv werden, sie muss ihr Auskunftsbegehren aber nicht begründen. Als Verantwortlicher können Sie in gewissen Fällen die Auskunft verweigern, einschränken oder aufschieben, namentlich aufgrund von Geheimhaltungspflichten. Die Verweigerung muss jedoch in jedem Fall begründet werden, damit die betroffene Person ihre Rechte nötigenfalls gerichtlich durchsetzen könnte.

8. Verletzung der Datensicherheit
Kommt es zu einer Verletzung der Datensicherheit, wozu auch etwa unbeabsichtigte Datenverluste und Fehlversendungen von Personendaten zählen, sollte dieser Vorfall erfasst und gemeldet werden. Obschon dem EDÖB nur Datensicherheitsverletzungen gemeldet werden müssen, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führen, sollte jede Verletzung in einem internen Prozess erfasst werden. Hierfür sollen sich die Mitarbeitenden, welche eine (potenzielle) Verletzung der Datensicherheit feststellen, umgehend an den internen Datenschutzverantwortlichen wenden können, der den Vorfall beurteilt und weitere Massnahmen evaluiert, wie etwa Sofortmassnahmen, die langfristige Adressierung der Ursache, gegebenenfalls Meldung an betroffene Personen oder den EDÖB sowie schliesslich die Dokumentation der Verletzung und der ergriffenen Massnahmen.

9. Weisungen und Schulungen der Arbeitnehmenden
Um dafür zu sorgen, dass in Ihrem Unternehmen die Bestimmungen des Datenschutzes eingehalten werden, der Verantwortliche seine Mühe nicht umsonst macht und es zu möglichst wenigen Verletzungen der Datensicherheit kommt, empfiehlt es sich, seine Mitarbeitenden auf den Datenschutz zu sensibilisieren. Hierfür eigenen sich interne Weisungen und Audits, die mit Inkrafttreten des revidierten Datenschutzgesetzes angepasst und fortan aktuell gehalten werden. Damit ist Ihr Unternehmen stets auf dem neusten Stand und Personen, von welchen Sie Daten bearbeiten, haben nichts zu befürchten.

Gerne unterstützen wir Sie und Ihr Unternehmen bei der Ausarbeitung der nötigen Dokumente und der Einrichtung von internen Prozessen. Neben fachlicher Beratung bieten wir Ihnen gerne individuell angepasste Datenschutzerklärungen, Auftragsbearbeitungsvereinbarungen und Datenschutzweisungen für Ihre Mitarbeitenden an. Wir freuen uns auf Ihre Kontaktaufnahme.

Übrigens: Auch unsere Kanzlei hat ihre Datenschutzerklärung angepasst. Sie finden diese auf unserer Website unter https://bdlegal.ch/datenschutzerklaerung/

Adrien Jaccottet

Adrien Jaccottet

Anwalt, Mediator SAV/SDM/SKWM

Manuela Pecorelli

Manuela Pecorelli

MLaw, juristische Mitarbeiterin

zurück zur Übersicht