Das am 1. September in Kraft tretende neue Datenschutzgesetz (revDSG) verschärft die Anforderungen an den Datenschutz für Unternehmen deutlich. Die Verwaltung und insbesondere der Schutz sensibler Daten werden stärker kontrolliert. Unternehmen, die täglich mit hochsensiblen Daten arbeiten, müssen ihre Abläufe datenschutzkonform ausrichten oder sich bei Verstössen auf hohe Strafen einstellen. Der regulatorische Druck, sicherere, datenschutzkonforme Lösungen einzuführen, nimmt nicht nur in der Schweiz, sondern weltweit zu.
Um Ihr Unternehmen vor etwaigen Risiken zu schützen, ist es entscheidend, dass Sie Ihre Datenschutzrichtlinien bis zum Stichtag anpassen. Im Rahmen der Anpassungen sollten Sie Ihre Online-Plattformen, Datenbanken und genutzten Tools sehr genau unter die Lupe nehmen, und sicherstellen, dass die Daten Ihrer Kunden und Partner datenschutzkonform gehändelt werden und Ihre Datenbanken wasserdicht sind. Haben Sie die Prüfung bereits gestartet?
Exkurs: Warum ist eine Überarbeitung des Schweizer Datenschutzgesetzes notwendig?
Die technologischen Entwicklungen der letzten 30 Jahre machen eine Anpassung des Datenschutzgesetzes von 1992 unumgänglich. Um den reibungslosen Handel und Datenaustausch zwischen der EU und der Schweiz aufrechtzuerhalten, ist die Neufassung des Schweizer Datenschutzgesetzes unerlässlich. Die Revision soll für mehr Transparenz, ein grösseres Verantwortungsgefühl der Datenanbieter und eine Verbesserung der Datenschutzaufsicht sorgen.
Zusammengefasst soll die Revision folgende Vorteile bringen:
- Mehr Transparenz,
- Ein grösseres Verantwortungsgefühl der Datenanbieter,
- Eine Besserung in der Datenschutzaufsicht,
- Umfassendere Bestimmungen zu Strafen.
Welche Änderungen kommen auf Sie zu?
Die Überarbeitung führt zu einer Vielzahl von Veränderungen für Firmen, wie beispielsweise einen verstärkten Schutz für natürliche Personen und Modifikationen in der Datenbearbeitung. Insbesondere grosse Unternehmen müssen Anpassungen vornehmen, falls sie dies bisher nicht getan haben. Die Bestellung eines Datenschutzbeauftragten ist obligatorisch, und dieser ist als natürliche Person für Verstösse verantwortlich. Dies kann für den Verantwortlichen Geldbussen oder sogar Haftstrafen zur Folge haben. Deswegen sollten Sie sicherstellen, dass Ihr Unternehmen sich angemessen auf die erforderlichen Änderungen vorbereitet.
Hier finden Sie alle Änderungen zusammengefasst:
| Änderung | Erklärung |
| Kein Schutz für juristische Personen | AGs und GmbHs werden nicht mehr berücksichtigt, während natürliche Personen einen deutlich höheren Schutz ihrer Daten erfahren |
| Fingerabdrücke und Retina-Scans | Biometrische und genetische Daten erfahren einen ganz besonderen Schutz durch das neue Gesetz. |
| Profiling | Eine Verankerung der automatisierten Datenverarbeitung ist ebenfalls vorgesehen. |
| Sorgfaltspflicht | Jeder Bearbeiter von Daten ist dazu verpflichtet, die Daten so zu behandeln wie der Verantwortliche. |
| Auftragsdatenverarbeitung | Ein ADV muss zusätzlich abgeschlossen werden. |
| Datenschutz von Anfang an | Dieser Grundsatz wird durch Privacy by Design und Privacy by Default sichergestellt, um den Verarbeitungsgrundsätzen zu entsprechen. |
| Nachvollziehbarkeit | Um einen Überblick zu behalten, wer Daten verarbeitet hat, ist es ab dem 1. September 2023 Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten mit Mindestangaben zu erstellen. Ausnahmen gibt es für KMUs, wenn ein geringes Risiko für Persönlichkeitsverletzungen besteht. |
| Mehr Rechte für Betroffene | Eine Erweiterung der Rechte soll es ermöglichen, dass Betroffene auf Verlangen Informationen zur Bearbeitung ihrer Personendaten erhalten müssen. |
| Mehr Transparenz | Wer Daten verarbeitet, muss künftig bei der Beschaffung von Personendaten seine Identität angeben und Kontaktangaben machen. Ausserdem müssen Zweck der Beschaffung und alle Empfänger im In- und Ausland mitgeteilt werden. |
| Erhöhte Schutzmassnahmen | Risikoreiche Verarbeitungsprozesse erfordern zukünftig eine Datenschutz-Folgenabschätzung. Darin müssen eine Beschreibung der Verarbeitung, eine Risikobewertung und geeignete Schutzmassnahmen enthalten sein. |
| Schnelleres Meldeverfahren | Liegt eine Datenschutzverletzung vor, muss das schnellstmöglich dem EDÖB gemeldet werden. |
| Höhere Strafen | Bei Verstössen können Sanktionen von bis zu 250.000 Franken verhängt werden, und es besteht auch eine persönliche Strafbarkeit. |
Was bleibt unverändert?
Im Gegensatz zur DSGVO bleibt die Art und Weise der Datenverarbeitung im Schweizer Datenschutzgesetz weitgehend unverändert. Private Unternehmen benötigen keine Zustimmung oder andere Rechtfertigungen für die Verarbeitung personenbezogener Daten, sofern diese Bedingungen erfüllt sind:
- Die Grundsätze der Datenverarbeitung in Bezug auf Transparenz, Zweckbindung und Verhältnismässigkeit müssen eingehalten werden.
- Die betroffene Person hat der Verarbeitung nicht widersprochen.
- Es werden keine besonders sensiblen personenbezogenen Daten an Dritte weitergegeben.
Nicht-Befolgen kann teuer werden!
Verstösse gegen das neue Datenschutzgesetz können mit Geldbussen von bis zu 250.000 Franken für Privatpersonen und bis zu 50.000 Franken für Unternehmen geahndet werden. Besonders gefährdet sind Unternehmen, die grosse Mengen an personenbezogenen Daten verarbeiten, Profiling betreiben, Webshops betreiben oder Daten ausserhalb der EU übermitteln. Hier findet sich auch der örtliche Unterschied zur DSGVO, da diese nicht natürliche Personen, sondern Unternehmen mit erheblich höheren Geldbussen bestraft.
Worauf sollten Sie bei Softwarelösungen achten?
In der Folge heisst das, dass Sie nicht nur Ihre unternehmensinternen Strukturen, sondern auch Ihre Softwarelösungen genau unter die Lupe nehmen müssen. Vor allem, wenn es sich um Technologien handelt, die sensible Daten übertragen oder enthalten.
Es gibt ein paar Praktiken im Datenschutz, auf die Sie achten können. Vor allem im digitalen Dokumentenmanagement ist es wichtig, dass Ihre Software mit einer Zero-Document-Knowledge-Technologie arbeitet, also den Inhalt der eigentlichen Dokumente nicht aus lesen kann. Die Daten werden im besten Fall lokal verarbeitet und vor der Übertragung bereits Ende-zu-Ende verschlüsselt, damit sie bei einem Hack oder Datenleak nicht ausgelesen werden können.
Achten Sie auch darauf, wo die Server Ihrer genutzten Software stehen, und in welchem Land das Unternehmen ansässig ist. EU-ansässige oder Schweizer Unternehmen mit ISO-zertifizierten Servern auf europäischen Boden kennen sich mit den Schweizer Datenschutzgesetzen besser aus.
Wenn Sie also Ihre Dokumente und Prozesse digitalisieren, empfiehlt es sich gleich auf eSignaturen umzusteigen und eine eSigning-Lösung wie Certifaction zu favorisieren, bei der Datenschutz höchste Priorität hat. Dank modernster Privacy-by-Design Technologien profitieren beide Vertragsparteien von einem hohen Mass an Datensicherheit.
Weitere Tipps zur Implementierung des Datenschutzgesetzes
Abgesehen von der genauen Betrachtung Ihrer im Unternehmen genutzten Softwarelösungen, gibt es noch einige andere Punkte, die Sie befolgen können, um einen reibungslosen Übergang zu gewährleisten und den Umgang mit Daten gemäss der überarbeiteten Datenschutzgesetzgebung anzupassen:
- Datenschutzerklärungen anpassen: Prüfen und gleichen Sie Datenschutzerklärungen auf Online-Plattformen und in Vertragsunterlagen mit dem neuen Gesetz ab.
- Interne Richtlinien aktualisieren: Bringen Sie Ihre internen Richtlinien zur Datenverarbeitung auf den neuesten Stand.
- Verzeichnis zur Datenverarbeitung erstellen.
- Bearbeitungsprozess für Anfragen betroffener Personen einführen.
- Prozess für Umgang mit Datenschutzverletzungen etablieren.
- Datenschutz-Folgenabschätzung bei sensiblen Daten implementieren.
- Verträge mit Auftragsverarbeitern überprüfen: Meldepflichten und Datensicherheit sicherstellen.
- Löschung oder Anonymisierung von Daten gewährleisten.
- Transparenz bei Datenübermittlung in andere Länder sicherstellen.
- Angemessene technische und organisatorische Massnahmen für Datensicherheit ergreifen.
- Datenportabilität und Zusammenhang zum Vertrag sicherstellen.
- Datenschutzbeauftragte/n ernennen und beim EDÖB melden.
Wann sollten Sie die Anpassungen starten?
Erstellen Sie ein Inventar der vorhandenen Personendaten, bevor Sie sich an die Umstellung Ihrer Prozesse und Datenschutzvorgänge wagen. So haben Sie den Überblick, welche Daten verarbeitet werden. Anschliessend empfehlen wir Ihnen die Durchführung einer Gap-Analyse. Ein Tipp: Prüfen Sie, welche Daten tatsächlich erhoben werden müssen.
Der erforderliche Zeitaufwand für die Umsetzung der Datenschutzbestimmungen variiert je nachdem, ob Ihr Unternehmen als besonders betroffen gilt und welche Anpassungen bereits vorgenommen wurden. Ihr Unternehmen arbeitet bereits nach der DSGVO? Prima! Dann müssen Sie kaum noch Änderungen vornehmen. Wenn Sie bisher jedoch ausschliesslich in der Schweiz unternehmerisch tätig waren, sollten Sie umgehend beginnen.
#esignatur #sicherheit