1 Jahr neues Datenschutzgesetz

Seit der Einführung des neuen Datenschutzgesetzes (DSG) im September 2023 hat sich in der Schweizer Unternehmenswelt einiges verändert. Nachdem das bis dahin geltende Gesetz aus dem Jahre 1992 stammte und mit den aktuellen Veränderungen nicht mehr mithalten konnte, wurde das Datenschutzgesetz für einen weiterhin freien Datenverkehr mit der EU überarbeitet.

Die neuen Bestimmungen brachten weitreichende Veränderungen mit sich. Der Schutz von Personendaten ist zu einem zentralen Thema geworden, und sowohl Auftraggeber als auch Auftragnehmer müssen sich an die neuen Vorschriften halten. Auffallend ist, dass nicht in erster Linie die stark erhöhten Bussen dafür sorgen, dass das DSG ernst genommen wird, sondern vor allem die Kunden und Vertragspartner der Unternehmen. Das erste Jahr des DSG hat diesbezüglich wichtige Entwicklungen gezeigt.

Kundenforderungen im Fokus

Die Anfragen von Kunden und Betroffenen zu ihren Datenschutzrechten haben erheblich zugenommen. Viele verlangen Auskunft über gespeicherte Daten oder deren Löschung. Dies ist Ausdruck eines gestiegenen Datenschutzbewusstseins. Allerdings sind nicht alle Löschungsbegehren immer rechtlich durchsetzbar. Überwiegende Interessen oder gesetzliche Pflichten können einem Löschanspruch entgegenstehen.

Beispiel: Ein Kunde verlangte die Löschung seiner Personendaten, da er mit den Leistungen unzufrieden war. Aufgrund der gesetzlichen Buchführungs- und Aufbewahrungspflicht dürfen Rechnungen jedoch erst zehn Jahre nach Vertragsabschluss gelöscht werden (Art. 958f OR). Alle anderen Bearbeitungen, wie die Deaktivierung des Kunden im Kundenmanagementsystem, die Einstellung von Werbung wie Newsletter und die Löschung aller Marketinginformationen über seine Interessen, müssen sofort eingestellt werden.

Datensicherheit als Pflicht

Mit der Umsetzung des DSG geht auch eine erhöhte Pflicht zur Datensicherheit einher. Das vorsätzliche Unterlassen von angemessenen Sicherheitsmassnahmen ist strafbar. Unternehmen müssen sicherstellen, dass Kundendaten vor Angriffen geschützt sind. Wichtige Punkte sind die korrekte Vergabe von Zugriffsrechten, Sicherheitsrichtlinien, Netzwerkschutz, regelmässige Software-Updates und ein Disaster Recovery-Management.

Datensicherheit Top-5:

1. Zugriffe und Authentifizierungen richtig vergeben,

2. Sicherheitsrichtlinien und -protokolle erstellen und einhalten,

3. Netzwerksicherheit mit Firewalls und Virtual Private Networks (VPNs) schützen,

4. Regelmässige Software-Updates durchführen,

5. Notfallwiederherstellung und Backup-Strategien festlegen.

KI und Datenschutz

Künstliche Intelligenz (KI) hat auch in der Geschäftswelt Einzug gehalten. KI-Systeme bieten ein grosses Potenzial zur Effizienzsteigerung. Unternehmen müssen jedoch darauf achten, dass keine Personendaten oder Geschäftsgeheimnisse in die Prompts eingegeben werden, da diese Daten möglicherweise für das Training der KI verwendet werden könnten. Eine Schulung der Mitarbeitenden und der Einsatz von datenschutzfreundlichen Versionen sind daher unerlässlich.

Was ist zu tun: Mitarbeitende schulen, keine Personendaten und Geschäftsgeheimnisse im Prompt einzugeben, bei Bedarf auf die Team- oder Enterprise-Version upgraden, die den Datenschutz garantiert, mit der Möglichkeit, eine Auftragsbearbeitungsvereinbarung abzuschliessen.

Anforderungen an Schweizer Unternehmen

Die Anforderungen an Schweizer Unternehmen und der Dokumentationsaufwand sind mit dem DSG deutlich gestiegen. Das erste Jahr des neuen Datenschutzrechts zeigt jedoch, dass die gestiegenen Anforderungen auch pragmatisch umgesetzt werden können. Einer der wichtigsten Punkte bleibt bestehen. Der freie Datenverkehr mit EU-Dienstleistern ist weiterhin möglich und seit August 2024 ist der Datenverkehr in die USA durch das Data Privacy Framework erleichtert.

Das neue Gesetz räumt den Betroffenen zwar weiterreichende Rechte ein, die Wahrnehmung und insbesondere die Durchsetzung dieser Rechte bleiben jedoch weitgehend unverändert. Die Vielzahl von Datenschutzerklärungen und Cookie-Hinweisen, die in der Schweiz nach wie vor nicht erforderlich sind, es sei denn, es werden Drittdienste für personalisierte Werbung genutzt, erhöht zwar das Bewusstsein, erleichtert aber nicht die Durchsetzung der Betroffenenrechte im Vergleich zum bisherigen Recht. Die zuständigen Aufsichtsbehörden sind gefordert Rahmenbedingungen zu schaffen, die den Betroffenen die Durchsetzung ihrer Rechte erleichtern.

Für die Unternehmen in der Schweiz stehen weiterhin die Harmonisierung der Datenschutzanforderungen auf nationaler Ebene und die Vermeidung unnötiger Bürokratie im Vordergrund. Um die wichtigsten Themen anzugehen, fassen wir die wichtigsten Anforderungen zusammen, die je nach Unternehmensgrösse und Branche zu berücksichtigen sind.

Die wichtigsten Schritte zum Datenschutzgesetz

1. Übersicht zu den Datenbearbeitungen (Art. 12 DSG): Zunächst ist eine Übersicht zu erstellen, aus der die Prozesse und Vorgänge ersichtlich sind, bei denen die Organisation Personendaten bearbeitet (z.B. Webseite, Marketing, Verkauf, Vertrieb, Buchhaltung, Personalverwaltung, E-Shop, Videoüberwachung etc.).

Um einen aussagekräftigen Überblick zu erhalten, sollte die Liste in Anlehnung an eine Bearbeitungsliste folgende Punkte enthalten: Bearbeitungsvorgang, Zweck, Betroffene Personen, Empfänger/Auftragsbearbeiter, Speicherdauer, eingesetzte Systeme (eine Vorlage erhälst Du hier).

2. Datenschutzerklärung (DSE) (Art. 19 DSG): Wenn Personendaten nicht aus einem gesetzlichen Grund erhoben oder bearbeitet werden, muss in der DSE transparent über die Bearbeitung informiert werden. Es empfiehlt sich, die DSE auf der Website zu platzieren, auf den Videokamerahinweisen zu verlinken und soweit erforderlich in Verträge aufzunehmen (Verweis auf die DSE). Für Bewerbende und Mitarbeitende empfiehlt sich eine separate DSE im Personalreglement. Die DSE enthält Kontaktdaten des Unternehmens, Zweck der Datenbearbeitung, Kategorien von Empfängern, Übermittlung ins Ausland (Länder), Rechte der betroffenen Personen.

3. Auftragsbearbeitungsverträge (ADV) (Art. 9 DSG): Die meisten Unternehmen gewähren auch Dritten Zugriff zu den Unternehmensdaten (z.B. IT-Dienstleister, Marketing etc.). Der Auftragsbearbeiter darf nur im Auftrag des Verantwortlichen und nur im Rahmen der im gemeinsamen Vertrag festgelegten Rechte und Pflichten tätig werden. Mit Dritten ist daher ein sogenannter ADV abzuschliessen, ein Vertrag, der die Verantwortlichkeit und die Datenhoheit festlegt und den Dritten zur Einhaltung des Datenschutzes und der Datensicherheit verpflichtet. Ein ADV nach EU-Recht mit einem Verweis auf das DSG genügt in der Regel.

4. Datensicherheit (Art. 8 DSG): Personendaten sind durch technische und organisatorische Massnahmen zu schützen.

a. Technisch: Zugang nur mit persönlichem Account, MFA, Zugriff von Dritten nur auf Anfrage, Firewalls, Antiviren-Software, Backups, etc.

b. Organisatorisch: Clean-Desk, Need-to-Know-Prinzip, Verpflichtung zum Datenschutz und Schulungen, Schreddern, etc.

c. Meldepflicht (Art. 24 DSG): Bei Datenverlust ist eine Meldung an den EDÖB und allenfalls an die betroffenen Personen zu prüfen.

d. Datenschutz-Folgenabschätzung (DSFA) (Art. 22 DSG): Bearbeitet die Organisation viele, besonders schützenswerte oder besonders sensible Personendaten und können Fehler oder andere Risiken zu einer Gefährdung der betroffenen Personen führen, ist eine DSFA (Risikoanalyse) durchzuführen und zu dokumentieren. Mit der DSFA werden die getroffenen Massnahmen zum Schutz der Personendaten vertieft und auf ihre tatsächliche Eignung überprüft.

5. Auslandsübermittlung (Art. 16 DSG): Schweizer Organisationen dürfen je nach Branche und Branchenstandard Personendaten auch in Länder übermitteln und Auftragsbearbeiter einsetzen, die einen Datenschutzstandard aufweisen, der dem schweizerischen Datenschutzgesetz gleichwertig ist (z.B. EU, UK, EWR usw. gemäss Länderliste). In anderen Ländern dürfen Daten bearbeitet werden, wenn dies im Einzelfall erforderlich und vertraglich geregelt ist, wenn die betroffene Person auf einen besonderen Schutz verzichtet hat oder wenn sogenannte Standardvertragsklauseln der EU mit Verweis auf die Schweiz, vorliegen.

6. Betroffenenrechte (Art. 25 ff DSG): Die betroffene Person hat das im DSG festgelegte Recht, Auskunft über die sie betreffenden Personendaten (nicht Dokumente) zu erhalten und weitere Auskünfte zu verlangen. Das Gesetz sieht eine Frist von 30 Tagen für die unentgeltliche Auskunftserteilung vor. Zuvor muss die gesuchstellende Person identifiziert werden. Achtung: Eine unrichtige oder unvollständige Auskunft ist strafbar. Der Zweck der Auskunft muss dem Persönlichkeitsschutz dienen.

Weitere Rechte sind: Berichtigung unrichtiger Daten; Datenübertragung oder -herausgabe; eine Einwilligung widerrufen oder einer Bearbeitung zu widersprechen; die Löschung kann nur verlangt werden, wenn keine überwiegenden oder gesetzlichen Gründe dem Entgegenstehen.

7. Datenschutzgrundsätze (Art. 6 DSG): In den Prozessen der Organisation sind die Grundsätze zum Datenschutz umzusetzen: Rechtmässigkeit, Treu und Glauben, Zweckbindung, Löschgebot, Richtigkeit, Transparenz und Datensicherheit. Diese Grundsätze und die Verfahren zur Einhaltung der Sorgfaltspflichten dokumentiert die Organisation in Unternehmensrichtlinien, Weisungen und Guidelines für Mitarbeitende.

8. Privacy by Default (Art. 7 DSG): Wenn einem Betroffenen eine Auswahl geben wird, sollen die Datenschutz- und die Sicherheitseinstellungen eines Systems, einer Anwendung oder eines Produkts standardmässig auf die sichersten oder datenschutzfreundlichsten Optionen eingestellt werden.

9. Kleines Berufsgeheimnis (Art. 62 DSG): Personendaten, die der Organisation übergeben wurden, sind vertraulich zu halten, sofern dem Betroffenen nichts anders mitgeteilt wurde.

10. Schulung der Mitarbeitenden: Bei der Umsetzung und Einhaltung des Datenschutzes sind die Mitarbeitenden sehr wichtig. Es gibt viele Gründe, warum die Mitarbeitende im Datenschutz zu schulen sind:

a. Strafen vermeiden: Verstösse gegen Datenschutzgesetze können zu erheblichen persönlichen Strafen führen.

b. Datensicherheit: Ausgebildete Mitarbeitende sind besser darauf vorbereitet, potenzielle Sicherheitsrisiken zu erkennen und zu vermeiden, wie Phishing-Angriffe, unsichere Passwörter und andere Sicherheitsprobleme.

c. Vertrauen der Kunden: Kunden vertrauen Unternehmen, die ihre Daten schützen. Eine gute Datenschutzpraxis kann zur Kundenzufriedenheit beitragen.

Fazit

Das erste Jahr des neuen DSG hat in der Schweizer zu spürbaren Veränderungen geführt. Verschiedene Branchen haben sich auf den Weg gemacht, Datenschutz ernst zu nehmen und Sicherheitsmassnahmen zu verbessern. Die kommenden Jahre werden zeigen, wie sich das DSG weiter auf die Unternehmenslandschaft auswirken wird. Kontinuierliche Schulungen, Anpassungen der internen Prozesse und die Zusammenarbeit mit Datenschutzexperten werden entscheidend für den erfolgreichen Umgang mit den neuen Anforderungen sein.

Unsere Experten stehen Dir bei der Prüfung und Bewertung gerne zur Verfügung.

Hier gelangst Du zu unserem Datenschutzteam.

Datenschutz

Google Consent – Kommt die Pflicht zum Cookie-Banner?

Arbeitsrecht

Homeoffice IV

Baurecht

Virtuelle ZEV und lokale Elektrizitätsgemeinschaften (LEG)

Fachbeiträge

Die Anti-Dilution-Klausel

Baurecht

Mantelerlass sichere Stromversorgung – die wichtigsten Änderungen

Arbeitsrecht

Blogserie Mitarbeiterbeteiligungen II: Mitarbeiterbeteiligungen und ihre steuerlichen Auswirkungen: Eine kurze Übersicht

optional
optional
optional