Lange war von einer Einführung in diesem Jahr die Rede. Dann wurde sie auf das nächste verschoben. Aktuellen Angaben des Bundesamtes für Justiz zufolge steht jetzt September 2023 zur Debatte. Ob früher oder später, Fakt ist: Das neue Schweizer Datenschutzgesetz (DSG) kommt.
Das Gute an der erneuten Verzögerung ist, dass Unternehmer nochmals aufatmen können. Denn sie haben jetzt noch die Möglichkeit, sich innerhalb der verbleibenden Zeit allen notwendigen Business-Anpassungen zu widmen. Das ist enorm wichtig, da die Nichteinhaltung schon bald hohe Sanktionen zur Folge haben kann.
Doch was ändert sich mit der Totalrevision des Schweizer Datenschutzgesetzes eigentlich genau? Und wie kann ich mein Unternehmen fit dafür machen? Wir erklären Ihnen das Wichtigste.
Datenschutzgesetz Schweiz: Was bislang geschah
Dass das Schweizer Datenschutzgesetz den rasanten Entwicklungen der Digitalisierung bisweilen stark hinterherhinkte, ist kein Geheimnis. Schliesslich stammt es noch aus 1992.
Der Schutz der Privatsphäre ist zentral beim neuen Datenschutzgesetz Schweiz – Foto von Debby Hudson auf Unsplash
Mit der Einführung der neuen Datenschutzbestimmungen am 1. März 2019 wurde ein erster entscheidender Grundstein gelegt, was den Schutz personenbezogener Daten im Schengener Abkommen anbelangte. Dazu machten die neuen Bestimmungen den Geschäftsverkehr zwischen Schweizer und EU-Firmen einfacher.
Die Totalrevision des DSG schafft einheitliche Regeln
Nach vielerlei Debatten erfolgt nun der seit Langem erwartete zweite Schritt – die Totalrevision des DSG. Das neue Schweizer Datenschutzgesetz wird dabei stark an die DSGVO angepasst.
Ziel ist, die Persönlichkeits- und Grundrechte natürlicher Personen im Rahmen von Internetgeschäften weiter zu stärken. Zum anderen soll es die bislang noch bestehenden Schwierigkeiten von grenzüberschreitenden Datenübermittlungen innerhalb des Geschäftsverkehrs vereinfachen. Das neue DSG soll Stolpersteine innerhalb unterschiedlicher digitaler Richtlinien aus dem Weg räumen und Einheit schaffen – wobei sich das DSG Abweichungen erlaubt.
Datenschutzgesetz Schweiz: Für wen gilt es?
Vereinfacht gesagt gilt das DSG für alle Schweizer und alle internationalen Unternehmen, die Personendaten von in der Schweiz ansässigen Personen verarbeiten und grenzüberschreitende Geschäfte tätigen. Es ist das Pendant zur DSGVO, die für Daten aus der EU gilt.
Weiterführende Gesetze, die darüber hinaus in Kraft treten können, sind das Bundesgesetz für Privatrechtsfälle und das Strafgesetzbuch für Strafrechtsfälle. Beim Wort “Datenverarbeitung” ist Achtung geboten. Hiermit sind nicht nur die aktuelle Verwendung von Personendaten, sondern auch zum Beispiel das Speichern oder die Archivierung von Daten gemeint.
Das neue DSG soll die Schweizer Idylle erhalten und die Privatsphäre schützen. Foto von Sven Fischer auf Unsplash
Das neue Schweizer Datenschutzgesetz:
Die wichtigsten 7 Neuerungen
Inhaltlich enthält das neue Datenschutzgesetz so einige Neuerungen. Doch keine Sorge, die für KMU wichtigsten Punkte lassen sich einfach erklären:
1. Die “besonders schützenswerten Personendaten” werden umfassender
Einer der relevantesten Punkte, die Unternehmer in Sachen Schweizer Datenschutzgesetz und CRM zu beachten haben, ist, dass natürliche Personen zukünftig noch stärker geschützt werden. Bislang galten als “besonders schützenswerte” Personenangaben zum Beispiel Ausführungen über die Herkunft einer Person, gesundheitsrelevante Aspekte oder die Angabe über die Religionszugehörigkeit sowie politische Meinungen oder andere Weltanschauungsfragen.
In Zukunft kommen weitere digital erfassbare Identifikationsdaten mit in den Gesetzesbestandteil. Das sind biometrische Daten wie der Fingerabdruck oder der Retina-Scan sowie genetische Daten, zusätzlich auch Angaben über die Zugehörigkeit zu einer Ethnie.
2. Profiling wird nun auch im DSG verankert
Und weiter geht es im Schutz der Persönlichkeitsrechte: Der Begriff “Profiling” erhält im neuen Schweizer Datenschutzgesetz eine grosse Relevanz.
Als Profiling werden Kundendaten beschrieben, mithilfe derer sich ein genaues Bild über einen Menschen machen lässt. Dazu zählen Merkmale wie der Wohnort einer Person, ihre Hobbys und Interessen. Aber auch Daten wie die Entwicklung der Arbeitsleistung, wirtschaftliche Verhältnisse oder Angaben über den Gesundheitszustand eines Menschen gehören dazu.
Mit hoher Sensibilität verarbeitet werden dürfen solche Daten künftig zwar weiterhin, aber nur, sofern sie die Persönlichkeitsrechte nicht ausdrücklich verletzen. Wenn eindeutig Wesenszüge einer Person abzulesen sind, handelt es sich um “Profiling mit hohem Risiko”. Hierbei muss vorab immer eine ausdrückliche Einwilligung der Person erfolgen.
3. Stichworte Privacy-By-Default und Privacy-By-Design
Sind Ihnen diese Stichworte bereits einmal zu Ohren gekommen? Sie spielen im neuen Datenschutzgesetz der Schweiz zukünftig eine ganz besondere Rolle.
- Privacy-by-Default bezeichnet die Vorgabe, dass die tatsächlich verarbeiteten Personendaten mit dem Verwendungszweck in eindeutigem Einklang stehen müssen. Jegliche Nutzung zusätzlicher “vermeidbarer” Angaben erfordert die Inkenntnissetzung inklusive vorherige Zustimmung der Person.
- Privacy-by-Design umfasst eine Reihe von vorgegebenen Bearbeitungsgrundsätzen, die bereits bei der Aufnahme von Daten umgesetzt sein muss. Eine genaue interne Planung datenschutzrechtlicher Voreinstellungen ist essenziell und erspart Ihnen womöglich viel Ärger im Nachhinein.
4. Die Benachrichtigungspflicht tritt ein
Mit dem Begriff “Data Breach Notification” wird die erforderliche Massnahme bezeichnet, dass jegliche Datenverluste unverzüglich zu melden sind. Empfänger sind hierbei zum einen die Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Zum anderen müssen auch die jeweiligen Personen informiert werden, deren Daten betroffen sind. Letzteres jedoch nur im Falle, dass deren Persönlichkeits- oder Grundrechte in Gefahr sind.
5. Eine erweiterte Informationspflicht wird ergänzt
Die Information der betroffenen Personen über bestimmte Mindestkriterien wird zukünftig als Pflicht eingeführt. Demnach müssen die Daten verarbeitenden Unternehmen mindestens die folgenden Punkte offenlegen:
- Die Identität sowie die Kontaktdaten der Verantwortlichen
- den Bearbeitungszweck
- die Empfänger beziehungsweise die Empfängerkategorie
- den gesonderte Hinweis auf eine mögliche automatische Datenerhebung
Bei einer Weitergabe von Daten ins Ausland sollte die Einwilligung der betroffenen Person vorliegen beziehungsweise der Schritt vertragsrechtlich notwendig sein. Zusätzlich müssen Sie als KMU nachweisen können, dass auch im Zielland alle datenschutzrechtlich notwendigen Bestimmungen eingehalten werden.
6. Geschützt sind zukünftig nur noch natürliche Personen
Für Unternehmen wichtig zu wissen ist, dass die Revision des DSG für Sie bedeutet, dass sie selbst sich als Betrieb, also als juristische Person, nicht mehr auf das Gesetz berufen können. Die Schutzinhalte gelten nur noch für natürliche Personen. Firmen finden ihre Rechte jedoch nach wie vor in Gesetzbüchern, die sich auf das Firmenrecht beziehen. Unternehmen können sich auch an den Inhalten diverser anderer Rechtsgrundlagen wie dem ZGB oder UWG orientieren.
7. Eine Risikoplanung wird in bestimmten Fällen Pflicht
Als eine der letzten besonders wichtigen Neuerungen im revidierten DSG sind Daten-Folgenabschätzungen zu nennen. Diese werden Pflichtbestandteil im Falle besonders risikoreicher Datenverarbeitungen.
Hierbei übernehmen die Verantwortlichen die Vorkalkulation der möglicherweise entstehenden Risiken sowie auch Massnahmen zur Reduzierung dieser. Ziel ist, zusammenhängende Gefahren auf ein Minimum zu reduzieren – und das im Zweifel auch nachweisen zu können.
Wie sichere ich mein KMU so ab, dass ich alle neuen Bestimmungen einhalte?
Ein gut kooperierendes Team ist bereits die halbe Miete, wenn es darum geht, Neuerungen anzupacken. Das gilt auch für die Implementierung des neuen Schweizer Datenschutzgesetzes. Gehen Sie jetzt alle Vorplanungen rasch und stringent an, sind Sie bis zur Bekanntgabe gut vorbereitet.
Sie haben bereits mit den Vorbereitungen begonnen? Umso besser. Eine Gap-Analyse ist die beste Vorgehensweise, um die letzten Lücken zu schliessen.
Folgende Aspekte sind wichtig:
- Als Unternehmer sollten Sie immer den Überblick darüber behalten, welche Daten genau und für welchen Zweck verarbeitet werden. Im Zweifel können Sie prompt Rede und Antwort stehen und erleben keine unangenehmen Überraschungen.
- Überprüfen und hinterfragen Sie die Erfassung persönlicher Daten kritisch. Was ist für Ihren Verwendungszweck wirklich notwendig? Können Sie darüber hinausgehende Datenerfassungen sofort erklären?
- Reduzieren Sie Abfragekriterien an Ihre Kunden auf ein Mindestmaß.
- Schränken Sie den internen Datenzugriff innerhalb Ihres Unternehmens auf möglichst wenige relevante Personen ein.
- Überprüfen Sie Ihre Datenschutzerklärungen detailliert und passen Sie diese wenn notwendig an.
- Führen Sie eine Bestandsaufnahme Ihrer technischen Voreinstellungen durch und verbessern Sie diese. Überprüfen Sie gleichzeitig die Benutzerfreundlichkeit von datenbezogenen Abfragungen und eröffnen Sie Anwendern einen Einblick auf die Nutzung der Pflichtangaben.
- Führen Sie Schulungen im Unternehmen durch, um alle Mitarbeiter für die Wichtigkeit des Themas zu sensibilisieren.
|
Achtung: Auch Geschäftspartner stellen in vielen Fällen natürliche Personen dar (Erfassung von Geburtstagen, Familienverhältnissen, sonstigen Gesprächsinhalten). |
Wer kann mich bei der Planung unterstützen?
Machen Sie sich keine zu grossen Sorgen, wenn Sie die ganzen neuen Bestimmungen verwirren oder Ihnen schlichtweg die Kapazität dazu fehlt, sich mit der Thematik ausführlich auseinanderzusetzen. Damit stehen Sie als Gründer oder Unternehmer gewiss nicht alleine da.
Unser Team von KMU Digitalisierung ist auf wachsende Unternehmen spezialisiert und bietet Ihnen sowohl Einzel- als auch Rundum-Lösungen an. In Bezug auf eine ausführliche Planung und Umsetzung Ihrer CRM-Massnahmen unterstützen wir Sie sehr gerne. Wir können zudem bei Bedarf entsprechende Rechtsexperten beiziehen, die die rechtliche Expertise einbringen können.
Zoho als All-In-One-Lösung im CRM-Management
In Bezug auf die Prozessoptimierung setzen wir auf Zoho, sowohl als All-in-One CRM-Softwarelösung als auch für Einzelservices. Als zertifizierter Zoho-Partner für die Schweiz bieten wir KMU die Integration der vollständigen CRM-Lösungs-Plattform über uns an. Sie erhalten damit eine sichere Grundlage für den Schutz Ihrer Kundendaten und werden von uns gleichermassen bei der Einhaltung aller Regularien des neuen Datenschutzgesetzes der Schweiz in Ihrem CRM unterstützt.
Selbst Microsoft kämpft noch mit Schwierigkeiten in der Umsetzung
Dass Zoho schon heute vollständig DSGVO-konform ist, stellt einen absoluten Pluspunkt dar. Denn überraschenderweise hat selbst Microsoft teilweise noch Probleme bei der Umsetzung der Bestimmungen.
Foto von Annie Spratt auf Unsplash
So ist in aktuellen Medienberichten nachzulesen, dass der zuständige Datenschutzbeauftragte rund 40 Schulen in Baden-Württemberg auffordert, einen verbindlichen Zeitplan zum Umstieg auf Alternativen zu Microsoft 365 vorzulegen. Hintergrund war ein Pilotprojekt des Kultusministeriums in Baden-Württemberg, bei dem die Erfüllung der Datenschutzanforderungen durch den Microsoft Cloud-Dienst überprüft wurde.
Probleme bei der Umsetzung? Wir helfen Ihnen gerne!
Wir können und werden keine Rechtsberatung abgegeben. Jedoch können wir gemeinsam mit Ihnen, mit Datenschutz-Experten und unserem Know-how helfen, gemeinsam für Sie die beste Lösung zu finden. Haben Sie noch Fragen zum neuen Schweizer Datenschutzgesetz, dessen Umsetzung in CRM oder zu unseren Preisen und Leistungen? Dann freuen wir uns von Ihnen zu hören!
Quellen:
Das ist neu am revidierten Schweizer Datenschutzgesetz | Netzwoche
Stärkung des Datenschutzes (admin.ch)
Wie Sie Ihr Unternehmen fit für den Datenschutz machen (getyourlawyer.ch)
Dein Kommentar
An Diskussion beteiligen?Hinterlasse uns Deinen Kommentar!