Das revidierte Datenschutzgesetz tritt am 1. September 2023 in Kraft.
Was ist Datenschutz überhaupt?
Daten, die natürliche Personen „Menschen“ betreffen, sollen vor Missbrauch geschützt werden. Das revidierte Gesetz soll unsere Privatsphäre besser wahren und uns ermöglichen, selbst über die Bearbeitung unserer Daten zu bestimmen.
Die wichtigsten Neuerungen der revDSG
- Ein Unternehmen muss die Betroffenen besser und umfassender informieren, welche Personendaten zu welchen Zwecken bearbeitet werden.
Unternehmen müssen besser dokumentieren, wie sie Personendaten bearbeiten: Das beinhaltet Aufzeichnungen über vorhandene Personendaten, die Art sowie der Zweck der Bearbeitung und die Empfänger dieser Daten. - Die Sicherheit der Personendaten hat jetzt eine höhere Priorität: Es sind technische und organisatorische Massnahmen umzusetzen.
- Bei Datensicherheitsvorfällen ab einem gewissen Schweregrad z. B. bei Datendiebstahl, -Verlust, oder Leck besteht die Pflicht den Eidgenössischen Datenschutzbeauftragten und die betroffenen Personen informieren.
- Die vorsätzliche Missachtung des Datenschutzgesetzes wird mit Bussen von bis zu CHF 250’000 bestraft. In erster Linie drohen diese Bussgelder den verantwortlichen Personen. Lässt sich die Verantwortung nicht genau zuordnen, wird das Unternehmen gebüsst.
Was muss ein KMU jetzt tun, um Datenschutzverletzungen zu vermeiden?
Je nach Unternehmen und den konkreten Datenbearbeitungen variieren die Massnahmen. Grundsätzlich gilt: Der Aufwand soll sich nach der Grösse des Unternehmens richten, der Menge an Datenbearbeitungen und vor allem den Auswirkungen auf die betroffenen Personen. Dies sind die wichtigsten Punkte, die KMU von 1 bis 250 Mitarbeiter umsetzen sollten:
- Eine Person bestimmen, die sich der Sache annimmt und eine Bestandsaufnahme macht: Sie dokumentiert in einem Bearbeitungsverzeichnis, bei welchen Prozessen im Unternehmen Personendaten verarbeitet werden. Für Unternehmen mit weniger als 250 Mitarbeitenden, die keine sensitiven Daten bearbeiten und die kein Hochrisiko-Profiling machen, ist ein solches Verzeichnis freiwillig. Für alle anderen ist es Pflicht!
- Sind in deinem Unternehmen Drittpersonen mit gewissen Datenbearbeitungen beauftragt? Dann überprüfen Sie, ob die Daten ins Ausland gehen und was es für solche sogenannten Auftragsbearbeitungen zu regeln gilt (z. B. Verträge zur Auftragsbearbeitung abschliessen).
- Prozesse, die aus Sicht der betroffenen Personen besonders risikoreich sind, müssen genauer geprüft werden. Allenfalls ist es notwendig, eine sogenannte Datenschutz-Folgeabschätzung vorzunehmen, auch „dokumentierte Risikobeurteilung“ genannt.
- Die betroffenen Personen informieren. Für gewöhnlich geschieht das mit einer Datenschutzerklärung auf der Website.
- Die Informations-Sicherheit prüfen und allenfalls anpassen.
- Prozesse implementieren für die Beantwortung von Anfragen der betroffenen Personen (Auskunftsbegehren) und für den Fall von Sicherheitsvorfällen (Spezialkommunikation).
- Diese Prozesse regelmässig überprüfen und aktualisieren.
Welche Unternehmen sind vom neuen Datenschutzgesetz besonders betroffen?
Grundsätzlich alle, die grosse Mengen Personendaten bearbeiten, deren Datenbearbeitung besondere Risiken für die betroffenen Personen haben oder wenn sie besonders schützenswerte Personendaten bearbeiten. Beispiele für besonders schützenswerte Informationen sind Gesundheitsdaten oder biometrische Daten. Wenn Sie einen Online-Shop führen, sollten Siebei der Umsetzung ebenfalls ganz genau hinschauen.
Welche Übergangsfristen gelten?
Es gibt keine Übergangsfristen. Alle Unternehmen müssen die neuen Datenschutzvorschriften bis zum Inkrafttreten des revidierten Datenschutzgesetzes umsetzen, also bis zum 1. September 2023
Wo gibt es Hilfe, um die neuen Anforderungen an den Datenschutz umzusetzen?
Das tönt furchtbar kompliziert? Auf den ersten Blick schon. Lassen Sie sich davon aber nicht abschrecken. Wichtig ist, dass Sie damit beginnen. Natürlich stehen wir Ihnen als Datenschutzexperten gerne zur Verfügung.
