«Es kommen neue Pflichten auf die KMU-Betriebe zu»

Am 1. September treten in der Schweiz das totalrevidierte Datenschutzgesetz und die dazugehörenden Ausführungsbestimmungen ohne eine Übergangsfrist in Kraft. Was sind die wichtigsten Eckpunkte des neuen Datenschutzgesetzes?

Franziska Pertek: Neben Begriffsanpassungen sind vor allem Einführen des Datenschutzberaters als Fachmann im Unternehmen zum Thema Datenschutz, die Stärkung der Datensicherheit durch die Datenschutzfolgeabschätzung (bei Einführungen von neuen Technologien soll vorab die Datenschutzkonformität geprüft werden) oder privacy by design (datenschutzfreundliche Voreinstellung bei neuen Technologien zum Beispiel) zu erwähnen.

Durch das neue Datenschutzgesetz werden ferner die Informationspflichten bei Datenbearbeitung ausgebaut – beispielsweise die Bekanntgabe des konkreten Empfangsstaates bei Datentransfer. Neu hat die betroffene Person Anspruch auf Datenherausgabe und Datenübertragung in einem gängigen elektronischen Format gegenüber dem Unternehmen, welches diese Personendaten bearbeitet hat. Allfällige Datenpannen müssen neuerdings an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten so rasch wie möglich gemeldet werden.

Das revidierte Datenschutzgesetz regelt auch das Profiling, das heisst die automatisierte Datenbearbeitung, um bestimmte persönliche Aspekte einer Person wie wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort usw. zu bewerten. Im Unterschied zur DSGVO gibt es in der Schweiz keine allgemeine Pflicht zur Einholung einer Einwilligung. Diese besteht nur bei Profiling mit hohem Risiko.

Die neuen Rechtsfolgen nach dem revidierten Datenschutzgesetz beinhalten, dass Verletzungen des Datenschutzgesetzes mit bis zu 250’000 Franken von einer kantonalen Strafverfolgungsbehörde gegen eine natürliche Person geahndet werden können. Ist die natürliche Person für die Datenschutzverletzung nicht zu ermitteln, kann das Unternehmen mit bis zu 50‘000 Franken Strafe gebüsst werden. Ferner hat der EDÖB weitreichende verwaltungsrechtlichen Massnahmen hinzubekommen. Er kann Bearbeitungsvorgänge untersuchen und bei erheblichen Verstössen gegen das Datenschutzgesetz die Datenbearbeitung des Unternehmens unterbrechen oder sogar deren Löschung anordnen.

Der Datenschutz wird den technologischen Entwicklungen angepasst, die Selbstbestimmung über die persönlichen Daten wird gestärkt, die Transparenz bei der Beschaffung von Personendaten wird verbessert. Was bedeutet das für unsere KMU-Betriebe in der Ostschweiz?

Franziska Pertek: Es kommen neue Pflichten auf die KMU-Betriebe zu. Insbesondere administrativ gibt es zumindest am Anfang einiges zu tun. Es sind Datenschutzerklärungen für Kunden und Mitarbeiter zu erarbeiten. Es braucht einen Gesamtüberblick, wo im Unternehmen Personendaten bearbeitet werden. Denn nur so kann man überprüfen, ob die neuen Datenschutzbestimmungen eingehalten werden. Es müssen eventuell neue Verträge mit Drittdienstleistern zum Datenschutz abgeschlossen werden. Vor allem sind die Mitarbeiter zu schulen, denn das grösste Risiko bleibt und ist der Mensch, der das neue Datenschutzgesetz beim täglichen Arbeiten beachten muss.

Mit dem neuen Datenschutzgesetz wird ein Verzeichnis der Bearbeitungstätigkeiten obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU mit weniger als 250 Mitarbeiter vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt. Können Sie das genauer erläutern?

Franziska Pertek: Das Bearbeitungsverzeichnis bildet die Datenbearbeitungsvorgänge innerhalb eines Unternehmens ab. Das revidierte Schweizer Datenschutzgesetz geht davon aus, dass die Bearbeitung von Personendaten an sich nicht verboten ist, wenn hinreichend über die Datenbearbeitung informiert wird. Ausnahmen bestehen nur wenn besonders schützenswerte Personendaten (z.B. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Gesundheitsdaten, Daten über verwaltungs- und strafrechtliche Verfolgung oder Massnahmen der sozialen Hilfe) bearbeitet werden. Hier bedarf es für die Bearbeitung einer ausdrücklichen Einwilligung. Die ausdrückliche Einwilligung bedarf es ferner, wenn Profiling mit hohem Risiko durchgeführt wird.

Dies bedeutet somit, wenn ein KMU mit weniger als 250 Mitarbeitern in ihrem Hauptgeschäft besonders schützenswerte Personendaten bearbeitet oder Profiling als Dienstleistung anbietet, dann muss es eine Bearbeitungsverzeichnis führen. Allerdings ist hier zu bedenken, dass ein solches Bearbeitungsverzeichnis jedem Unternehmen einen Überblick verschafft, wo Personendaten verarbeitet werden. Dies erleichtert generell die Handhabung mit den Datenschutzvorschriften in einem Unternehmen.

Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden. Das tönt nach grossem Aufwand. Wie können die St.Galler KMU die Vorgaben möglichst schlank umsetzen?

Jedes Unternehmen muss über eine gute Datenschutzerklärung auf der Webseite verfügen.

Franziska Pertek: Hier ist das Wichtigste, dass jedes Unternehmen über eine gute Datenschutzerklärung auf ihrer Webseite verfügt. Wenn die Datenschutzerklärung alle Informationen zu den Bearbeitungsprozessen von Personendaten in einem Unternehmen beinhaltet, kann bei jeder Erhebung oder Bearbeitung von Personendaten auf diese verwiesen werden.

Müssen die KMU-Betriebe mit Mehrkosten rechnen, braucht es mehr Personal, was kommt auf die Betriebe zu?

Franziska Pertek: Ich denke schon, dass Initialkosten für das Aufgleisen der neuen Massnahmen entstehen werden. Allerdings wenn die datenschutzrechtlichen Vorgaben in einem Unternehmen umgesetzt sind und die Mitarbeiter initial beschult worden, kann mit einem Datenschutzberater, der sich stets mit den gesetzlichen Vorgaben und den umgesetzten Massnahmen auseinandersetzt, sowie mit jährlichen Schulungsupdates die Mehrkosten im Rahmen gehalten werden. Es darf dabei nicht vergessen werden, dass datenschutzkonformes Verhalten nicht nur im eigenen Unternehmen, sondern auch gegenüber dem Kunden Vertrauen schafft und zur Wettbewerbsfähigkeit des eigenen Unternehmens beiträgt.

Viele Unternehmen, die nach Deutschland oder Österreich exportieren, haben sich bereits an die Datenschutzgrundverordnung der EU angepasst. Was müssen sie beachten? Wo müssen sie nachbessern?

Franziska Pertek: Die DSGVO ist eine sehr gute Grundlage, allerdings gibt es kleine Unterschiede in dem Schweizer Datenschutzgesetz, welche nachgebessert werden müssen. So muss zum Beispiel beim Datentransfer ausserhalb der Schweiz das konkrete Land angegeben werden. Nach DSGVO würde es genügen einfach Datentransfer in die EU- und EFTA Statten anzugeben. Ferner ist es nach dem Schweizer Datenschutzgesetz keine Pflicht einen Datenschutzberater (nach DSGVO: Datenschutzbeauftragten) zu bestellen.

Der Bundesrat hat bei der Präsentation des neuen DSG vor genau einem Jahr erklärt, dass das neue Datenschutzrecht den Wirtschaftsstandort stärke. Wie ist das zu verstehen? Die KMU müssen die Bestimmungen zwingend umsetzen.

Franziska Pertek: Gemäss der europäischen Datenschutzvorschriften können Personendaten ausserhalb der EU unproblematisch transferiert werden, wenn ein angemessenes Datenschutzniveau in dem Empfängerland herrscht. Über die Länder mit einem angemessenen Datenschutzniveau wird von der EU-Kommission eine Liste geführt. Hätte die Schweiz ihr Datenschutzgesetz nicht geändert, wäre sie von dieser Liste gestrichen wurden und dann hätten jeder Datentransfer von Personendaten in die Schweiz von der EU eine bestimmte vertragliche Garantie benötigt. Mit dem neuen Datenschutzgesetz ist diese Gefahr gebannt und es kann weiterhin zum Beispiel Lieferanten oder anderen Dienstleistern Personendaten ausgetauscht werden, wenn für den Datentransfer eine Rechtfertigungsgrund (Einwilligung und Vertrag) vorliegt.