Aufgepasst! Das neue DSG enthält einige Stolperfallen und stellt die meisten Unternehmen vor grosse Herausforderungen. Dabei sind Unternehmen jeglicher Grösse betroffen und insbesondere solche, welche sich bisher nur wenig oder gar nicht dem Thema Datenschutz gewidmet haben. Entsprechend wichtig ist es, sich mit der Thematik auseinanderzusetzen, um finanzielle oder gar strafrechtliche Risiken zu verhindern.
Wird bis zum Inkrafttreten des revidierten DSG am 1. September 2023 keine DSE aufgeschaltet, so riskieren die Verantwortlichen eines Unternehmens, des Vereins oder Verbandes eine persönliche Busse. Zweifelsohne das DSG ist komplex: Das Wichtigste ist, trotzdem anzufangen, die Anforderungen des DSG umzusetzen – oder, wie es Konfuzius sagen würde: «Es ist besser, ein kleines Licht anzuzünden, als über die Dunkelheit zu klagen.» Es ist besser, zunächst Klarheit über den Umgang mit Personendaten zu schaffen, als von Anfang an Perfektion anzustreben.
Inhalt einer Datenschutzerklärung
Alle Unternehmen – also auch alle Gewerbebetriebe – ebenso wie sämtliche Vereine und Verbände – so etwa auch die Gewerbevereine und Berufsverbände – müssen daher künftig verschärfte Regeln beachten. Dazu müssen sie bis zum Inkrafttreten des revidierten DSG am 1. September 2023 unter anderem eine Datenschutzerklärung (DSE) erstellen oder die bereits vorhandene Datenschutzerklärung den neuen Regelungen anpassen. Eine DSE muss nach dem neuen DSG eine Reihe von Mindestinhalten aufweisen, die allerdings nicht sehr weit gehen.
Die komplette Muster-Datenschutzerklärung ist einsehbar auf der Homepage des Schweizerischen Gewerbeverbandes unter folgendem Link: https://www.sgv-usam.ch/schwerpunkte/wirtschaftspolitik/
Das Webinar der Swisscom gibt einen kompakten Überblick
Häufig gestellte Fragen:
Um was geht es?
Bisher waren die Datenschutz-Regeln in der EU deutlich strenger als in der Schweiz. Sollte die EU-Kommission also die Angemessenheit des Datenschutzniveaus in der Schweiz nicht mehr anerkennen, würden schweizerischen Unternehmen in der EU künftig massive Wettbewerbsnachteile drohen, da der Datenaustausch mit Unternehmen in der EU erschwert werden würde. Hauptziel der Totalrevision war es deshalb, das schweizerische Datenschutzrecht auf das Niveau der EU anzuheben.
Reicht eine Datenschutzerklärung auf der Webseite?
Kurz: Nein.
Grundsätzlich ist jedes Unternehmen und jede Organisation verpflichtet sich mit den neuen Anforderungen des revDSG auseinanderzusetzen und allfällig notwendige Massnahmen zu ergreifen. Die blosse Aufschaltung einer Datenschutzerklärung auf der Webseite ist daher nicht ausreichend. Zumal diese auch inhaltlich individuell auf Ihr Unternehmen und dessen Umgang mit Daten massgeschneidert sein muss. Beachten Sie, dass im Rahmen der Revision wesentlich strengere Sanktionen eingeführt wurden. Deshalb kann auch kein Dritter (z.B. Ihre Webagentur) eine Datenschutzerklärung für Sie pfannenfertig erstellen. Nur Sie kennen die Abläufe und Schutzmassnahmen sowie die zuständigen Personen in Ihrem Unternehmen.
Mit welchen Bussen muss ein Unternehmen bei einem Verstoss gegen das neue DSG im schlimmsten Fall rechnen?
Bei vorsätzlichen Verstössen gegen das neue DSG wie bspw. die Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten können Privatpersonen (bspw. Arbeitnehmerinnen und Arbeitnehmer) mit Bussen bis CHF 250’000 bestraft werden. Bei Widerhandlungen in Geschäftsbetrieben können die Unternehmen mit einer Busse bis CHF 50’000 bestraft werden, wenn die Ermittlung der fehlbaren Personen mit unverhältnismässigem Aufwand verbunden wäre.
Welche Unternehmen sind einem besonders hohen Risiko ausgesetzt, gegen das neue DSG zu verstossen?
Betroffen sind grundsätzlich alle Unternehmen. Ein besonderes Risiko besteht für Unternehmen, welche mit ausländischen Kunden oder Lieferanten agieren und entsprechende Mengen an schützenswerten Daten bearbeiten und ins Ausland (ausserhalb der EU) übermitteln.
Müssen sich auch ausländische Firmen an das neue Gesetz halten?
Aufgrund der Tatsache, dass das neue DSG bezüglich des Geltungsbereichs an das Auswirkungsprinzip anknüpft, gilt es auch für ausländische Firmen, die im Schweizer Markt tätig sind beziehungsweise deren Datenbearbeitung sich in der Schweiz auswirkt. Dem gegenüber wirkt die EU-DSGVO genauso für schweizerische Unternehmen, die im EU-Raum tätig sind. Im Übrigen müssen schweizerische Unternehmen gemäss DSG sogar immer einen Datenschutzverantwortlichen ernennen, wenn sie Personendaten von Einwohnern der EU bearbeiten.
Welcher Aufwand kommt mit der Totalrevision des DSG auf Unternehmensinhaberinnen und -inhaber zu?
Dies hängt davon ab, ob ein Unternehmen aufgrund seiner bisherigen Tätigkeit und geographischen Ausrichtung bereits EU-DSGVO-konforme Richtlinien intern aufgesetzt hat oder nicht. Wer hingegen nur in der Schweiz tätig ist und bisher noch nichts unternommen hat – was wohl ein Grossteil der Unternehmen betrifft -, sollte umgehend mit einer datenschutzrechtlichen Analyse beginnen und entsprechende Anpassungen vornehmen.
Muss nun jedes Unternehmen einen Datenschutzbeauftragten ernennen oder einstellen?
Nein, die Ernennung eines Datenschutzbeauftragten ist im Unterschied zur EU-DSGVO freiwillig, bringt aber einige Vorteile. Er ist einerseits Anlaufstelle für Mitarbeitende, Kunden (bei Ausübung ihrer Betroffenenrechte) und Behörden zu Datenschutzthemen. Andererseits entfällt die obligatorische Konsultation des EDÖB im Zusammenhang mit Datenschutz-Folgenabschätzungen bei hohen Risiken, wenn stattdessen der Datenschutzbeauftragte konsultiert wird. Ein Unternehmen kann auch externe Datenschutzbeauftragte ernennen.
