Neues Datenschutzgesetz
Am 1. September 2023 tritt das neue Datenschutzgesetz (DSG) in Kraft. In der aktuellen Ausgabe von "Stefan will's wissen" mit Priska Ineichen, lic. iur., Rechtsanwältin, geht es um alles Wissenswerte rund um diese Neuerung.
Was will das neue Datenschutzgesetz? Was ist neu an diesem Gesetz?
Das neue Gesetz will die Persönlichkeit und Grundrechte von natürlichen Personen schützen. Der Schutz von juristischen Personen entfällt.
Das Schweizer Recht gleicht sich dem Datenschutzniveau von Europa – der Datenschutzgrundverordnung - an. Damit ist sichergestellt, dass weiterhin ein Datenaustausch zwischen der Schweiz und der EU stattfinden kann.
Neu an diesem Gesetz ist namentlich, dass die Transparenz, wie Daten bearbeitet werden, erhöht wird. Das erhöht die Governance-Pflichten von Unternehmen. Sie haben die betroffenen Personen über die Datenbearbeitung zu informieren und intern zu dokumentieren.
Für wen gelten die neuen Datenschutzbestimmungen?
Sie gelten für Unternehmen, die am Markt tätig sind und Personendaten bearbeiten. Das können Mitarbeitende, Kunden, Lieferanten, Patienten, Spender etc. sein.
Für Privatpersonen wie du und ich, welche ein Adress- oder Fotobuch erstellen, gelten die Bestimmungen jedoch nicht.
Was muss ein Unternehmen vorkehren, um die Vorgaben einhalten zu können? Was sind allfällige Folgen bei Nichteinhaltung? (Anhand eines Beispiels)
Das wohl Wichtigste zuerst. Das Thema Datenschutz ist nicht neu. Die Vertraulichkeit von Daten im Unternehmen war bereits bisher ein Thema.
Mitarbeiterdaten sind dabei ein gutes Beispiel. Neu ist eine aktive Information Pflicht.
Dies kann in einem Merkblatt oder in den Anstellungsbedingungen erfolgen. Die Mitarbeiterdaten müssen weiter sicher aufbewahrt werden, und namentlich dürfen nur solche Personen Zugriff haben, die darauf Zugriff haben müssen. Ist die Datensicherheit verletzt, so ist grundsätzlich eine Meldung an die Aufsichtsbehörde angezeigt.
Um diese Vorgehensweisen einhalten zu können, sind neue Prozesse im Unternehmen einzuführen und zu dokumentieren. Denn vorsätzliche Verletzungen oder Unterlassungen von bestimmten Vorgaben des neuen Datenschutzgesetzes werden mit Bussen bis CHF 250'000 bestraft. Dabei richten sich die Bussen nicht gegen das Unternehmen selbst, sondern gegen den fehlbaren verantwortlichen Personen im Unternehmen. Dies kann der Verwaltungsrat, die Geschäftsführung, aber je nach Struktur auch der IT- oder HR-Verantwortliche sein.
Gibt es Erleichterungen für KMU?
Das Gesetz sieht weder ein Holding- noch ein KMU-Privileg vor. Lediglich das Führen eines Bearbeitungsverzeichnisses ist erst Pflicht bei einem Mitarbeiterstamm von 250 Mitarbeitenden.
Gibt es eine Übergangsfrist?
Nein, das neue Datenschutzgesetz tritt ohne Übergangsfrist am 1. September 2023 in Kraft und gilt somit ab dem ersten Tag.
Was kannst du den Verantwortlichen von KMUs raten für die Umsetzung? Gibt es klassische Tipps?
Ich empfehle den risikobasierten Ansatz. Aufgrund des engen Zeitfensters bis zum 1. September 2023 sind vorab heikle Personendaten wie Mitarbeiterdaten oder Daten mit Aussenwirkung wie Daten von Website-Nutzern favorisiert zu behandeln. Hier ist zeitnah zu informieren. Wie das gemacht werden kann? Ich verweise auf unseren Massnahmenkatalog Link öffnet in neuem Fenster..
Auf folgender Seite finden Sie weitere Informationen zum Thema Datenschutz und erhalten Zugang zu unserer neuen Datenschutzbroschüre.
Wünschen Sie ein physisches Exemplar? Dann schreiben Sie uns eine Nachricht auf datenschutz-beratung@balmer-etienne.ch. Auch für weitere Fragen und Unklarheiten steht Ihnen unser Datenschutz-Team gerne zur Seite.