Neues Datenschutzgesetz – das gilt es für Unternehmen zu beachten
Am 1. September 2023 tritt das neue Schweizer Datenschutzgesetz in Kraft. Anders als für die Sommerfigur gilt für die Datenschutz-Fitness: Wer noch nicht bereit ist, kann jetzt noch aktiv werden. Die folgende Übersicht zeigt, was Unternehmen beachten sollten.
Umgang mit Personendaten
Die gute Nachricht: Grundsätzlich dürfen Personendaten weiterhin wie bisher bearbeitet werden. Wer sich nicht an die Grundsätze wie Transparenz, Zweckbindung oder "Need-to-know" hält, braucht einen guten Grund. Auch die Anforderungen an die Bekanntgabe von Personendaten in Länder ohne angemessenen Datenschutz sind nicht strenger als heute. Neu sind einzelne Detailregelungen wie etwa das Prinzip "Privacy by Default", nach denen Voreinstellungen möglichst datenschutzfreundlich sein müssen, zum Beispiel in Apps. Ebenfalls neu gilt bezüglich im und für den Job anvertraute Personendaten eine Schweigepflicht für alle; wer sie vorsätzlich verletzt, kann gebüsst werden.
Informationspflichten und Betroffenenrechte
Ausgeweitet werden allerdings die Informationspflichten für Verantwortliche, die neu grundsätzlich für jedes planmässige Beschaffen von Personendaten gelten. Will heissen: Die Datenschutzerklärung wird Pflicht. Meist wird eine für die Mitarbeitenden und eine in Bezug auf alle anderen Personendaten gemacht, die das Unternehmen sammelt – und zwar nicht nur auf der Website. Dort sollte sie dann aber publiziert werden, sodass in Formularen, AGB etc. auf sie verwiesen werden kann. Nicht neu, aber vermehrt im Fokus sind auch die Rechte, die Personen bezüglich ihrer Daten gegenüber Unternehmen haben, wie das Auskunftsrecht oder das Recht auf Vergessen. Aber: Diese gelten nach wie vor nicht absolut, sondern es sind Einschränkungen möglich. Falsche oder unvollständige Auskünfte können strafbar sein.
Ausbau von Governance- und Meldepflichten
In bestimmten Fällen kommen weitere Pflichten hinzu. Werden etwa Auftragsbearbeiter beigezogen, müssen die Bearbeitungen durch diese beziehungsweise bestimmte Elemente davon vertraglich geregelt werden. Können Bearbeitungstätigkeiten ein hohes Risiko für betroffene Personen mit sich bringen, haben Verantwortliche zudem eine Datenschutz-Folgenabschätzung durchzuführen (und aufzubewahren), mitsamt Auflistung der Massnahmen, um die Risiken zu reduzieren. Neu bestehen Meldepflichten bei Datensicherheitsverletzungen für Auftragsbearbeiter und Verantwortliche; für Letztere allerdings nur, wenn die Verletzung voraussichtlich zu einem hohen Risiko für betroffene Personen führt. Je nach Unternehmensgrösse oder Art und Umfang der Bearbeitung können Protokollierungs- oder andere Pflichten hinzukommen, wie das Erstellen eines Bearbeitungsverzeichnisses oder eines Bearbeitungsreglements.
Schlüsselfaktoren für Unternehmen
Die Verletzung gewisser (nicht aller!) Vorgaben des neuen Datenschutzgesetzes kann zu persönlichen Bussen bis 250 000 Franken führen. Unternehmen sollten daher insbesondere:
- verstehen, wie sie Personendaten nutzen;
- (auch) für den Bereich Datenschutz Zuständigkeiten und Verantwortlichkeiten klar regeln und Prozesse zur Einhaltung rechtlicher Vorgaben einführen;
- Mitarbeitende stufen- und funktionsgerecht bezüglich Datenschutz sensibilisieren.