Wichtige Infos für Unternehmen
Am 1. September war es so weit: Das neue Schweizer Bundesgesetz über den Datenschutz (nDSG) trat in Kraft. In vielen Punkten ähnelt es dem Datenschutzniveau der Europäischen Union (DSGVO), allerdings setzt es durchaus auch eigene Akzente.
Vor allem sind Unternehmen betroffen, die bisher ausschliesslich auf das Schweizer Datenschutzrecht ausgerichtet waren. Allerdings müssen selbst Organisationen, die sich auch bisher schon an der Europäischen Datenschutz-Grundverordnung orientiert haben, einiges ändern – wenn auch weit weniger. Insofern ist das revidierte DSG relevant für alle Branchen, auch über die Schweiz hinaus. Es birgt allerdings nicht nur Herausforderungen bei der Umsetzung, sondern auch Chancen.
Vor allem rückt das nDSG den Datenschutz in den Vordergrund und unterstreicht die Bedeutung der digitalen Sicherheit in einer komplett vernetzten Welt. Besonders deutlich wird das beispielsweise beim Punkt der Datenverarbeitung. Die ist, im Gegensatz zur DSGVO, grundsätzlich erlaubt und bedarf keiner speziellen Einwilligung. Der offene Ansatz des Gesetzes wird allerdings durch zusätzliche Vorschriften gleichzeitig wieder stark eingeschränkt und tatsächlich dann doch wieder an der DSGVO ausgerichtet.
Viele Regelungen, viele Ausnahmen
Ebenfalls hat sich die Informationspflicht ausgeweitet, sodass nicht mehr nur bei besonders schützenswerten Personendaten, wie biometrischen oder genetischen Daten, über deren Verarbeitung informiert werden muss, sondern bei allen Personendaten. Abweichend zur DSGVO müssen ausserdem sämtliche Empfängerstaaten angegeben werden, sollten Daten die Schweiz verlassen. Jedoch gibt es auch hier zahlreiche Ausnahmen, bei denen die Informationspflicht entfällt: Beispielsweise bei gesetzlich vorgesehener Datenverarbeitung.
Für Unternehmen, die nicht bereits sowieso die DSGVO umgesetzt haben, dürfte das Verzeichnis der Bearbeitungstätigkeiten (Art. 12 DSG) die grösste Herausforderung darstellen, da ab sofort Angaben wie
- die Identität des Verantwortlichen,
- der Bearbeitungszweck,
- die Datenaufbewahrungsdauer oder
- Datensicherheit gewährleistende Massnahmen
angegeben werden müssen. Das bedeutet einen einmaligen Aufwand bei den vorhandenen Daten und eine permanente Aktualisierung der neuen Daten. Ausgenommen von dieser Regelung sind nur Organisationen mit weniger als 250 Beschäftigten, deren Datenverarbeitung nur ein geringes Risiko für die betroffenen Personen aufweisen.
Weitere wichtige Neuerungen im Überblick:
- Datenschutz-Folgenabschätzung: Bei Datenverarbeitungen, die ein hohes Risiko für die Persönlichkeitsrechte darstellen, muss vorab eine Datenschutz-Folgenabschätzung durchgeführt werden.
- Stärkere Kontrolle und härtere Sanktionen: Die Datenschutzaufsichtsbehörden erhalten mehr Befugnisse, um die Einhaltung des Gesetzes sicherzustellen, einschliesslich der Möglichkeit, höhere Bussgelder zu verhängen (Achtung, bis 250.000 CHF).
- Datenschutzbeauftragter: Unternehmen sollten einen Datenschutzbeauftragten ernennen, der sicherstellt, dass das Unternehmen die Datenschutzbestimmungen einhält.
- Pflicht zur Meldung von Datenpannen: Unternehmen sind verpflichtet, Datenschutzverletzungen den Aufsichtsbehörden und in bestimmten Fällen auch den betroffenen Personen zu melden.
Umsetzung betrifft vor allem die IT
Was auf den ersten Blick wie ein vorwiegend juristisches Thema aussehen mag, betrifft durch die Anforderung an die Implementierung und Wartung der Daten jedoch vor allem die unternehmensinterne IT. Deshalb muss diese jetzt aktiv in den Prozess der Datensicherheit und -compliance mit einbezogen werden, um die Umsetzung der neuen Vorschriften auch gewährleisten zu können. Denn um zum Beispiel der Verpflichtung der Meldung einer Datenpanne nachkommen zu können, muss die Datenpanne ja erst einmal erkannt werden. Und dies ist in Zeiten digitaler Geschäftsprozesse nun mal ein IT-Thema.
Alles in allem bietet das neue Gesetz aber auch Chancen. Das revidierte DSG zielt darauf ab, das Vertrauen in die digitale Wirtschaft zu stärken, indem es klare Richtlinien für die Verarbeitung personenbezogener Daten vorgibt. Damit Daten als das Gold unserer Zeit für Unternehmen nicht zum Risiko werden, ist eine gesetzeskonforme Datenverarbeitung besonders wichtig. Zögern Sie deshalb nicht, sich bei der Umsetzung professionelle Unterstützung ins Haus zu holen!
Heute haben wir Sie über die grössten Veränderungen im Schweizer Datenschutz informiert. Welche Massnahmen auch Sie in Ihrem Unternehmen treffen sollten, um das nDSG umzusetzen, verraten wir Ihnen in unserem nächsten Blogbeitrag. Also bleiben Sie dran! 😉
#nDSG #DSG #DigitalWorkplace #DataProtection #Datenschutz #AllgeierSchweiz