Am 01. September 2023 trat in der Schweiz das revidierte Datenschutzgesetz in Kraft. Um was geht es?
Warum das neue Datenschutzgesetz? Mit rasanten technologischen Fortschritten und der steigenden Bedeutung von sozialen Netzwerken, Big Data oder künstlicher Intelligenz, war es notwendig, den Datenschutz der Bürger:innen anzupassen. Zudem ist die Harmonisierung mit dem EU-Datenschutz von essentieller Bedeutung, um sicherzustellen, dass Schweizer Unternehmen im europäischen Markt keinen Wettbewerbsnachteil erleiden.
KMU und Datenschutz Für viele kleine und mittlere Unternehmen (KMU) in der Schweiz ist es üblich, einfache Datenbearbeitungen auf ihren Webseiten durchzuführen. Hierzu zählen zum Beispiel die Verwendung von Social Media Plugins, Newsletter und Webanalysetools wie Google Analytics. Wichtig zu betonen ist, dass diese Daten in den meisten Fällen nicht ins Ausland weitergegeben werden. Damit ist Datenschutz nicht nur etwas für Grossunternehmen. Unabhängig von der Grösse des Unternehmens sind der Datenschutz und bestimmte Vorkehrungen verpflichtend: Anpassungen der Datenschutzerklärung auf der Webseite, das Einbeziehen einer Datenschutzklausel in den AGB's und die Anpassung interner Datenschutzrichtlinien.
Was hat sich per 1. September 2023 geändert? Die wichtigsten Änderungen und Neuheiten umfassen:
Es geht nur um Daten von natürlichen Personen. Die Daten von juristischen Personen sind davon nicht betroffen.
Genetische und biometrische Daten gelten auch als besonders schützenswert.
Die betroffenen Personen müssen über jede Datenbeschaffung angemessen informiert werden.
Sollte die Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen, muss das Unternehmen eine Datenschutz-Folgenabschätzung durchführen. Diese muss dokumentiert sein.
Das Profiling ist geregelt. Konkret geht es um die automatisierte Datenbearbeitung um bestimmte persönliche Aspekte einer Person wie wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort usw. zu bewerten.
Verletzungen der Datensicherheit, das heisst unbeabsichtigtes oder widerrechtliches Verlieren, Löschen, Vernichten, Verändern oder Unbefugten zugänglich machen von Personendaten, die zu einem hohen Risiko für die Betroffenen führen können, müssen neu dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innerhalb von 72 Stunden gemeldet werden.
Privacy-by-Design und Privacy-by-Default (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen): Sie verpflichten Unternehmen, die Datenbearbeitungsgrundsätze bereits bei der Planung und Ausgestaltung von Applikationen zu berücksichtigen.
Unternehmen mit mehr als 250 Mitarbeitern müssen ein Verzeichnis der Daten-Bearbeitungstätigkeiten führen.
Wo finden Sie Vorlagen? Beim Schweizerischen Gewerbeverband, SGV, können unter dem Link https://www.sgv-usam.ch/schwerpunkte/wirtschaftspolitik/unterseiten/neues-datenschutzrecht kostenlos Mustervorlagen heruntergeladen werden, insbesondere die Datenschutzerklärung für Webseiten. Für gängige KMU-Verhältnisse reichen diese aus. Sollten Sie jedoch professionell und systematisch Daten sammeln, verarbeiten und weitergeben oder sogar weiterverkaufen empfehlen wir Ihnen, einen Datenschutz-Spezialisten beizuziehen und sich rechtlich abzusichern. Widerhandlungen können strafrechtliche Folgen haben. Dabei drohen hohe Bussen (maximal CHF 250.000).
Unser Fazit Für Unternehmen, die nicht systematisch Daten sammeln und verarbeiten, dürfte der Handlungsbedarf minimal sein. Dennoch zeigt dieses neue Gesetz, wie wichtig es ist, den Schutz von Daten im digitalen Zeitalter ernst zu nehmen. Mit den richtigen Ressourcen und einem proaktiven Ansatz können Unternehmen sowohl die rechtlichen Anforderungen erfüllen als auch das Vertrauen ihrer Kunden bewahren.