Gut zu wissen: Datenschutzschutzgesetz - was es zu beachten gilt

Das neue Datenschutzgesetz (DSG) tritt am 1. September 2023 in Kraft und bringt zahlreiche Änderungen und Anforderungen mit sich. Der Bündner Gewerbeverband hat für seine Mitglieder die wichtigsten Informationen und Vorlagen zusammengestellt. Das Merkblatt des Schweizerischen Gewerbeverbandes (sgv) und weitere wertvolle Hinweise und Dokumente sollen Ihr Unternehmen optimal auf die Gesetzesänderung vorbereiten.

Was ist Datenschutz?
rw. - Bereits heute gibt es Datenschutzbestimmungen, welche auch für Unternehmen gelten. Der Datenschutz bezweckt in erster Linie den Schutz der Persönlichkeit und der Grundrechte von Personen. Es regelt was beachtet werden muss, wenn Personendaten bearbeitet werden. Als Personendaten gelten alle Angaben, welche einer Person zugeordnet werden können wie Kontaktangaben, Fingerabdrücke, Aufenthaltsorte aber auch Video- und Bildaufnahmen. Der Datenschutz schützt Personen vor dem ungerechtfertigten Beschaffen, Speichern, Bearbeiten und Verwenden von Daten. Das heisst, es dürfen nur Daten bearbeitet werden, die für den Zweck der Bearbeitung geeignet und erforderlich sind. Zentral ist dabei eine Einwilligung der Personen, insbesondere bei der Weitergabe von Daten sowie die transparente Information welche Daten für was gesammelt werden. Daten dürfen weitergegeben werden, wenn die Zustimmung durch die Person selbst vorliegt, wenn die Daten öffentlich zugänglich sind oder wenn ein Gesetz die Weitergabe einräumt. Darüber hinaus ist die Datensicherheit im Grundsatz beim Datenschutz. Die Daten müssen sorgfältig und sicher verwaltet werden. Personenbezogene Daten müssen zudem vernichtet oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind. Dies gilt auch für Mitarbeitende und ehemalige Mitarbeitende. Alle Personen haben das Recht bei jedem Unternehmen anzufragen, ob und welche Daten über ihre Person gehalten werden. Dies gilt auch für Mitarbeitende.
Nichtpersonenbezogene Daten wie Finanzzahlen oder Produktedaten unterliegen nicht dem Datenschutz. Ebenfalls fallen auch anonymisierte Kundendaten, welche für Statistikzwecke ausgewertet werden, nicht darunter. Solche Daten können aber anderswertig geschützt sein, beispielsweise über das Betriebsgeheimnis oder das Urheberrecht.

Was ändert sich mit dem neuen Datenschutzgesetz?
Im Interview mit dem «Bündner Gewerbe» verweist Thomas Casanova darauf, dass es mit dem neuen Datenschutzgesetz ab dem 1. September 2023 vor allem im Bereich der Transparenz und Information Änderungen gibt. Der Datenschutzbeauftragte des Kantons Graubünden sagt: «Die Prinzipien bleiben dieselben. Die Transparenz wird aber höher gewichtet. Darum müssen Datenschutzbestimmungen auf der Webseite aufgeführt und erläutert werden, was mit den Daten gemacht wird.» Neu ist man als Unternehmen zudem verpflichtet, Datenmissbrauchsvorfälle dem Eidgenössischen Datenschutzbeauftragten zu melden. Auch die Datenweitergabe an Lieferanten und Partner muss neu vertraglich geregelt werden.

Die Datenschutzerklärung auf der Webseite gewinnt mit dem neuen Gesetz an Bedeutung. Diese ist neu für alle verpflichtend. Darin muss informiert werden, welche Daten gesammelt und gespeichert werden, welche allfällige Programme genutzt werden und an wen man sich wenden muss, wenn man eine Auskunft möchte. Neu ist zudem, dass die Grundeinstellungen bei Formularen, Apps und Webseiten überall auf das Minimum eingestellt werden müssen, so dass nur die nötigen Daten gesammelt werden bzw. mitgeteilt werden müssen.

Ebenfalls wurde die Auskunftspflicht verschärft. Verlangt eine Person eine Auskunft darüber, ob und welche Daten über sie bearbeitet werden, so muss diese Auskunft nach gesetzlichen Vorschriften erfolgen, sofern keine Ausnahmen bestehen. Dabei muss auch informiert werden unter welchen Bedingungen Daten an Dritte weitergegeben wurden.

Neu wird beim Datenschutzgesetz zwischen kleineren und grösseren Unternehmen unterschieden. Für Unternehmen mit mehr als 250 Mitarbeitende oder Unternehmen mit sensitiven Daten (beispielsweise Arztpraxis) gelten weitere Bestimmungen vor allem im Bereich der Dokumentation über den Datenschutz.

Die wichtigsten Punkte, welche beim neuen Datenschutzgesetz umzusetzen sind, sind nachfolgend aufgeführt. Für ein KMU sind vor allem die Punkte 1 bis 4 zu beachten.

1. Datenschutzerklärung auf der Webseite prüfen und allenfalls anpassen.
2. Richtlinien für die Datenbearbeitung innerhalb der Firma festlegen.
3. Abmachungen und Verträge mit Lieferanten und Partnerunternehmen schriftlich festlegen. Zwingend ist die Art der Datenspeicherung und die Meldung von Datenschutzverletzungen festzuhalten.
4. Datenschutzverantwortliche Person im Unternehmen benennen.
5. Verzeichnis der Datenbearbeitung anlegen. Ausgenommen sind Unternehmen mit weniger als 250 Beschäftigten, wenn kein hohes Risiko für Verletzungen der Persönlichkeit vorliegt.
6. Vorgehen für die Auskunftspflicht und Antrag zur Löschung von Daten festlegen.
7. Vorgehen für Meldung von Datenschutzverletzungen festlegen.
8. Prozess für die geforderten Folgenabschätzungen erstellen, sofern das Unternehmen ein hohes Risiko in der Datenverarbeitung eingeht.
9. Prüfen, ob Daten in andere Länder übermittelt werden. Falls dies der Fall ist, abklären, ob diese vom Bundesrat als autorisierte Länder eingetragen sind. Ansonsten gelten strengere Auflagen an den Datenschutz.

Datensicherheit
Die Datensicherheit ist eine wichtige Grundlage für den Datenschutz. So müssen Unternehmen für die Sicherheit ihrer Personendaten einstehen und diese vor unberechtigten, widerrechtlichen Übergriffen schützen. Werden externe Tools zur Verwaltung von Personendaten verwendet (z.B. Online-Mitgliederverwaltungssoftware), muss der Datenschutz mit dem Lieferanten vertraglich festgehalten sein. Das KMU ist verpflichtet, sich über die Datensicherheit des Vertragspartners zu vergewissern. Gelangen Personendaten ins Ausland, selbst wenn nur darauf zurückzuführen ist, dass sich die Server des Cloud-Dienstes, in welchem die Daten gespeichert werden, im Ausland befindet, so müssen die gesetzlichen Voraussetzungen eingehalten werden.

Sanktionen und Bussen
Neu können aufgrund des Datenschutzgesetzes Bussen ausgesprochen werden. Wer eine betroffene Person zum Zeitpunkt der Datenerhebung nicht ordentlich informiert oder ihr nachträglich auf deren Anfrage keine genügende Auskunft über die erhobenen Daten erstattet, so wie es das DSG verlangt, kann sich mit Bussen bis zu 250'000 Franken konfrontiert sehen. Die Höhe der Bussen wird das jeweilige Gericht im Rahmen eines Verfahrens festlegen. Bussen werden nur bei gravierenden Verstössen gegen das Datenschutzgesetz verhängt, ist sich der Bündner Datenschutzbeauftragte sicher. In der EU sind Bussen bis vier Prozent des Umsatzes oder fünf Millionen Euro möglich. Bei einem Datenmissbrauchsvorfall dürfte der Reputationsschaden bei Kunden, Lieferanten Mitarbeitenden und der Öffentlichkeit meistens grösser sein als eine Busse.