Der Schweizer Datenschutz zieht die Gesetzesschraube an

von David Lauchenauer am 02.03.2022, 2 min Lesezeit

Nachdem die Europäische Union ein neues Datenschutzgesetz eingeführt hatte, kam auch die Schweiz in Zugzwang. Im Herbst 2020 hat das Parlament nach langer Vorarbeit das Gesetz verabschiedet, es dürfte wohl in der zweiten Hälfte 2022 in Kraft treten. Doch was heisst das für Ihr Unternehmen?  

Das neue Gesetz schafft klare Verhältnisse 

Mit der fortschreitenden Digitalisierung wächst die Menge der gesammelten Daten rasant. Doch was darf damit gemacht werden, was nicht? Die Unklarheit ist gross. Deshalb braucht es in der Schweiz die Anpassung des antiquierten Datenschutzgesetzes aus dem Jahr 1992. Den ersten Schritt hat das Parlament 2020 gemacht, doch da die Ausführungsverordnung noch nicht abgeschlossen wird, dauert es mit der Einführung des Gesetzes noch bis mindestens Sommer 2022. Aber das heisst nicht, dass Sie als Unternehmen jetzt abwarten dürfen. Denn das neue revidierte Datenschutzgesetz (revDSG) hat Folgen in vielen Bereichen und es lohnt sich auf jeden Fall, sich bereits jetzt damit auseinanderzusetzen. 

Die Schweiz will mit der EU gleichziehen 

Das Vorbild für das neue DSG ist die EU mit Ihrer Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft getreten ist. Diese gilt auch für alle Schweizer Unternehmen, die mit dem EU-Raum geschäftlich verbunden sind. Das neue Schweizer Gesetz soll hier die Ungleichheiten aus dem Weg räumen und den grenzüberschreitenden Datenverkehr vereinheitlichen. Dafür muss auch die EU den Segen geben und das schweizerische Gesetz als gleichwertig anerkennen. Das Ziel des DSG ist es, den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen in der Schweiz zu erhöhen. Es geht um mehr Transparenz und darum, die Rechte an den eigenen Daten zu stärken. Dadurch müssen auch die Datenverarbeiter mehr Verantwortung übernehmen und der Prävention von Datenmissbrauch oder -verlust mehr Beachtung schenken. 

Unterschiede zwischen DSG und DSGVO 

Wie auch beim DSGVO gibt es beim DSG keine Übergangsfristen. Tritt das Gesetz in Kraft, verstösst möglicherweise jedes Unternehmen dagegen, das sich nicht schon vorher damit auseinandergesetzt und die Regeln implementiert hat. Die Strafen für die unerlaubte Erhebung, den Verlust oder den Missbrauch von Personendaten sind empfindlich. Generell sind sich das revidierte DSG und das DSGVO sehr ähnlich, aber das DSG ist in einigen Punkten strenger. So wurden zum Beispiel die Informationspflicht bei der Erhebung der Personendaten (Art. 19 revDSG) oder die Sanktionen für natürliche Personen (Art. 60 ff. revDSG) sowie die Definition der besonders schützenswerten Personendaten griffiger formuliert. 

Am besten sich schon jetzt vorbereiten 

Jedes Unternehmen muss sich auf das neue Gesetz vorbereiten, seine gesammelten Daten analysieren und eine Risikobewertung vornehmen. Dann müssen die Anforderungen der eigenen Datenschutz-Compliance bestimmt werden. Wenn ein Betrieb eine grosse Menge von Daten sammelt (z. B. mit einem Onlineshop) oder wenn ein Betrieb besonders schützenswerte Personendaten (Art. 5 lit. c revDSG) bearbeitet, sind die Anforderungen an die gesetzeskonforme Bearbeitung grösser, als wenn es sich nur um einen Kleinbetrieb mit wenigen Kunden sowie unsensiblen Daten handelt. Aber auch die Sicherheit der Daten wird hoch gewertet, so müssen Mindestanforderungen an die Security erfüllt werden. Zudem werden Verletzungen der Datensicherheit einfacher gemeldet sowie geahndet.  

Verstösse gehen zünftig ins Geld  

Es lohnt sich in vielen Fällen, die Hilfe von Anwälten oder IT-Experten in Anspruch zu nehmen. 

Einige der Pflichten, die neu für Unternehmen gelten: 

  • Sicherstellung von Datenschutz durch technische Massnahmen 
  • Erstellung und Führung eines Verzeichnisses der Datenbearbeitungs-Tätigkeiten. Gilt für Betriebe mit mehr 250 Mitarbeitenden, aber auch für kleinere Unternehmen, die mit besonders sensiblen Daten arbeiten 
  • Meldepflicht bei Verstössen 

Die Aufzählung ist nicht abschliessend. Das ausführliche Gesetz finden Sie hier.   

Verstösst eine Firma gegen das Gesetz, drohen Bussgelder bis CHF 250'000. Aber aufgepasst: Die Busse richten sich nicht gegen das Unternehmen, sondern gegen die natürliche Person, die für die Einhaltung des Datenschutzes verantwortlich ist, also zum Beispiel die Geschäftsleitung. Es lohnt sich durchaus, sich frühzeitig mit dem neuen DSG auseinanderzusetzen. Je nach Datenmenge kann schon die Bestandesaufnahme eine gewisse Zeit in Anspruch nehmen.  

 

New Call-to-action
David Lauchenauer
Über den Autor:
David Lauchenauer
David Lauchenauer (*1963) ist seit 1988 als Unternehmer im Bereich Business Software für KMU tätig. Seit 2008 ist er in der Schweiz Geschäftsführer und VR der myfactory Software Schweiz AG und startete 2009 mit myfactory das professionelle Cloud ERP für den Schweizer KMU-Markt, weshalb er über sehr umfassende Praxiserfahrungen mit Cloud-Computing verfügt. Seit 2016 ist David Lauchenauer auch Geschäftsführer und Gesellschafter der myfactory Gruppe. 2021 leitete er erfolgreich den Verkauf von myfactory an Forterro.