Checkliste für KMU: Welche Anpassungen an das Datenschutzgesetz sind nötig?
Das neue Datenschutzgesetz (revDSG) wird am 1. September 2023 in Kraft treten. Es betrifft alle Schweizer Unternehmen. Anhand dieser Checkliste können sie sich darauf vorbereiten.
Alle Unternehmen in der Schweiz müssen sich auf das neue Datenschutzgesetz (revDSG) vorbereiten, das am 1. September 2023 umgesetzt wird. Für Firmen, die sich noch nicht an die EU-Datenschutzgrundverordnung (DSGVO) aus dem Jahr 2018 angepasst haben, wird die Umstellung auf die Bestimmungen des neuen Schweizer Gesetzes Zeit in Anspruch nehmen und Unterstützung durch Personen mit juristischen und technischen Kenntnissen im Bereich Datenschutz erfordern.
Als Vorbereitung für die Anpassung an das revDSG sollten die im Rahmen der Firmentätigkeit bearbeiteten Daten erfasst und die Risiken analysiert werden. Je mehr Daten ein Unternehmen bearbeitet bzw. je mehr dieser Daten besonders schützenswert sind (zum Beispiel im Zusammenhang mit Religion, Gesundheit, Betreibungen usw.), desto höher sind die Anforderungen.
Die 12 Gebote des revDSG
Die Schweizer KMU müssen folgende zwölf Massnahmen umsetzen, um sich an das revDSG anzupassen:
- Datenschutzerklärungen prüfen und ändern (Website, Verträge, Werbeinhalte usw.),
- Richtlinien für die Datenbearbeitung innerhalb des Unternehmens erstellen (oder ändern),
- Ein Verzeichnis der Datenbearbeitung anlegen (Ausnahme für Unternehmen mit weniger als 250 Beschäftigten, sofern kein hohes Risiko für Verletzungen der Persönlichkeit vorliegt),
- Eine Vorgehensweise für eine rasche Beantwortung der Anfragen betroffener Personen ausarbeiten (z.B. Ersuchen um Auskunft oder Löschung von Daten),
- Ein Meldeverfahren für Verletzungen des Datenschutzes einführen,
- Einen Prozess für die Datenschutz-Folgenabschätzungen etablieren, die notwendig sind, wenn die Datenbearbeitung ein hohes Risiko mit sich bringt (z.B. bei systematischer Überwachung grosser Teile des öffentlichen Raums),
- Verträge mit Subunternehmern analysieren, um zu prüfen, ob die Sicherheit der Daten gewährleistet ist, und entsprechende Klauseln hinzufügen (insbesondere bezüglich der Meldung jeglicher Verletzungen des Datenschutzes),
- Dafür sorgen, dass alle personenbezogenen Daten gelöscht oder anonymisiert werden (sobald sie für den Zweck, der deren Bearbeitung rechtfertigte, nicht mehr benötigt werden),
- Prüfen, in welche Länder Daten übermittelt werden, auch für eine einfache Speicherung in der Cloud (diese Länder müssen in einer vom Bundesrat erstellten Liste aufgeführt sein. Ist dies nicht der Fall, gelten strengere Anforderungen),
- Datensicherheit durch geeignete technische und organisatorische Massnahmen garantieren,
- Die Herausgabe der Daten in einem elektronischen Format gewährleisten (bei automatisierter Bearbeitung der Daten und besonders im Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags),
- Einen Datenschutzberater oder eine Datenschutzberaterin benennen und die Kontaktdaten veröffentlichen (empfohlen wird die Meldung dieser Person beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Diese Liste erhebt keinen Anspruch auf Vollständigkeit. Für weitere Informationen sollten das revDSG und die Datenschutzverordnung herangezogen werden. Die Website des EDÖB bietet ebenfalls geprüfte juristische und technische Informationen zum Thema.
Quellen: Interview vom 19.01.2022 auf dem KMU-Portal „Wenn es zu einem Datendiebstahl kommt, haben wir bereits versagt„, Artikel vom 19.05.2021 auf der Website von Economiesuisse „Datenschutz: Eine Übersicht zum neuen Gesetz“ und Artikel vom 06.12.2021 auf der Axa-Website „Neues Datenschutzgesetz: Was müssen Schweizer Unternehmen beachten?“.