Datenschutzgesetz 2023: Was müssen Schweizer Firmen beachten

Das revidierte Schweizer Datenschutzgesetz (revDSG) wurde im September 2020 verabschiedet und wird am 1. September 2023 in Kraft treten. Das neue Gesetz ersetzt dann das bestehende DSG aus dem Jahr 1992 und soll die Schweizer Datenschutzbestimmungen stärker mit der Allgemeinen Datenschutzverordnung der Europäischen Union (DSGVO) in Einklang bringen.

Zu diesem text gibt es eine Podcast Episodie weiter unten

Wie wurde der Datenschutz zuvor in der Schweiz geregelt?

In der Schweiz gab es zuvor auch ein gültiges Datenschutzgesetz (DSG), das im Bundesgesetz über den Datenschutz (DSG) und in der Eidgenössischen Datenschutzverordnung (EDÖB) geregelt  war und das für den Schutz von Personendaten und Firmendaten ausgelegt wurde.

Es hat bestimmte Grundprinzipien festgelegt, darunter die Verpflichtung der für die Datenverarbeitung Verantwortlichen, vor der Verarbeitung personenbezogener Daten die Zustimmung der betroffenen Personen einzuholen, sowie den betroffenen Personen bestimmte Informationen über die Verarbeitung ihrer Daten zur Verfügung zu stellen, und auch geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen.

Jedoch enthielten diese Datenschutzrichtlinien keine festgelegten Strafen für eine Verletzung des Datenschutzgesetzes. Wenn eine Datenpanne oder ein Verstoß passierten, dann wurde der Vorfall einfach dem betreffenden Unternehmen gemeldet, welches das Problem dann behoben hat. Das Unternehmen musste keine Strafgebühren zahle und wurde auch nicht anderweitig bestraft.

Wieso wurde das neue Schweizer Datenschutzgesetz eingeführt?

Die Gesetze in der Schweiz waren Europa nicht streng genug, und die Schweiz wurde von Europa gedrängt, strengere Regeln einzuführen, da es sonst als ein Land dritter Klasse in Bezug Datensicherheit klassifiziert werden würde. Eine solche Klassifizierung würde dann die Datenübermittlung von der Schweiz zu anderen Ländern erschweren und auch mit mehr Regeln und administrativen Aufwand verbunden sein. Insgesamt zielt das revidierte DSG jetzt darauf ab, den Datenschutz in der Schweiz zu stärken und die Vorschriften des Landes an die internationalen Standards anzupassen.

Welchen besonderen Datenschutz bietet das neue Schweizer Datenschutzgesetz?

Ab dem 1 September 2023 werden besonders Personendaten geschützt, die eine Person identifizierbar machen. Um dies zu erreichen, stärkt das neue DSG die Rechte der Bürgerinnen und Bürger in Bezug auf ihre personenbezogenen Daten und führt neue Verpflichtungen für Unternehmen ein, die diese verarbeiten. Zu den wichtigsten Änderungen, die mit der überarbeiteten DSGVO eingeführt wurden, gehören:

  • Stärkere Rechenschaftspflicht für Unternehmen, die personenbezogene Daten verarbeiten, einschließlich der Verpflichtung, unter bestimmten Umständen einen Datenschutzbeauftragten (DSB) zu bestellen.
  • Erweiterte Rechte für Einzelpersonen auf Zugang, Berichtigung und Löschung ihrer personenbezogenen Daten sowie das Recht auf Datenübertragbarkeit.
  • Einführung strengerer Regeln für die Übermittlung personenbezogener Daten in Länder außerhalb der Schweiz, in Übereinstimmung mit der EU-Datenschutz-Grundverordnung.

Was für Sanktionen können Unternehmen erwarten, wenn sie sich nicht an die neuen Datenschutzregeln halten?

In Europa gibt es Strafen von bis zu 20 Millionen Euro oder 4 % vom Umsatz einer Firma. Ganz so hoch sind die neu eingeführten Strafzahlungen nicht, aber es drohen trotzdem Strafen von bis zu 250.000 CHF oder 2 % des weltweiten Umsatzes eines Unternehmens, je nachdem, welcher Betrag höher ist. In der Schweiz wird die Person, die für die Datenschutzverletzung verantwortlich ist, persönlich belegt und muss bis zu 250.000 CHF aus privater aus Tasche zahlen. Ein Unternehme haftet nur mit 50.000 CHF, wenn kein Verantwortlicher gefunden wird. Die verhängten Strafen werden jedoch pro Fall von einer Verletzung der Datenschutzrichtlinie gerechnet, was zu einer beträchtlichen Gesamtsumme führen kann.

Worauf müssen Schweizer Firmen nun achten und welche Massnahmen müssen eingeführt werden?

Firmen sind jetzt nicht nur für ihre eigenen Daten verantwortlich, sondern auch für die Daten, die ihrer Dienstleister für sie verarbeiten. Um beweisen zu können, dass die Datenschutzrichtlinie eingehalten wird, müssen Verträge mit Drittanbieter über die Datenverarbeitung und Datensicherheit abgeschlossen werden.

Um sicherzustellen, dass kein Dienstleister oder Softwaretool übersehen wird, ist es wichtig ein komplettes Verzeichnis zu erstellen. Das Verzeichnis soll nicht nur die Tools auflisten, sondern auch festlegen, wer für welche Daten verantwortlich ist und welche Massnahmen zum Datenschutz unternommen werden. Zudem muss die Art der Datenerhebung, die Bearbeitung derselben und die Datenübertragung aufgezeigt werden. Dies bezieht sich auch auf Cookies, Analytik-Tools und Tracking. Es ist natürlich auch wichtig, dass die Personaldaten der Mitarbeiter geschützt werden.

Nach den neu geltenden Regelungen müssen Mitarbeiter für den Umgang mit Personendaten geschult werden und die Schulung muss jährliche wiederholt werden. Zudem muss ein Datenschutzhandbuch angelegt werde, welches bei einem Audit vorgelegt werden kann. Das Datenschutzhandbuch kann auch Firmenintern verwendet werden.

Was muss Firmen bezüglich ihrer Dienstleister und datenverarbeitender Software beachten?

Nicht nur externe Berater, sondern auch Tools wie Mailchimp, Office Outlook und Software mit CRM-Funktionen, müssen in Betracht gezogen werden, um den Vorgaben des neuen DSG zu entsprechen. Jeder Anbieter von verwendeten Toll muss vertraglich angeben, wie er die Daten, die er von einem Unternehmen erhält, weiterverarbeitet, speichert und schützt. Für Tools für das Verkaufsverhalten-Profiling müssen jedoch keine Genehmigung eingezogen werden. Nur bei Hochrisiko-Profiling wird eine Einwilligung gefordert.

Wie können Unternehmen eine vertragliche Bestätigung für die Datenschutzeinhaltung erhalten?

Um die Zustimmung von Kunden zu erhalten, die mit der firmeneigenen Website interagieren, eignen sich am besten mit Tools für Webformulare. Der Anwender kann die Zustimmung selbst ausfüllen, und er muss der Datenerhebung und Cookies zustimmen. Bei MailChimp, muss zugestimmt werden, dass eigene Daten für die Zusendung genutzt werden.

Mit diesen Webformular-Tools kann eine Einwilligung auch zurückgerufen werden, was nach dem neuen DSG möglich sein muss.

Welche administrativen Schwierigkeiten können durch das neue Datenschutzrecht entstehen?

Nutzer haben nach dem neuen DSG eine Auskunftsrecht, das Recht zu erfahren, welche Daten ein Unternehmen von ihnen speichert. Er hat auch das Recht, diese abzufragen und wenn gewünscht, kann er diese Information ändern oder löschen lassen.

Es kann schwierig werden, diesen neuen Anforderungen nachzukommen, wenn Daten auf verschiedenen Systemen verteilt liegen und in mehreren Datenbanken gespeichert wurden. Personendaten können auch bei Drittanbietern hinterlegt sein, was eine Löschung oder Änderung zudem erschwert. Wenn eine Löschung zu schwierig ist, dann kann dies verweigert werden. Die Daten dürfen aber dann nicht mehr aktiv genutzt werde.

Welche Probleme treten bei Unternehmen aus Drittländern auf?

Oft befindet sich der Firmensitz von Drittanbietern und Softwareunternehmen in Ausland und außerhalb von Europa. Auch in diesem Fall kann ein DPA (Data Processing Agreement) für eine vertragliche Garantie angefragt werden. In manchen Ländern können private Daten auch an Behörden weitergegeben werden, und es muss genau geprüft werden, ob ein solches Land eine Datenschutzgarantie geben kann. Die Datenschutzgarantie muss auch angeben, in welchem Land die Daten auf einem Server gespeichert sind, und es muss zugesichert werden, dass der Datenstandort sicher ist.

Worauf muss ein Unternehmen achten, wenn es mit Salesforce arbeitet?

Ein Schweitzer Unternehmen kann problemlos Salesforce in Anspruch nehmen, um CRM-Aufgaben zu erfüllen, denn Salesforce erfüllt mehrere Datenschutzanforderungen, darunter die EU-Datenschutz-Grundverordnung und das neue Schweizer Datenschutzgesetz. Das Unternehmen unterzieht sich regelmäßigen Audits und Bewertungen, um die Einhaltung dieser Vorschriften zu gewährleisten.

Insgesamt verfolgt Salesforce einen mehrschichtigen Ansatz zum Datenschutz, wobei der Schwerpunkt auf Zugriffskontrollen, Verschlüsselung, Überwachung, Compliance und Reaktion auf Vorfälle liegt. Durch die Umsetzung dieser Maßnahmen will Salesforce die Sicherheit und den Schutz der Kundendaten gewährleisten und das Vertrauen seiner Nutzer erhalten. Die Cloud Consultants Gmbh ist ein Schweizer Boutique-Beratungsunternehmen, das auf Salesforce spezialisiert ist und bei Fragen zu der Implementierung von Salesforce gerne zur Seite steht.

Muss jede Schweizer Firma einen Datenschutzverantwortliche beauftragen?

In der Schweiz ist ein Unternehmen nicht verpflichtet, einen Datenschutzbeauftragten zu haben, doch es wird empfohlen, einen Datenschutzberater zu beauftragen. Unternehmen mit mehr als 250 Mitarbeitern sind verpflichte, ein Register ihrer Datensammlungen zu führen und diese dem eidgenössischen Datenschutzbeauftragten (EDIP) durchzugeben. Wenn Firmen jedoch einen Datenschutzberater haben, dann müssen Sie die Daten nicht übermitteln. Ein Datenschutzberater muss regelmäßig ein Training durchlaufen und darf nicht gleichzeitig der Chief Information Security Officer sein.

Wie könne Unternehmen konform werden und bleiben?

Unternehmen müssen regelmäßig alles, was wir hier aufgeführt wurde, überprüfen und umsetzen. Doch die meisten Unternehme haben keine eigene Kompetenz für den Datenschutz und es würde auch zu viele Ressourcen verbrauchen, sich selbst um einen korrekten Datenschutz zu kümmern. Schweizer Unternehmen sollten sich am besten Hilfe von spezialisierten Beratern holen.

Die PlanSec AG übernimmt Datenschutzaufgabe für Schweizer Unternehmen, versorgt sie mit einem Datenschutzberater und hilft ihnen schnell und günstig durch das neue Datenschutzgesetz zu navigieren. Mit der Hilfe von PlanSec erhalten Sie Software, um Datenschutz in ihr Unternehmen zu integrieren. Zudem wird für ein Datenschutzhandbuch erstellt, und alle nötigen Datenschutzverträge werden eingeholt. Genaueres über das neue Datenschutzrecht und wie die PlanSec AG bei der Einhaltung behilflich sein kann, erfahren Sie in diesem Interview mit dem Datenschutzberater Dieter Huber von der PlanSec AG.

Podcast Interview

Share

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert