Aktuell

- Bern - Pierre-Gabriel Bieri

Datenschutz: Wir sind alle betroffen

Fallstricke des revidierten Datenschutzgesetzes. Das Bild zeigt ein Vorhängeschloss mit der Aufschrift Datenschutz, auf einer Tastatur liegend. Im Hintergrund sind Ordner zu sehen.

Das neue Datenschutzgesetz wird voraussichtlich in etwa einem Jahr in Kraft treten. Es wird keine Übergangsfrist geben und alle Unternehmen müssen sich darauf einstellen, strengere Anforderungen an die Erhebung und Verarbeitung personenbezogener Daten zu erfüllen.

Unternehmen müssen sich jetzt vorbereiten

Der Datenschutz ist in letzter Zeit durch mehrere Cyberangriffe auf Daten von Unternehmen oder Behörden in die Schlagzeilen geraten. Doch auch wenn es beim Schutz dieser Daten vor Hackern noch Fortschritte zu machen gibt, dürfen die anderen gesetzlich vorgeschriebenen Schutzanforderungen nicht vernachlässigt werden. Denn in diesem Bereich stehen erhebliche Veränderungen an. Die Schweiz hat sich vorgenommen, ihr aus dem Jahr 1992 stammendes Datenschutzgesetz zu revidieren, um es an die wachsende Bedeutung der Digitalisierung und an die Entwicklung der europäischen Regelungen anzupassen.

Das neue Datenschutzgesetz (DSG) wurde im September 2020 formell verabschiedet. Das ursprünglich für Anfang 2022 vorgesehene Inkrafttreten wurde nun auf Ende 2022 oder Anfang 2023 verschoben. In einer Reihe von Durchführungsverordnungen, die im Sommer in die Vernehmlassung geschickt wurden und deren endgültiger Inhalt daher noch nicht bekannt ist, müssen noch verschiedene Details ausgearbeitet werden.

Es ist jedoch wichtig, dass sich die Unternehmen jetzt vorbereiten. Das neue Gesetz sieht keine Übergangsfrist vor, und sobald das Datum des Inkrafttretens bekannt ist, bleibt wenig Zeit, sich darauf einzustellen. Alle Unternehmen (oder andere juristische Personen wie z. B. Verbände) sind davon betroffen, unabhängig von ihrer Grösse oder ihrem Tätigkeitsbereich. Es sei auch daran erinnert, dass der rechtliche Rahmen für den Datenschutz nicht nur für die Kundendaten eines Unternehmens gilt, sondern auch für die Daten seiner Mitarbeiter.

Einige auslandorientierte Unternehmen halten sich heute bereits an die europäische Datenschutz-Grundverordnung (DSGVO) und müssen nur noch wenige Anpassungen vornehmen. Die anderen müssen unverzüglich eine Bestandsaufnahme der in ihrem Besitz befindlichen Daten und der von ihnen vorgenommenen Datenverarbeitung vornehmen.

Ein Minimum an Daten, ein Maximum an Transparenz

Das neue Gesetz sieht eine Reihe von Verpflichtungen vor. Insbesondere muss eine Bestandesaufnahme gemäss „Art. 12 Verzeichnis der Bearbeitungstätigkeiten“ erstellt werden, d. h. eine allgemeine Beschreibung der verschiedenen Datenverarbeitungstätigkeiten. Diese Verpflichtung sollte durch eine einfache Empfehlung für KMU (weniger als 250 Beschäftigte) ersetzt werden, sofern sie nicht in grossem Umfang sensible Daten (biometrische, medizinische, finanzielle, strafrechtliche, politische oder religiöse Daten) verarbeiten oder ein risikoreiches Profiling betreiben. Im Allgemeinen unterliegen sensible Daten zusätzlichen Anforderungen wie z. B. bei der Zustimmung oder bei der Weitergabe an Dritte. Die Verarbeitung sensibler Daten sowie die Verarbeitung grosser Datenmengen muss einer Folgenabschätzung unterzogen werden.

Ausserdem muss sichergestellt werden, dass bei der Datenverarbeitung die Datenschutzvorschriften standardmässig und von vornherein eingehalten werden. Jedes neue Projekt muss diesen Anliegen von Beginn weg Rechnung tragen, indem es vor allem sicherstellt, dass nur notwendige Daten erhoben werden (Daten, die für den Zweck nicht direkt nützlich sind, können nicht mehr angefordert werden) und dass alle Verarbeitungen ausdrücklich und aktiv von den betroffenen Personen gebilligt werden (bei einer Internetregistrierung sind beispielsweise vorausgefüllte Kontrollkästchen nicht mehr zulässig). Jeder hat das Recht, die ihn betreffenden Daten zu erfahren, sie wiederherzustellen oder ihre Löschung zu verlangen.

Schliesslich muss jede Verletzung personenbezogener Daten, die ein Risiko für die Betroffenen darstellt (Data Hacking), den Betroffenen und den Behörden gemeldet werden.

Eine sich auszahlende Bemühung

Die Einhaltung all dieser Anforderungen bedarf organisatorischer Massnahmen, sorgfältig definierter Verfahren und sogar einer Sensibilisierung der Mitarbeiter. Die neue Gesetzgebung sollte nicht auf die leichte Schulter genommen werden, da Verstösse mit einer Strafe von bis zu 250’000 Franken geahndet werden können – eine Strafe, die sich nicht gegen das zuwiderhandelnde Unternehmen, sondern gegen die für den Datenschutz verantwortliche Person (z. B. ein Mitglied der Geschäftsleitung oder des Verwaltungsrats) richtet.

Für Unternehmen und Verbände wirft die Umsetzung des neuen DSG noch viele Fragen auf. So ist es wünschenswert, dass die Behörden rasch praktische Leitfäden, Beispiele und Modelle bereitstellen.

Sollte diese Entwicklung als Hindernis für die Digitalisierung und die Innovation bei der Nutzung von Daten betrachtet werden? Nein. Vielmehr ist sie eine Voraussetzung für die Akzeptanz der Digitalisierung und der Innovation durch den Einzelnen. Die Erhebung von Daten und ihre mehr oder weniger komplexe Verarbeitung sind weiterhin möglich, wenn die betroffenen Personen ordnungsgemäss informiert werden, den Zweck der Verarbeitungen verstehen und davon überzeugt werden können, ihre Zustimmung zu geben. Überzeugungsarbeit ist notwendig, sie wird sich in Form von Transparenz und Vertrauen ausbezahlt machen.

Das Inkrafttreten des neuen Gesetzes muss von praktischen Informationen der Behörden begleitet werden. In der Zwischenzeit kann die von Economiesuisse veröffentlichte „Charta für einen verantwortungsvollen Umgang mit Daten“ als Referenzdokument für die einzuhaltenden Regeln dienen.


Aktuelles Webinar zum revidierten Datenschutzgesetz:

Referent Markus Hugentobler

11. November 2021

09:00 – 17:00 Uhr




Pierre-Gabriel Bieri,
Responsable politique institutions et sécurité

Teilen :