Am 25. September 2020 hat sich das Parlament über die Revision des Bundesgesetzes über den Datenschutz („DSG“) geeinigt. Die schon heute geltenden Grundprinzipien im Datenschutz ändern sich mit dem neuen Gesetz nicht im Wesentlichen. Und doch gibt es einige Knackpunkte, welche beachtet werden müssen – der Teufel liegt bekanntlich im Detail. Auch KMUs sollten sich mit dem Thema Datenschutz aus Governance-Sicht fortlaufend auseinandersetzen und das neue DSG bietet die ideale (und zwingende) Gelegenheit dafür!
Mit dem neuen Datenschutzgesetz werden insbesondere die Informations- und Dokumentationspflichten ausgeweitet, die Rechte von betroffenen Personen ausgebaut, Meldepflichten bei Datenverlust oder Verletzung der Datensicherheit geschaffen, die Pflicht zur Datenschutz-Folgeabklärungen eingeführt wie auch die Strafbestimmungen verschärft. Aber, personenbezogene Daten von juristischen Personen fallen nicht mehr unter das DSG.
Die folgenden 12 Punkte sollte jedes KMU prüfen und allenfalls entsprechende Massnahmen einleiten:
- Gap-Analyse: wo steht das Unternehmen in Sachen Datenschutz (welche Personendaten werden bearbeitet? zu welchem Zweck? werden Personendaten automatisiert verarbeitet? wurden im Zuge der Einführung der DSGVO in der EU bereits Vorkehrungen getroffen? etc.);
- Erstellung von einem Dateninventar/Verzeichnis über die Bearbeitungstätigkeiten;
- Erstellung oder ggf. Anpassung von Datenverarbeitungsverträgen (DPA);
- Erstellung oder Anpassung von Datenschutzerklärungen zwecks Erfüllung der datenschutzrechtlichen Informationspflicht;
- Anpassung von Datenschutzbestimmungen in den AGB;
- Prozesse überarbeiten/einführen, welche die Bearbeitung von Auskunftsgesuchen und Löschungsanträgen von betroffenen Personen sicherstellen (v.a. Erstellung von Standard-Vorlagen für die Beantwortung von Auskunftsbegehren);
- Überprüfung des Datentransfers mit dem Ausland (gibt es solchen?) und ggf. Anpassung von Mechanismen zur Gewährleistung eines angemessenen Datenschutzniveaus bei Übermittlungen in unsichere Drittstaaten;
- Gewährleistung der Datenportabilität;
- Bestellung eines Datenschutzberaters (sofern notwendig);
- Überarbeitung von internen Weisungen und Schulung von Mitarbeiter;
- Erstellung von Standard-Vorlagen für die Meldung von Verletzungen der Datensicherheit;
- Bewusstsein für verschärfte Strafbestimmungen, welche vor allem auf die verantwortlichen Mitarbeiter abzielen, schaffen. (Busse von bis zu CHF 250’000 für nat. Personen wie VR, CEO, CFO oder fachverantwortliche MA, Sanktionen für Unternehmen nur im Einzelfall möglich).
Es gibt also einiges zu tun. Das neue DSG tritt voraussichtlich anfangs oder (spätestens) Mitte 2022 in Kraft. Die Ausführungsverordnung ist derzeit in Ausarbeitung. Bei denjenigen Unternehmen, welche die DSGVO bereits umgesetzt haben, wird sich der Aufwand mit der Umsetzung des neuen DSG in Grenzen halten. Und trotzdem enthält das DSG relevante Unterschiede, welche unbedingt beachtet werden müssen; insbesondere bei den Informationspflichten, bei den Rechten der betroffenen Personen oder bei der Meldepflicht für Verletzungen der Datensicherheit. Für KMUs gilt es jetzt schon zu handeln. Warum? Das neue DSG sieht keine Übergangsbestimmungen vor – das heisst die notwendigen Anpassungen im Unternehmen müssen bis im Zeitpunkt des Inkrafttretens des Gesetzes bereits umgesetzt sein!
Sophie Winkler, FlyingLawyers
