Das neue, revidierte Datenschutzgesetz in der Schweiz (DSG) ersetzt das Bundesgesetz für den Datenschutz von 1992. Aus einer Zeit, als es weder Google noch Smartphones und iPads gab und Internet nur über die analoge Telefonleitung möglich war. Die Revision war ein langer Prozess (seit 2011) und es wird mit einem Inkrafttreten des neuen Gesetzes (ohne Übergangsfrist) in der zweiten Hälfte 2022 gerechnet. Datenschutz gilt für Alle und erfordert von den Unternehmen eine neue Sensibilität für den Umgang und Schutz von personenbezogenen Daten.
Was bedeutet das für kleinere und mittlere Unternehmen? Nicht jedes Unternehmen verarbeitet in gleichem Masse Personendaten. Aber jedes Unternehmen verarbeitet sie. Zu diesen gehören Kundendaten auf Excel-Listen oder im CRM, Mitarbeitende- oder Bewerberdaten, Daten der Lieferanten- und Outsourcing-Partner und, und, und. Eine zusätzliche Herausforderung ist, dass diese Daten an verschiedenen Orten gespeichert sind und es nicht immer klar ist, ob sie auch sicher verwahrt sind.
Ein weiterer Punkt ist, dass im neuen Gesetz die Betroffenenrechte ausgebaut wurden. Das heisst, dass jeder, der wissen will ob und welche Daten von ihm gespeichert sind, erfahren darf, ob dies der Fall ist. Dies können bei unterschiedlichen Datenbeständen an verschiedenen Orten eine sehr aufwendige Suche, Zusammenstellung und Lieferung bedeuten und viel Zeit beanspruchen. In der Konsequenz bedeutet dies, das Unternehmen soll diese Prozesse rechtlich, organisatorisch und technisch verbessern. Zusätzlich sollen diese Bemühungen dokumentiert werden. Wie kann das am einfachsten und effizientesten umgesetzt werden? Neben der zentralen Fragestellung, wer verarbeitet welche Daten und speichert diese wo mit welchen Sicherheitsmassnahmen, müssen folgende Anforderungen und Dokumente erfüllt werden:
- Erstellen eines Datenverarbeitungsverzeichnisses
- Prüfen und Erstellen Auftragsdatenverarbeitungsverträge
- Datenschutz-Unterweisungen für Mitarbeitende
- Antwortschreiben für Datenauskunftsbegehren
- Wann muss eine Datenschutzfolgeabschätzung erstellt werden?
- «Plan B» falls eine Datenpanne eintritt
- Aktuelle Datenschutzerklärung
Die wenigsten werden die Antworten dazu haben und würden sich gerne an jemanden wenden, der klar darlegen kann was zu tun ist. Und manchmal ist es einfacher und vielfach auch ressourcenschonender, wenn Sie sich Hilfe von aussen holen. Wählen Sie die richtigen Berater, welche die Datenschutzherausforderungen als Ganzes betrachten und eine pragmatische Vorgehensweise, speziell auf KMU bezogen anbieten. Unser System sieht vor, ein Projekt, das mit einer herkömmlichen Ordnerstruktur arbeitet. Dies hat den Vorteil, dass wie bei einer Checklist alle erforderlichen Themen abgearbeitet und laufend dokumentiert und geschult werden. Am Ende geht nichts vergessen und die Erfüllung der Datenschutzvorschriften ist so dokumentiert, dass Sie bei allfälligen Problemen darauf On- oder Offline zurückgreifen können.
Ihr externer Projekt-Partner sollte auf die Beratung von kleineren und mittleren Unternehmen spezialisiert sein. Dort wo das Aufwand/Ertrag- und Kosten/Nutzen-Verhältnis besonders wichtig ist. Nur wer die spezielle Situation für KMUs versteht, wird Lösungen mit standardisierten Vorlagen, einer digitalisierten Dokumentation und in der Umsetzung im Betrieb als Prozess- und Projektmanagement auf Zeit anbieten und kann Sie in Ihrem «Datenschutz-Problem» wirkungsvoll unterstützen.
Noch haben Sie über ein Jahr, um sich auf das Inkrafttreten des revidierten Datenschutzgesetzes vorzubereiten – aber diese Zeit will sinnvoll genutzt werden. Wir denken: Der richtige Zeitpunkt dafür ist jetzt, um sich darauf vorzubereiten.
