Das neue Datenschutzgesetz kann für Ihr Unternehmen sowohl eine Herausforderung als auch eine Chance sein. Falls Sie sich bis jetzt noch nicht mit dem neuen Datenschutzgesetz vertraut gemacht haben, sollten Sie dies auf jeden Fall tun. Dies hilft Ihnen, die in Ihrem Unternehmen gesammelten, personenbezogenen Daten auch zukünftig gesetzeskonform zu verarbeiten.
Warum betrifft mich das neue Datenschutzgesetz?
Das neue Datenschutzgesetz ist am 1. Januar 2023 in der Schweiz in Kraft getreten und bringt einige Änderungen für alle Unternehmen mit sich, die personenbezogene Daten verarbeiten. In diesem Blogbeitrag erfahren Sie, warum das neue Datenschutzgesetz auch Ihr Unternehmen betrifft und was es zu tun gilt.
Was bedeutet das neue Datenschutzgesetz für KMUs?
Sie müssen sich bewusst sein, dass das neue DSG höhere Anforderungen an die Transparenz, die Rechenschaftspflicht und die Sicherheit der Datenverarbeitung in Ihrem Unternehmen stellt. Konkret bedeutet dies:
- Ihr Unternehmen muss die betroffenen natürlichen Personen transparent informieren, welche Personendaten Sie zu welchen Zwecken verarbeiten.
- Zusätzlich dazu muss Ihr Unternehmen besser dokumentiert sein. Sie müssen Aufzeichnungen darüber haben, welche Personendaten in Ihrem Unternehmen vorhanden sind, warum und wie Sie diese verarbeiten und wer die Empfänger der Daten sind.
- Die vorsätzliche Missachtung des Datenschutzgesetzes wird mit Bussen von bis zu CHF 250’000 bestraft. In erster Linie drohen diese Bussgelder den verantwortlichen Personen im Unternehmen.
Wie kann ein KMU Datenschutzverletzungen vermeiden?
Folgende Massnahmen sollten Sie ergreifen:
- Wir empfehlen Ihnen, einen Datenschutzbeauftragten in Ihrem Unternehmen zu ernennen oder beauftragen, der für die Einhaltung des Datenschutzrechts verantwortlich ist und als Ansprechpartner für die betroffenen Personen und die Datenschutzbehörde dient.
- Um die Transparenz für Betroffene zu gewährleisten, sollten Sie eine Datenschutzerklärung erstellen. Sie soll klar und verständlich informieren, welche personenbezogenen Daten Sie verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange und mit wem Sie diese Daten teilen.
- Zusätzlich dazu können Sie ein Verzeichnis führen, dass Ihre Datenverarbeitungstätigkeiten dokumentiert. Dies hilft Ihnen dabei, bei Bedarf Auskunft an betroffene Personen zu erteilen. Sie dokumentieren darin, bei welchen Prozessen in Ihrem Unternehmen Personendaten verarbeitet werden. Für Unternehmen mit weniger als 250 Mitarbeitenden, die keine sensitiven Daten bearbeiten und die kein Hochrisiko-Profiling machen, ist ein solches Verzeichnis freiwillig. Für alle anderen ist es Pflicht.
- Sie müssen die Einwilligung der betroffenen Personen einholen, wenn Sie deren Daten für einen anderen Zweck als den ursprünglichen verwenden wollen oder wenn Sie sensible Daten wie Gesundheitsdaten, politische Meinungen oder religiöse Überzeugungen verarbeiten wollen.
- Sie sollten geeignete technische und organisatorische Massnahmen treffen, um die Sicherheit der Daten zu gewährleisten und Sie vor unbefugtem Zugriff, Verlust, Diebstahl oder Missbrauch zu schützen.
- Wenn Ihr Unternehmen Drittpersonen mit Datenbearbeitungen beauftragt (beispielsweise ein Treuhandbüro), dann müssen Sie überprüfen, wie diese Ihre Daten bearbeiten. Dazu können Sie Verträge zur Datenbearbeitung abschliessen.
- Sie müssen im Falle einer Datenpanne, die zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen könnte, diese der Datenschutzbehörde (EDÖB) melden und gegebenenfalls auch die betroffenen Personen informieren.
Welche Herausforderungen und Chancen birgt das neue Datenschutzgesetz?
Das neue DSG kann für Ihr Unternehmen eine Herausforderung darstellen, da Sie einen höheren Aufwand und Kosten für die Anpassung der Datenverarbeitung und die Erfüllung der gesetzlichen Pflichten haben.Das neue DSG bietet aber auch eine Chance für KMUs, da es das Vertrauen der Kunden, Partner und Mitarbeiter in den Umgang mit ihren Daten stärken und die Wettbewerbsfähigkeit und Reputation Ihres Unternehmens verbessern kann.
Wie können sich KMUs an das neue Datenschutzgesetz halten?
Es ist sicher sinnvoll, wenn Sie sich mit dem neuen Datenschutzgesetz vertraut machen oder einen Berater beiziehen. In einem zweiten Schritt empfehlen wir Ihnen, eine Bestandesaufnahme Ihrer bestehenden Datenverarbeitung durchzuführen. Um die gesetzlichen Anforderungen zu erfüllen, sollten Sie anschliessend die notwendigen Anpassungen Ihrer Datenverarbeitung planen und umsetzen.
Sobald die Datenverarbeitung gesetzkonform ist, sollten Sie Ihre Mitarbeitenden sensibilisieren und schulen. Ihre Mitarbeitenden sind der Schlüssel zum Erfolg, um ein datenschutzkonformes Verhalten zu fördern.
