Neues Datenschutzgesetz (nDSG): Was bedeutet das für Schweizer KMU?

Ende September 2020 hat das Parlament nach einem fast vierjährigen Gesetzgebungsprozess die Revision des Schweizer Datenschutzrechts (DSG) verabschiedet. Hieraus resultieren etliche Angleichungen an die Datenschutzverordnung der EU. Jedoch wird das revidierte Datenschutzgesetz (nDSG) eine eigene Grundkonzeption beibehalten und in diversen Punkten von der EU-Datenschutzverordnung (DSGVO) abweichen.

Dario Wieland
10.2.2022

Zu den wichtigsten Neuerungen der DSG-Revision (revDSG) zählen vor allem strengere Sanktionen, eine ausgedehntere Informationspflicht aber auch Punkte wie das Anlegen eines Bearbeitungsverzeichnisses oder der Ausbau von Betroffenenrechten. Noch ist nicht festgelegt zu welchem Datum das neue Datenschutzgesetz in Kraft treten wird. Das nDSG, oder auch revDSG genannt, wird nun definitiv per September 2023 in Kraft treten. Die Einführung bedeutet auch für KMU viele Anpassungen. Erfahren Sie mehr zu Veränderungen und wie Sie sich auf diese vorbereiten können.  

Das Wichtigste in Kürze

  • Die Digitalisierung hat an Fahrt aufgenommen und Technologien entwickeln sich in einem rasanten Tempo. Darum soll das neue Datenschutzgesetz das Schutzniveau von Einzelpersonen erhöhen.  
  • Grundsätzlich geht es um die Verarbeitung von personenbezogenen Daten, also Daten, die Rückschlüsse auf eine Person ziehen lassen bzw. dazu beitragen können eine Person zu identifizieren. Hierbei ist es egal ob die Person indirekt identifiziert werden kann z.B. über mehrere spezielle Merkmale, die Auskunft über die wirtschaftliche, soziale oder physische Identität einer Person geben oder direkt über z.B. den Namen.
  • Das neue Datenschutzgesetz zielt im Grundsatz darauf ab, dass diese Daten nicht missbraucht werden können und die Verarbeitung verhältnismässig bzw. angemessen dem Nutzen ist.
  • Dementsprechend zieht das neue revDSG die Erhöhung der Rechte von Bürgerinnen und Bürgern mit sich. Zusätzlich werden neue Rechte eingeführt wie z.B. in Zusammenhang mit der Übertragbarkeit, Löschung und dem Zugang zu persönlichen Daten. Hieraus ergeben sich auch neue Bestimmungen für KMU.
  • KMU müssen den Umgang mit Daten proaktiv regeln mittels geeigneter technischer Systeme und einer dazugehörigen Verfahrensdokumentation, welche den Umgang mit Daten beschreibt.  

Wie können sich Schweizer KMU auf das neue Datenschutzgesetz vorbereiten?

Zwar tritt das Gesetz frühestens in der zweiten Hälfte des Jahres 2022 in Kraft. Jedoch empfiehlt es sich, dass Sie sich schon frühzeitig auf die Veränderungen vorbereiten. Denn den Aufwand, der sich aus den Gesetzesneuerungen ergibt, sollten Sie nicht unterschätzen. Aus diesem Grund ist es ratsam einen allumfassenden Ansatz als KMU zu verfolgen. Im folgenden Abschnitt verschaffen wir Ihnen einen Überblick wie Sie sich vorbereiten können.

Mit dem neuen Schweizer Datenschutzgesetz kommen auch auf KMU Veränderungen zu. (Bildquelle: The Digital Artist/ pexel)

Risiken richtig einschätzen

Gerade Unternehmen, die eine grosse Menge an Daten bzw. personenbezogenen Daten verarbeiten, haben ein grösseres Risiko gegen das neue Datenschutzgesetz zu verstossen. Personenbezogene Daten (ganz gleich, ob Kunden, Lieferanten oder Mitarbeitende) bzw. sensible Daten sollten aus diesem Grund in Datenbanken, IT-Systemen oder anderen Systemen erfasst und dargestellt werden. Um sich einen genauen Überblick zu verschaffen, können Sie sich folgende Fragen stellen:

  • Bei welchen Prozessen werden Daten erfasst?
  • Wer darf die Daten bearbeiten und einsehen?
  • Wann bzw. wie werden Ihre Daten vernichtet?
  • Verfügen Sie über adäquate technische Systeme?
  • Nutzen Sie eine Art der Dokumentation, die Ihre Prozesse belegt?

So können Sie die Risiken für Ihr Unternehmen richtig einschätzen und eine Handlungsrichtung festlegen.

Schützen und Organisieren

Damit Sie gar nicht erst in die Situation einer Verletzung des Datenschutzgesetzes kommen, empfiehlt es sich Ihre IT-Sicherheit bzw. Data Governance zu verbessern. Mit Data Governance sind Prozesse, Kennzahlen, Rollen, Richtlinien und Standards gemeint, die zu einer effektiven Nutzung von Daten bzw. Informationen beitragen.

Hierbei geht es insbesondere um Verantwortlichkeiten und Prozesse, die für die Sicherheit und Qualität der Daten in einem Unternehmen relevant sind. Dokumenten-Management-Systeme (DMS) können hierbei einen entscheidenden Vorteil bringen, da sie viele der Punkte vereinen.

Schaffen Sie interne Verfahren, die dazu beitragen Sie vor Datenverlusten,- lecks und Datenschutzverletzungen zu schützen. Zusätzlich ist dies hilfreich bei Anfragen von Einzelpersonen sowie um im Falle einer Verletzung richtig zu reagieren. Prinzipiell sollten Sie einen verantwortungsvollen Umgang mit Daten über den gesamten Lebenszyklus pflegen. Verpflichtend sind schon heute die folgenden Punkte für Unternehmen:

  • Updates einspielen (regelmässig, schnell und überall)  
  • Zwei-Faktoren-Authentifizierung
  • Backups (inkl. Offlinebackup)
  • Bewusstsein (Awareness) bei Mitarbeitern und dem gesamten Unternehmen schaffen sowie Mitarbeiterschulungen
  • Zugriff limitieren (Zugriff auf Daten und Systeme einschränken)  
  • Im Fall einer Datenschutzverletzung frühzeitig Experten kontaktieren

Zehn Grundprinzipien der Schweizer Wirtschaft. (Grafiker stellt anhand der Quelle: https://www.economiesuisse.ch/de/datenwirtschaftmit canva.com)

Der nachhaltige und sorgsame Umgang mit sensiblen Daten und insbesondere mit personenbezogen Daten wird zukünftig zu einem kritischen Erfolgsfaktor. Um dieses Ziel zu erreichen, können Sie sich zusätzlich an den zehn Grundprinzipien der Schweizer Wirtschaft in Bezug auf den Umgang mit personenbezogenen Daten orientieren.

Pflichten des Datenschutzgesetzes für Unternehmen

Was sind die wesentlichen neuen Pflichten, die auf ein Unternehmen mit dem Datenschutzgesetz zukommen werden? In diesem Abschnitt geben wir Ihnen einen kleinen Ausblick, welche Pflichten unter anderem mit dem neuen Datenschutzgesetz eingeführt werden.

Privacy-by-Design und -by-Default

Mit dem neuen revDSG Gesetz werden, wie in der EU-DSGVO, die genauen Grundsätze von Datenschutz durch Technik (Privacy by Design) und der Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default) verankert. (Art. 7 revDSG)

Das bedeutet, dass Sie ab der Planung zur Verarbeitung von personenbezogenen Daten sowohl organisatorische wie auch angemessene technische Massnahmen gewährleisten müssen, durch die sichergestellt werden kann, dass in diesem System die Datenschutzgrundsätze umgesetzt werden können (Privacy by Design).

Zu den Datenschutzgrundsätzen zählen beispielsweise Nachvollziehbarkeit, Unveränderbarkeit, Unverlierbarkeit und Speicherbegrenzung von Daten. Mit einer modernen DMS-Lösung können diese technischen Voraussetzungen erfüllt werden.

Aber nicht nur die verwendeten Systeme spielen eine Rolle, sondern auch welche Voreinstellungen beispielsweise auf Ihrer Webseite getroffen wurden. So ist sicherzustellen, dass die Voreinstellungen so angepasst werden, dass diese die Verarbeitung von personenbezogenen Daten entsprechend des Verwendungszwecks auf das notwendige Mindestmass beschränken (Privacy-by-Default). Generell muss durch die Massnahmen die Vermeidung einer Verletzung der Datensicherheit ermöglicht werden.  

Verzeichnis der Datenbearbeitungstätigkeit

Auch die Erstellung sowie Führung eines Verzeichnisses über die Bearbeitungstätigkeiten von Daten wird zukünftig eingeführt werden. Ausgenommen davon sind Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Dies gilt jedoch nur, wenn die Verarbeitung der Daten im Unternehmen ein geringes Risiko einer Verletzung der Persönlichkeit einer betroffenen Person birgt. (Präzisierung erfolgt in der Verordnung, Art. 12 revDSG).

Meldepflicht

Entsteht durch eine Datensicherheitsverletzung ein erhöhtes Risiko, dass Grund- oder Persönlichkeitsrechte einer Person verletzt werden könnten, muss dies umgehend gemeldet werden. Die Meldung sollte an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erfolgen sowie an die betroffene Person (Art. 24 revDSG). Unter einer Verletzung der Sicherheit versteht man das unbeabsichtigte oder missbräuchliche Löschen oder Manipulieren sowie den unberechtigten Zugriff auf Personendaten.  

Datensicherheitsverletzung sollten der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden sowie an die betroffene Person (Art. 24 revDSG). (Bildquelle: Mati Mango/ Pexels)

Folgeabschätzung

In bestimmten Fällen sind Sie verpflichtet eine Folgenabschätzung durchzuführen, die zum Schutz der Personendaten dient. Dies wird beispielsweise nötig, wenn durch eine Bearbeitung ein hohes Risiko für Grund– oder Persönlichkeitsrechte der betroffenen Person besteht. (Art. 22 revDSG)

Informationspflicht

Hierunter wird die angemessene Information betroffener Personen über die Beschaffung von Personendaten verstanden. Es muss eine transparente Datenbearbeitung gewährleistet sein und Sie sind im Falle eines Transfers ins Ausland verpflichtet zur Nennung des/der Staates/Staaten. (Art. 19 revDSG)

Bewusstsein entwickeln und Handlungsempfehlungen

Mit dem neuen Datenschutzgesetz kommen einige neue Verpflichtungen auf Unternehmen zu. Die zuvor genannten Punkte sind nur ein paar wenige Auszüge aus dem revDSG. Umso wichtiger ist, dass Sie ein Bewusstsein in Ihrem Unternehmen schaffen. Sensibilisieren und beziehen Sie alle Ebenen bzw. Abteilungen beim Datenschutz ein.

Denn die Verarbeitung von Daten beginnt schon beim Versand von E-Mails bis hin zur Personalverwaltung oder der Nutzung einer Kontaktdatenbank. Auch Geschäftsführer und Verwaltungsräte sollten sich mit der neuen Gesetzgebung auseinandersetzten, da Ihnen zukünftig schwerwiegende Sanktionen drohen.

Handlungsempfehlungen

Verschaffen Sie sich einen grundlegenden Überblick über bestehende technische und organisatorische Schutzmassnahmen und prüfen Sie, ob diese aktualisiert werden müssen. Erstellen Sie einen Incident Response Plan (Vorfalls-Plan), damit unnötige Verzögerungen vermieden werden.

In diesem Plan sollte festgelegt werden:

  • Wer ist hauptverantwortlich?
  • Welche Schritte zur Abklärung des Vorfalls müssen eingeleitet werden?
  • Welche internen sowie externen Stellen sollen bei einem Vorfall einbezogen werden?
  • Welche Kommunikationsmassnahmen werden festgelegt?
  • Was sind die Grundsätze der internen und externen Kommunikation in Bezug auf Datenschutzverletzungen?
  • Wann besteht eine Meldepflicht? Legen Sie hierzu die relevanten Entscheidungskriterien für oder gegen eine Meldung an das EDÖB fest.
  • Was sind die Grundsätze der Nachbereitung und wo gibt es Optimierungspotenzial?

In diesem Zusammenhang bietet sich ein modernes digitales Ablagesystem im Sinne eines Dokumenten-Management-Systems (DMS) an. Mit einer solchen Lösung können Sie einfach nachvollziehen, wer wann auf welche Daten zugegriffen und diese verändert hat. Durch die Verfahrensdokumentation werden interne Prozesse im Umgang mit personenbezogenen Daten festgehalten. Dass bedeutet, es wird beschrieben, wer auf welche Daten wann zugegriffen hat und diese beispielsweise einsehen, bearbeiten und löschen darf.

Fazit

Handeln Sie schon jetzt vorausschauend und bleiben Sie so flexibel. Hierzu empfiehlt es sich in einem ersten Schritt eine Bestandsaufnahme der bisherigen Datenbearbeitung durchzuführen. So können Sie anschliessend einfacher feststellen, wo Ihr datenschutzrechtlicher Handlungsbedarf liegt.  

Die Dokumentation von Prozessen und der Umgang mit Daten kann schon heute angepasst werden. Gerade Dokumenten-Management-Systeme helfen dabei agil auf Änderungen in Bezug auf Transparenz, Zugriffsberechtigung oder Datensicherheit zu reagieren. Durch die Versionierung und den automatisch erstellten Verlauf, wird jede Interaktion mit Daten protokolliert sowie gesetzeskonform digital archiviert. Auch die Informationsvernichtung kann man z.B. automatisiert anstossen, wenn es gesetzlich gefordert wird.

Wünschen Sie sich mehr Informationen zum Thema Datenschutz oder zur Optimierung Ihrer internen Prozesse? Gerne steht Ihnen unser kompetentes Team für ein individuelles Beratungsgespräch zur Verfügung.

Quellen

Weitere Artikel

DocuWare 7.9 optimiert den Bestell- und Rechnungsprozess

So revolutioniert DocuWare 7.9 die adminitrativen Geschäftsprozesse von der Bestellung bis zur Rechnung. Die Version ermöglicht auch kleinen KMU mit einem geringeren Dokumenten Volumen, von automatisierten Abläufen zu profitieren. Durch den automatisierten Abgleich von Bestellungen, Lieferscheinen und Rechnungen auf Positionsebene bietet DocuWare maximale Automatisierung in einer DMS Lösung. Insgesamt bietet DocuWare Cloud 7.9 eine wegweisende Lösung für Unternehmen, die ihre Beschaffungsprozesse effizient, transparent und sicher gestalten möchten. Die ISO und SOC Zertifizierungen unterstreichen dies.
Dario Wieland
9.10.2023

Wie viel kostet eine Dokumenten-Management-Software (DMS) wirklich?

Wie viel sollten Sie für eine DMS Software einplanen und wie setzen sich die Kosten zusammen? Wir geben einen detaillierten Überblick und alle Informationen, die Sie für die richtige Budgetierung benötigen.
Dario Wieland
19.7.2023

Wann lohnt sich ein Dokumenten-Management System (DMS) für KMU?

Dieser Blog-Beitrag behandelt die Frage, wann sich ein Dokumentenmanagementsystem (DMS) für KMUs in der Schweiz lohnt. KMUs stehen vor der Herausforderung, effektiv mit wachsenden Datenmengen umzugehen und effizient zusammenzuarbeiten. Der Beitrag stellt die Herausforderungen der Dokumentenverwaltung für KMUs vor und nennt Kriterien, anhand derer sie evaluieren können, ob und welches DMS sich lohnt.
Dario Wieland
20.6.2023