Ist dein KMU DSG-fit?
Seit der Einführung der EU-DSGVO im europäischen Raum im Mai 2018 dürfte das Datenschutzrecht bei jedem KMU-Betrieb mal ein Thema gewesen sein. Die logische Konsequenz war die Angleichung des Schweizer Rechts an die EU-Lösung. Dies wird mit der Einführung des neuen Datenschutzgesetzes (DSG) und der Datenschutzverordnung (DSV) nun per 1. September 2023 umgesetzt. Was bedeutet dies aus KMU-Sicht und wie wird es DSG-fit?
Neuerungen
Zweck des DSG ist der Schutz der Persönlichkeit und Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden. Die Datenbearbeitung ist ein sehr weit gefasster Begriff. Jede Beschaffung, Aufbewahrung, Archivierung und Vernichtung von Angaben, die sich auf eine bestimmte Person beziehen, fallen darunter. Jedes KMU sollte sich daher mit dem neuen Datenschutzrecht befassen. Folgende Aspekte verändern sich mit der Einführung des neuen DSG:
- Verbesserte Kontrolle über Personendaten und Transparenz bei der Datenverarbeitung
- Stärkere Verantwortung der datenverarbeitenden Unternehmen
- Erweiterte Betroffenenrechte (Auskunft, Löschung etc.)
- Konkrete Sanktionen durch das EDÖB (Bussen bis CHF 250’000.00)
Konkrete Massnahmen
Als KMU stellt sich die Frage, welche der im DSG verankerten Massnahmen zwingend umgesetzt werden müssen. Die sogenannten «12 Gebote» der Bundesverwaltung zur Umsetzung des revidierten DSG bilden dabei eine erste Orientierungshilfe. Nicht alle diese Massnahmen sind aber zwingend und ab dem 1. September 2023 umzusetzen. Es gilt als KMU, die wichtigsten Neuerungen zeitnah und pragmatisch umzusetzen. Dazu zählen insbesondere:
- Erstellen Datenschutzerklärung (z.B. auf Webseite publiziert)
- Anlegen eines Verzeichnisses über die Datenbearbeitung (auch wenn die KMU-Ausnahme von 250 Beschäftigten greifen würde, dient das Bearbeitungsverzeichnis der Übersicht über die Datenbearbeitungen im Unternehmen; Mindestinhalt gemäss Art. 12 DSG).
- Datensicherheit durch geeignete technische und organisatorische Massnahmen («TOM») sicherstellen.
- Ernennung eines Datenschutzbeauftragten im Betrieb und Veröffentlichung der Kontaktdaten (Vorsicht: Risiko EDÖB-Sanktionen, die sich gegen den jeweiligen Mitarbeiter und nicht die Unternehmung richten).
- Meldeverfahren für Verletzungen des Datenschutzes einführen (Institutionalisierung wohl erst ab einer bestimmten Unternehmensgrösse erforderlich)
- Verträge überprüfen / ergänzen (insb. Vereinbarung zur Auftragsdatenverarbeitung in der Praxis von Bedeutung, darin nur Massnahmen bestätigen, die auch eingehalten werden können)
Im Zweifelsfall lohnt sich die Absprache mit einem versierten Juristen, um im Hinblick auf die Einführung des DSG nicht unnötigen Aufwand zu betreiben.
Mit Einführung des neuen DSG wird die EU-DSGVO übrigens nicht ausser Kraft gesetzt. Sie besteht nach wie vor parallel zum DSG. Die darin enthaltenen, teils noch etwas weitergehenden Regelungen sollten von KMU vor allem bei regelmässigem Bezug zu Personen im EU-Raum weiterhin berücksichtigt werden.
Informationen zum Autor:
Samuel Horner ist selbständiger Rechtsanwalt bei Advokatur 107 in St. Gallen. Als Anwalt und Notar berät er KMU in sämtlichen Rechtsgebieten, vorwiegend in den Bereichen Vertragsrecht, Arbeitsrecht sowie Miet- und Baurecht.