Fit für das neue Schweizer DSG?

Das totalrevidierte Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) treten am 1. September 2023 in Kraft.
Link zum neuen Datenschutzrecht

Zeit für die Vorbereitung erhielt die Wirtschaft grundsätzlich genug. Aber wie es halt so ist; Erst wenn es brennt, wird es wichtig.

Deshalb widmen wir diesen Blog ganz dem Thema Datenschutz:

• Datenschutz für KMU > Artikel von Denis Berger, Datenschutzexperte
• Unser konkretes Angebot bezüglich Website an Sie / Dich
• Datenschutz darüber hinaus > Angebot von Denis Berger

Als Kundin oder Kunde von Mosaiq und ehemals Deskall bieten wir Ihnen / Dir eine modular aufgebaute und wo nötig individualisierbare (wichtig) Datenschutzerklärung und ein Impressum, um diese DSG-konform auf Ihrer / Deiner Website anzupassen. Dazu gehört auch eine Auflistung sämtlicher Online-Tracking-Dienste (Google / Bing etc.), Social Media Kanäle, Newsletter-Tools etc., die in Zusammenhang mit den Personendaten von Kunden zum Einsatz kommen.
Darüber hinaus haben wir mit Denis Berger und seiner Kanzlei einen ausgewiesenen Fachmann in Sachen DSG, der bei weiteren Fragen hinsichtlich Bearbeitung von Personendaten zur Verfügung steht.

Lassen wir ihn doch gleich selber zu Wort kommen:

Datenschutz für KMU

Datenschutz – geht mich das etwas an?

Kurze Antwort: Ja. Das Datenschutzgesetz (DSG) geht alle etwas an, die Personendaten bearbeiten, sprich alle Unternehmen, die Mitarbeitenden, Kunden, Lieferanten, Webseiten, Partner oder IT-Lösungen haben. Warum ist das so? Weil das Datenschutzgesetz die Rechte der betroffenen Personen schützt, von welchen Sie Daten bearbeiten, egal ob Sie ein einzelner Uhrmacher, eine lokale Autogarage, eine regionale Bank oder ein globaler Software-Riese sind.

Warum jetzt?

In der Tat, Datenschutz gibt es in der Schweiz schon länger, auch das entsprechende Gesetz dazu: Das DSG von 1992. Dieses wird nun auf den 1. September 2023 revidiert. Das hat auch damit zu tun, dass die Schweiz gegenüber der EU weiterhin ein angemessenes Datenschutzniveau halten will, und dass der freie Datenfluss mit unserem wichtigsten Handelspartner nicht gekappt wird. Dies hat einerseits zur Folge, dass ein paar neue Grundsätze und Pflichten Einzug ins DSG finden. Andererseits erhalten die Behörden neue Kompetenzen, um die Einhaltung des DSG zu überprüfen und gegebenenfalls Verfehlungen zu bestrafen.

Was will es denn von mir, dieses DSG?

Grundsätzlich will das DSG von Ihnen zwei Dinge. Erstens verlangt es, dass Sie sich als Datenbearbeiter bewusst sind, wie Sie welche Daten wozu bearbeiten. Zweitens verlangt es, dass Sie die Rechte der Personen respektieren, von welchen Sie Daten bearbeiten. Als Datenbearbeiter sind Sie wie ein Treuhänder. Ihnen werden Personendaten anvertraut, freiwillig oder gestützt auf eine vertragliche oder gesetzliche Pflicht. Folglich müssen Sie diese Daten sicher und vertraulich behandeln. Weiter müssen Sie wissen welche Daten Sie von wem und wozu verwalten. Letztlich müssen Sie jederzeit darüber Auskunft geben können, was Sie mit den Daten machen, und informieren, wenn etwas mit den Daten schiefgelaufen ist.

Was heisst das nun für mich?

Als Einstieg müssen Sie sich eine Übersicht verschaffen, bei welchen Abläufen in Ihrem Unternehmen Personendaten bearbeitet werden, in Zusammenarbeit mit wem und unter welchen Rahmenbedingungen.
Solche Abläufe sind z.B. der Bewerbungsprozess, das Online-Geschäft, die Kundenverwaltung, die Video-Überwachung, die Spesen-Bewirtschaftung, der Newsletter-Versand, usw. Ziel der Bestandesaufnahme ist es, diese zu dokumentieren und allfällige datenschutzrechtliche Lücken festzustellen.
Weiter relevant ist es, mit welchen Dritten Sie zusammenarbeiten (und gestützt auf welchen Vertrag), um diese Daten zu bearbeiten (z.B. Cloud-Lösung, externer Lohnbuchhalter, Sicherheitsdienst oder Aussendienst oder IT-Firma). Auch diese werden in der Bestandesaufnahme erfasst.
Auch Teil dieser Übersicht ist die Bestandesaufnahme hinsichtlich der technischen und organisatorischen Massnahmen (TOM) in Ihrem Unternehmen, welche die vertrauliche und korrekte Bearbeitung von Personendaten ermöglichen und sicherstellen, z.B. wie Sie Ihr Unternehmen gegen physische und digitale Eindringlinge schützen, wie Sie Schlüssel und Batches verwalten, welche Schulungen und Prozesse im Unternehmen existieren, um Sicherheit und Datenschutz zu fördern, oder wie Sie Ihre Daten sichern, verwalten und teilen.
Gestützt auf diese Übersicht der relevanten Abläufe, der Zusammenarbeit mit Dritten und Ihrer TOM können Sie nun die nächste Schritte machen.

Was setze ich dann bei mir um?

Nun können Sie Ihre datenschutzrechtlichen Pflichten gezielt, effizient und mit dem nötigen Pragmatismus erfüllen. Das heisst:
Die betroffenen Personen richtig informieren, wo es angezeigt ist (z.B. Mitarbeitende, Kunden, Geschäftspartner oder Webseiten-Besucher)Verträge mit den relevanten Dienstleistern auf Datenschutz hin überprüfenDie Datensammlung und -nutzung auf der Webseite anpassen, wo nötigIntern Datenschutz als Kompetenz einführen, schulen und dokumentierenAufbewahrungsfristen definieren und einhaltenDatensicherheit dort stärken, wo sie Schwächen hatAnfragen von betroffenen Personen richtig und zeitgerecht beantworten.

Danach ist aber gut, oder?

Datenschutz gehört als Disziplin ins Denken des Unternehmens. Das bedeutet, dass Datenschutz Teil der Gesamtüberlegung und -beurteilung werden muss, zum Beispiel bei:

• Änderung von bestehenden Prozessen
• Einführung von neuen Abläufen
• Anpassungen der Webseite
• Aufnahme von neuen Online-Produkten/Dienstleistungen
• Anschaffungen oder Einbindungen von neuer IT
• Datenrelevante Zusammenarbeit mit neuen Partnern oder Erweiterung bestehender Zusammenarbeit
• Einführungen eines Systems zur Kundenbewirtschaftung oder für das Zeit-/Ferien-Management der Mitarbeitenden
• Planung von Marketing-Massnahmen

Dadurch wird von Anfang an und immer wieder hinterfragt, welchen Einfluss die Tätigkeiten Ihres Unternehmens auf die betroffenen Personen haben und gleichzeitig sichergestellt wie Sie dabei Ihre datenschutzrechtlichen Pflichten erfolgreich erfüllen können, nahtlos eingebunden in Ihre Geschäftstätigkeit.

Autor: Denis F. Berger