Das neue Datenschutzgesetz tritt am 1. September 2023 in Kraft!

Damit der freie Datenverkehr mit der Europäischen Union erhalten werden kann und Schweizer Unternehmen diesbezüglich wettbewerbsfähig bleiben, hat der Bund das bereits über 30 Jahre alte Datenschutzgesetz überarbeitet. Die Inkraftsetzung des Totalrevidierten Datenschutzgesetzes (revDSG) erfolgt am 1. September 2023.

Besonders hervorzuheben sind die neuen Sanktionen: Wer ab dem 01. September eine betroffene Person zum Zeitpunkt der Datenerhebung nicht ordentlich informiert oder ihr nachträglich auf deren Anfrage keine genügende Auskunft über die erhobenen Daten erstattet, so wie es das Gesetz verlangt, kann sich – auf Antrag der betroffenen Person – mit Bussen bis zu 250'000 Franken konfrontiert sehen. Deshalb ist es für KMU wichtig, sich ihrer Pflichten bewusst zu sein, deren Missachtung von den Sanktionsartikeln des revDSG direkt mit Busse bedroht werden:

  1. Datensicherheit I: Die KMU müssen für die Sicherheit ihrer Daten einstehen und diese vor unberechtigten, widerrechtlichen Übergriffen schützen (Art. 8 revDSG)
  2. Datensicherheit II: Werden externe Tools zur Verwaltung von Personendaten verwendet (z.B. Online-Mitgliederverwaltungssoftware), so muss dies vertraglich festgehalten sein. Das KMU ist verpflichtet, sich über die Datensicherheit des Vertragspartners zu vergewissern (Art. 9 revDSG)
  3. Bekanntgabe von Daten ins Ausland: Gelangen Personendaten ins Ausland, selbst wenn die z.B. nur darauf zurückzuführen ist, dass sich die Server des Cloud-Dienstes, in welchem die Daten gespeichert werden, im Ausland befindet, so müssen die gesetzlichen Voraussetzungen eingehalten werden (Art. 16 und 17 revDSG)
  4. Informationspflicht: Bei jeder Bearbeitung (d.h. Erhebung, Speicherung, Veränderung oder Löschung) von Personendaten muss die betroffene Person entsprechend den gesetzlichen Anforderungen (Art. 19 revDSG) informiert werden, nämlich:
    1. die Identität und die Kontaktdaten des Bearbeiters
    2. den Zweck der Datenbenutzung bzw. -bearbeitung
    3. gegebenenfalls Liste mit Namen oder Kategorien von Empfängern, denen Personendaten bekanntgegeben werden (Mitarbeiter, Geschäftspartner, Zweigstellen etc.)
  5. Auskunftspflicht: Verlangt eine Person eine Auskunft darüber, ob und welche Daten über sie bearbeitet werden, so muss diese Auskunft nach gesetzlichen Vorschriften erfolgen, sofern keine Ausnahmen bestehen (Art. 25 - 27 revDSG)
  6. Datenschutzverletzungen melden: Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde und dies zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten (Art. 24 revDSG)

                  

Der Thurgauer Gewerbeverband bietet den Thurgauer KMU nachfolgend einen leicht verständlichen Leitfaden inkl. Vorlagen zum Download, mit welchen die Unternehmen das Risiko einer Gesetzesverletzung mindern können.


Was müssen KMU bis 250 Mitarbeiter in jedem Fall beachten und umsetzen?

Schritt 1: Informationspflicht

Prüfen, welche Personendaten im Unternehmen erhoben oder bearbeitet werden (Kunden, Mitarbeiter, Beauftragte etc.)

  1. Liste von Orten erstellen, wo Personendaten erhoben oder gespeichert werden. Auch Drittanbieter berücksichtigen (z.B. Adressverwaltungssoftware)
  2. Bei Drittanbietern: prüfen oder nachfragen, ob die Daten im Ausland gespeichert werden
  3. Liste von Datenkategorien erstellen, welche erhoben werden (z.B. Name, Adresse, Email etc.) und angeben, für welchen Zweck diese Daten erhoben werden (z.B. "zur Identifikation" oder "für Einladungen an Vereinsversammlungen" etc.). Wenn für eine erhobene Datenkategorie kein Verwendungszweck besteht, so sollten diese Daten grundsätzlich nicht erhoben werden.

An den jeweiligen Erhebungsstellen die Informierung gewährleisten

zum Beispiel:

  1. Mitarbeiter, Vertragspartner -> Datenschutzerklausel im Vertrag/Arbeitsvertrag hinzufügen
  2. Kundenkontakte, Webseite («einfache» Kontakte) -> Datenschutzerklärung einblenden und akzeptieren lassen (per ankreuzen oder Unterschrift)
  3. Überall dann, wenn Daten bearbeitet werden und überall dort, wo Daten erhoben werden -> Datenschutzrichtlinie einblenden/akzeptieren lassen (= Informationspflicht erfüllen)

Vorlagen zum Download für Schritt 1:

Schritt 2: Datensicherheit gewährleisten

Eigene Datensicherheit sicherstellen

  • Starke Passwörter, 2-Faktorauthentifizierung verwenden

Datensicherheit von externen Partnern und Drittanbietern (z.B. Online-Adressverwaltungsplattform) sicherstellen

Jegliche Datenschutzverletzung, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, sofort dem EDÖB melden

Vorlagen zum Download Schritt 2:

Schritt 3: Erfüllung der Auskunftspflicht vorbereiten

Das Unternehmen muss in der Lage sein, einer Person auf Anfrage Auskunft darüber zu geben, welche Daten über sie bearbeitet werden

  • Anmerkung: Das Datenbearbeitungsverzeichnis ist keine Pflicht für KMU, welche weniger als 250 Mitarbeitende beschäftigen. Es ist jedoch sehr empfehlenswert, dennoch ein solches Verzeichnis zu erstellen, da dessen Inhalte praktisch identisch mit den gesetzlichen Anforderungen an die Inhalte der Auskunftspflicht (Art. 25 revDSG)

Vorlagen zum Download für Schritt 3:

Schritt 4: Datenschutzfolgeabschätzung

Eine Datenschutzfolgeabschätzung ist nur für jene Unternehmen Pflicht, welche eine der folgenden Voraussetzungen erfüllen:

    1. umfangreiche Überwachung öffentlicher Bereiche
    2. umfangreiche Bearbeitung besonders schützenswerter Daten, nämlich:
      • Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
      • Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
      • genetische Daten,
      • biometrische Daten, die eine natürliche Person eindeutig identifizieren,
      • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
      • Daten über Massnahmen der sozialen Hilfe

Vorlagen zum Download für Schritt 4:

Weiterführende Informationen

Der Schweizerische Gewerbeverband SGV hat eine umfassende Sammlung von Vorlagen und ein Merkblatt mit detaillierten Infos für KMU sowie zur Verfügung gestellt. Die Vorlagen sind in den obigen Downloads verlinkt.

Weitere Links, Ansprechpartner und Downloads stellen wir Ihnen nachfolgend zur Verfügung

Link zum Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten:

https://www.edoeb.admin.ch/edoeb/de/home/deredoeb/kontakt.html

Datenschutz- und Öffentlichkeitsbeauftragter Kanton Thurgau
lic. iur. Fritz Tanner, Rechtsanwalt
Regierungsgebäude
Zürcherstrasse 188
8510 Frauenfeld
Tel. 058 345 53 41
Bitte Javascript aktivieren!		Ansprechpartner zum Thema Datenschutz des Schweizerischen Gewerbeverbandes:
Dieter Kläy
Bitte Javascript aktivieren!


Zur Infoseite des SGV

Umfassende Informationen, Ansprechpartner und Vorlagen zum revidierten Datenschutzgesetz

Merkblatt neues Datenschutzgesetz

Das detaillierte Merkblatt des SGV zum revidierten Datenschutzgesetz

Dokumentation des Bundes

KMU-Portal zum Thema Datenschutzgesetz des Eidgenössischen Departementes für Wirtschaft, Bildung und Forschung

Entwurf des revidierten Datenschutzgesetz

Der Gesetzestext tritt am 01. September 2023 in Kraft
Diese Webseite verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.