Neues Datenschutzgesetz
Neues Datenschutzgesetz
Nach fast vier Jahren Diskussion hat das Parlament das revidierte Datenschutzgesetz verabschiedet. Diese soll Mitte Mai 2022 in Kraft treten. Es liegt jedoch im Interesse der KMU, sich jetzt auf die Umsetzung vorzubereiten.
Die überarbeitete Fassung des Datenschutzgesetzes enthält mehrere Neuerungen, insbesondere mehr Rechte für die Betroffenen, die Förderung der Prävention und die Verstärkung der Kontrollen. Darüber hinaus wurden die strafrechtlichen Bestimmungen erweitert. Das neue Datenschutzgesetz ersetzt das vorherige Gesetz aus dem Jahr 1992, das aufgrund der technologischen Entwicklung veraltet ist. Das schweizerische Datenschutzgesetz soll auch den europäischen Anforderungen entsprechen. Die EU-Datenschutzgrundverordnung (GDPR) ist seit Mai 2018 in Kraft und gilt ab dem 20. Juli 2018 für den gesamten Europäischen Wirtschaftsraum, einschließlich Liechtenstein, Island und Norwegen. Was bedeuten die neuen Bestimmungen der revidierten Fassung des Datenschutzgesetzes für KMU? Die Vereinigung Bridge2digital schlägt vor, die Autonomie bei der Anwendung der neuen Verordnungen zu erleichtern. Wolfgang Pfister, Leiter der Fachgruppe "Security & Compliance" der Organisation, gibt uns einige Hintergrundinformationen.
A Worauf müssen KMU im Hinblick auf das neue Datenschutzgesetz achten?
Wolfgang Pfister: Die revidierte Fassung des Datenschutzgesetzes gilt nur für Personendaten und nicht für Unternehmensdaten. Wenn ein KMU Mitarbeiter und Kunden hat, verfügt es auch über personenbezogene Daten und muss daher die Datenschutzbestimmungen einhalten. Das neue Gesetz sieht umfassendere Informationspflichten, einschließlich der Erstellung eines Registers der Datenverarbeitungstätigkeiten, und mehr Rechte für die betroffenen Personen vor. Zu den besonders sensiblen personenbezogenen Daten gehören inzwischen auch genetische und biometrische Daten, wie Fingerabdrücke oder Netzhautscans. Der Bundesrat hat die Verordnung zu diesem Gesetz in die Vernehmlassung geschickt. Sie soll Mitte Mai 2022 in Kraft treten. Es liegt jedoch im Interesse der KMU, sich jetzt auf die Umsetzung vorzubereiten.
Auf welche Probleme könnten KMU bei der Anwendung der neuen Vorschriften stoßen?
Wolfgang Pfister: KMU, die personenbezogene Daten erheben oder verarbeiten, müssen in einer Datenschutzerklärung angeben, welche Kundeninformationen verarbeitet werden, wenn Kunden ihre Website besuchen, wenn sie ihre Online-Dienste nutzen oder wenn das Unternehmen Dienstleistungen für den Kunden erbringt. Der Verein Bridge2digital hilft KMU bei der Erstellung einer Datenschutzerklärung anhand eines Musterdokuments. Diese Vorlage kann an verschiedene Branchen angepasst werden, sei es eine Arztpraxis, ein (Online-)Verkauf oder ein Handwerksbetrieb.
In Übereinstimmung mit dem Gesetz dürfen nur die tatsächlich notwendigen Daten erhoben werden. Ein KMU kann Fragen zu Verträgen mit Lieferanten haben, auch zu denen von Cloud-Lösungen. Die Daten können ins Ausland weitergegeben werden, wenn das Drittland einen angemessenen Datenschutz bietet. Der Bundesrat stellt dazu eine Liste zur Verfügung. Steht das betreffende Ausfuhrland nicht auf dieser Liste, können personenbezogene Daten wie nach dem bisherigen Recht weitergegeben werden, sofern der Datenschutz auf andere Weise gewährleistet ist.
Was ist der Zweck der Vereinigung Bridge2digital?
Wolfgang Pfister: Ziel des Vereins ist es, eine Plattform für den unternehmens- und branchenübergreifenden Erfahrungsaustausch über den Einsatz von Digitalisierungsverfahren zu schaffen. Wir wollen auch digitale Pilotprojekte, so genannte "Flaggschiff"-Projekte und "Best Practices" auf der Ebene von Unternehmen, Sektoren und Fachbereichen initiieren und begleiten. Der Verein wurde im November 2017 gegründet und bietet Veranstaltungen zu verschiedenen Themen wie "Security & Compliance" und "Smart Customer Interaction" an. Zu den derzeit 15 Mitgliedern gehören interessierte Nutzer, die die Digitalisierung weiter vorantreiben wollen, aber selbst nicht über die nötigen Ressourcen verfügen, um dies zu tun. Darunter sind auch Schweizer Anbieter von digitalen Lösungen, Start-ups und etablierte Unternehmen. Im Rahmen der Fachgruppe "Security & Compliance" befasst sich der gemeinnützige Verein mit der Umsetzung des neuen Datenschutzgesetzes und fokussiert dabei insbesondere auf Schweizer KMU.
Welche Fragen stellen KMU zu automatisierten Einzelentscheidungen?
Wolfgang Pfister: Das Unternehmen muss die betroffene Person über jede Entscheidung informieren, die ausschließlich auf einer automatisierten Verarbeitung beruht und die mit einer Rechtsfolge für die betroffene Person verbunden ist oder sie erheblich beeinflusst. Ein Beispiel wäre der Abschluss eines Versicherungsvertrags, der vom (potenziellen) Kunden abgelehnt wird. Die betreffende Person muss daher die Möglichkeit haben, ihren Standpunkt darzulegen, und wenn sie mit automatisierten Einzelentscheidungen nicht einverstanden ist, muss sie verlangen können, dass die Entscheidung von einer natürlichen Person überprüft wird.
Worauf müssen die KMU bei der Profilerstellung achten?
Wolfgang Pfister: Beim Profiling werden viele Daten zusammengeführt, die es ermöglichen, Verhaltensmuster und Persönlichkeitsprofile zu erstellen. Ein Beispiel dafür sind Online-Shops, die das Surf- und Einkaufsverhalten der Nutzer analysieren. Das neue Gesetz unterscheidet zwischen gewöhnlichem und "risikoreichem" Profiling in Bezug auf die Rechte einer natürlichen Person. Für letztere ist die ausdrückliche Zustimmung der betroffenen Person erforderlich. Der Verband Bridge2digital unterstützt KMU bei der Erstellung von Modellen zur Analyse der Auswirkungen des Datenschutzes.
Was sollte ein KMU im Falle eines Datenschutzverstoßes tun?
Wolfgang Pfister: Nach dem neuen Gesetz müssen Unternehmen jedes Datenleck dem Bundesdatenschutzbeauftragten melden. Im Falle eines Datenschutzverstoßes muss das KMU oder die verantwortliche Person den Datenschutzbeauftragten so schnell wie möglich darüber informieren, ob ein erhebliches Risiko für den Einzelnen oder für die Grundrechte der betroffenen Person besteht. Die betroffenen Personen müssen ebenfalls informiert werden, wenn dies zu ihrem Schutz erforderlich ist. Es ist wichtig, dass Unternehmen aufzeichnen, was sie tun. Wenn etwas schief geht, sollte das KMU in der Lage sein, eine klare Entscheidungskette vorzulegen, wie es versucht hat, das Gesetz einzuhalten.
Einige der wichtigsten Daten, die es zu schützen gilt, sind die von Arztpraxen; mehr dazu erfahren Sie hier.
