Checkliste für KMU: Welche Anpassungen an das Datenschutzgesetz sind nötig?
Das neue Datenschutzgesetz (revDSG) ist am 1. September 2023 in Kraft getreten. Es betrifft alle Schweizer Unternehmen. Anhand dieser Checkliste können sie sich darauf vorbereiten.
Alle Unternehmen in der Schweiz müssen das neue Datenschutzgesetz (revDSG) umsetzen. Für Firmen, die sich noch nicht an die EU-Datenschutzgrundverordnung (DSGVO) aus dem Jahr 2018 angepasst haben, wird die Umstellung auf die Bestimmungen des neuen Schweizer Gesetzes Zeit in Anspruch nehmen und Unterstützung durch Personen mit juristischen und technischen Kenntnissen im Bereich Datenschutz erfordern.
Für die Anpassung an das revDSG sollten die im Rahmen der Firmentätigkeit bearbeiteten Daten erfasst und die Risiken analysiert werden. Je mehr Daten ein Unternehmen bearbeitet bzw. je mehr dieser Daten besonders schützenswert sind (zum Beispiel im Zusammenhang mit Religion, Gesundheit, Betreibungen usw.), desto höher sind die Anforderungen.
Die 12 Gebote des revDSG
Die Schweizer KMU müssen folgende zwölf Massnahmen umsetzen, um sich an das revDSG anzupassen:
- Datenschutzerklärungen prüfen und ändern (Website, Verträge, Werbeinhalte usw.).
- Richtlinien für die Datenbearbeitung innerhalb des Unternehmens erstellen (oder ändern).
- Ein Verzeichnis der Datenbearbeitung anlegen (Ausnahme für Unternehmen mit weniger als 250 Beschäftigten, sofern kein hohes Risiko für Verletzungen der Persönlichkeit vorliegt).
- Eine Vorgehensweise für eine rasche Beantwortung der Anfragen betroffener Personen ausarbeiten (z.B. Ersuchen um Auskunft oder Löschung von Daten).
- Ein Meldeverfahren für Verletzungen des Datenschutzes einführen.
- Einen Prozess für die Datenschutz-Folgenabschätzungen etablieren, die notwendig sind, wenn die Datenbearbeitung ein hohes Risiko mit sich bringt (z.B. bei systematischer Überwachung grosser Teile des öffentlichen Raums).
- Verträge mit Subunternehmern analysieren, um zu prüfen, ob die Sicherheit der Daten gewährleistet ist, und entsprechende Klauseln hinzufügen (insbesondere bezüglich der Meldung jeglicher Verletzungen des Datenschutzes).
- Sicherstellen, dass Personendaten gelöscht oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
- Prüfen, in welche Länder Daten übermittelt werden, auch für eine einfache Speicherung in der Cloud (diese Länder müssen in einer vom Bundesrat erstellten Liste aufgeführt sein. Ist dies nicht der Fall, gelten strengere Anforderungen).
- Datensicherheit durch geeignete technische und organisatorische Massnahmen garantieren,
- Die Herausgabe der Daten in einem elektronischen Format gewährleisten (bei automatisierter Bearbeitung der Daten und besonders im Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags).
- Ernennen einer Datenschutzberaterin oder eines Datenschutzberaters mit Meldung an den EDÖB (empfohlen). Ihre oder seine Kontaktdaten müssen veröffentlicht werden. Gemäss DSGVO ist die Ernennung einer oder eines Datenschutzbeauftragten hingegen zwingend.
Weitere Informationen Staatssekretariat für Wirtschaft SECO für KMU.
Hier einige Beispiele, was Sie unternehmen sollten:
- Schritt 1: Erstellen Sie ein Verzeichnis aller Datenbearbeitungen, die Sie durchführen, und dokumentieren Sie den Zweck, die Rechtsgrundlage, die Datenkategorien, die Empfänger und die Aufbewahrungsfristen.
- Schritt 2: Prüfen Sie, ob Sie eine Datenschutz-Folgenabschätzung durchführen müssen, wenn Sie Datenbearbeitungen mit hohem Risiko für die Persönlichkeitsrechte der betroffenen Personen vornehmen.
- Schritt 3: Informieren Sie die betroffenen Personen transparent über die Datenbearbeitungen, die Sie durchführen, und stellen Sie sicher, dass Sie ihre Einwilligung einholen, wenn nötig.
- Schritt 4: Überprüfen Sie Ihre Sicherheitsmassnahmen zum Schutz der Personendaten vor unbefugtem Zugriff, Verlust oder Diebstahl und melden Sie Datenpannen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und gegebenenfalls an die betroffenen Personen.
- Schritt 5: Beachten Sie die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch, und stellen Sie sicher, dass Sie ihre Anfragen innerhalb von 30 Tagen beantworten.
- Schritt 6: Prüfen Sie, ob Sie einen Datenschutzbeauftragten ernennen müssen oder freiwillig wollen, der für die Einhaltung des Datenschutzrechts verantwortlich ist und als Ansprechpartner für den EDÖB und die betroffenen Personen dient.
- Schritt 7: Prüfen Sie, ob Sie Personendaten ins Ausland übermitteln und ob das Zielland ein angemessenes Datenschutzniveau bietet. Wenn nicht, müssen Sie geeignete Garantien vorsehen oder eine Einwilligung der betroffenen Personen einholen.