Interessiert Sie Datenschutz? Das sollte es aber, sofern Sie nicht nur Daten im privaten Familien- und Freundeskreis bearbeiten. Denn das neue Datenschutzgesetz hat es in sich: Getreu dem Motto «bist du nicht willig, so brauch’ ich Gewalt» soll dem bislang in der Praxis grösstenteils höchstens stiefmütterlich beachteten Datenschutz mit Bussen von bis zu CHF 250’000 (!) zum Durchbruch verholfen werden. Und gebüsst wird nicht etwa das fehlbare Unternehmen, sondern der ausführende Mitarbeiter persönlich, der Daten in eigener Verantwortung bearbeitet (d.h. z.B. speichert, versendet oder verändert). Die Bussen sind weder versicherbar noch darf sie das Unternehmen für den Mitarbeiter bezahlen. So betrachtet sind die Sanktionen nach dem neuen Datenschutzgesetz sogar noch schärfer als jene der EU-Datenschutzgrundverordnung. Höchste Zeit also, das Thema Datenschutz ernst zu nehmen.
Inkrafttreten wohl im Jahr 2022
Derzeit wird mit dem Inkrafttreten des revidierten Datenschutzgesetzes (nDSG) im Jahr 2022 gerechnet; voraussichtlich im zweiten Halbjahr. Auf Mitte 2021 wird mit dem Entwurf der revidierten Verordnung zum nDSG gerechnet. Sie wird viele Punkte konkretisieren und ergänzen. Da aber das nDSG keine relevanten Übergangsfristen vorsieht, sind Sie gut beraten, mit der Umsetzung baldmöglichst zu beginnen.
Unterschiedlich grosser Handlungsbedarf
Erfreulich ist, dass das nDSG grösstenteils einfach umsetzbar sein wird. Unterschätzen Sie aber den Aufwand nicht. Gerade für KMUs ohne Compliance-Abteilung ist mit einem nicht unerheblichen administrativen Zusatzaufwand zu rechnen, der nebst dem operativen Geschäft bewältigt werden muss.
Am wenigsten Aufwand hat, wer bereits DSGVO-konform ist. Es werden zwar auch in diesem Fall gewisse Zusatzprüfungen und –arbeiten nötig sein. Die bisherigen Umsetzungsabreiten können jedoch grösstenteils übernommen werden.
Erstellung eines Verzeichnisses der Datenbearbeitungen
Ausgangspunkt und zentrales Instrument in Ihrem Unternehmen ist das Verzeichnis über Ihre Datenbearbeitungen. Dieses Verzeichnis soll und wird Ihnen bei der Datenschutz-Compliance helfen. Denn es verschafft Ihnen einen Überblick über die datenschutzrelevanten Aktivitäten in Ihrem Betrieb. Auch wenn viele KMUs von der Pflicht zur Erstellung dieses Verzeichnisses entbunden sein dürften, ist ein Überblick über die eigenen Datenbearbeitungen insbesondere zum Erstellen einer vollständigen Datenschutzerklärung unerlässlich.
Die Erstellung dieses Verzeichnisses ist in der Regel dann auch die aufwändigste Tätigkeit. Und diese lässt sich nicht an Externe delegieren. Denn nur Sie kennen Ihren Betrieb und dessen Datenbearbeitungen. Immerhin können die Verzeichnisse, die für die DSGVO erstellt wurden, weitgehend übernommen werden; Sie müssen diese aber um allfällige Export-Länder sowie anwendbare Garantien im Falle des Exports in Drittstaaten ergänzen.
Datenschutzerklärung wird obligatorisch
Deutlich ausgebaut werden im nDSG insbesondere die Informationspflichten. So besteht neu grundsätzlich eine Informationspflicht bei jeder Beschaffung von Personendaten. Bestehende Kunden müssen allerdings nicht proaktiv informiert werden. Die Informationspflicht gilt nur für die Beschaffung von Daten ab Inkrafttreten des nDSG. Die vorsätzliche Verletzung (wobei die Inkaufnahme einer Verletzung genügt) wird auf Antrag der betroffenen Person mit Busse bis zu CHF 250’000 bestraft.
Das Gesetz sagt nicht, wie informiert werden muss. In der Praxis erfolgt dies grösstenteils in Form einer Datenschutzerklärung. Es ist ausreichend, wenn Sie die betroffene Person darüber informieren, wo sie die Datenschutzerklärung finden kann. Wichtig ist daher, dass Ihre Datenschutzerklärung auf Ihrer Webseite gut zugänglich und erkennbar bereitgehalten wird sowie Broschüren, Formulare, AGB etc. auf diese unter Angabe des «Internet-Link» verweisen.
Kontrollieren Sie Ihre Verträge
Wenn Sie Ihre eigene Datenbearbeitung an Dritte delegieren (sog. Auftragsbearbeiter wie z.B. Cloud-Anbieter), müssen Sie Ihre Verträge kontrollieren. Die Vorgaben nach dem nDSG gehen weniger weit als jene der DSGVO, die heute Standard sind. Sie müssen die Verweise auf die DSGVO um jene auf das nDSG ergänzen.
Ausserdem sind Datenexporte zu identifizieren, auf die Vorgaben des nDSG zu prüfen und unter Umständen anzupassen. Wenn Ihr Unternehmen schon heute DSG-konform ist, dürfte dies in den meisten Fällen nicht nötig sein.
Ein vorsätzlicher Verstoss (wobei Inkaufnahme eines Verstosses genügt) ist in beiden Fällen mit Busse bis CHF 250’000 sanktioniert.
Zuständigkeit für Datenschutz regeln
Wichtig ist, die interne Zuständigkeit für den Datenschutz zu regeln. Auch wenn das nDSG die Figur des «Datenschutzbeauftragten» der DSGVO nicht übernimmt, sollte eine Person bezeichnet werden, die weiss, was in der jeweiligen Situation zu tun ist oder wie sie zumindest herausfindet, was zu tun ist, z.B. wenn eine betroffene Person Auskunft über die über sie gesammelten Daten verlangt oder wenn die Datensicherheit verletzt wurde (Stichwort «Meldepflicht» bzw. «Data Breach Notification»).
Gerne stehen wir Ihnen zur Verfügung, sollten Sie bei der Umsetzung Fragen oder Unterstützungsbedarf haben.