Sofortkontakt zur Kanzlei
 

KMU-Magazin Nr. 04/05, April/Mai 2021 Was das neue Datenschutzgesetz für KMU bedeutet

Als die Europäische Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 Wirkung entfaltete, waren viele Unternehmen in der Schweiz verunsichert, welche Auswirkungen die EU-DSGVO für sie haben könnte. Bekanntermassen entfaltet die EU-DSGVO nicht nur Wirkung innerhalb der EU, sondern unter gewissen Voraussetzungen auch auf Unternehmen ausserhalb der EU und somit Schweizer Unternehmen.

Seither sind drei Jahre vergangen. Zahlreiche Schweizer Unternehmen haben sich in dieser Zeit mehr oder weniger intensiv mit dem Datenschutz beschäftigt. Andere haben die Revision des Schweizer Datenschutzgesetzes abgewartet.

Nun liegt das neue Bundesgesetz über den Datenschutz (nDSG) vor und die Vorarbeiten für die Revision der Verordnung zum nDSG sowie für die Verordnung über die Datenschutzzertifizierungen laufen. Das neue Datenschutzrecht wird voraussichtlich frühestens im zweiten Halbjahr 2022 in Kraft treten. Doch was gibt es für Schweizer KMU bis dahin konkret zu tun?

Handlungsbedarf prüfen

Viele Unternehmen fragen sich, ob es sich beim nDSG nicht um alten Wein in neuen Schläuchen handelt. Diese Frage ist berechtigt. In der Tat sind zahlreiche Bestimmungen des nDSG nicht neu, doch kommt ihnen aufgrund der Sensibilisierung in der Bevölkerung, welche in den vergangenen Jahren stattgefunden hat, eine andere Bedeutung zu. Das nDSG zielt darauf ab, dass der Datenschutz nicht nur existiert, sondern dass er auch gelebt wird. Das nDSG enthält dazu ausgebaute Durchsetzungsmechanismen. Zum einen gibt es Erleichterungen beim Auskunftsrecht der betroffenen Person (Art. 25 nDSG), zum andern wurden die Befugnisse des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ausgebaut. Der EDÖB kann neu von Amtes wegen Untersuchungen durchführen und verbindliche Verfügungen erlassen (Art. 49 ff. nDSG). Zudem sind Bussen von bis zu CHF 250'000 sowie ein Strafregistereintrag vorgesehen, wenn gewisse Regeln des nDSG verletzt werden, wobei sich die Strafe nicht primär gegen Unternehmen richtet, sondern gegen die verantwortliche natürliche Person (Art. 60 ff. nDSG).

Neben dieser rechtlichen «Drohkulisse» dürfte für viele Unternehmen jedoch das Risiko von Negativschlagzeilen in den (sozialen) Medien mit entsprechendem Reputationsverlust im Vordergrund stehen. Eine Auseinandersetzung mit dem nDSG ist daher unumgänglich, selbst wenn man als Unternehmen am Ende zum Schluss kommt, dass für die eigene Geschäftstätigkeit nur wenig Handlungsbedarf besteht.

Daten erkennen und zuordnen

Um die Auswirkungen des nDSG auf das eigene Unternehmen zu kennen, müssen zunächst sämtliche Daten und Datenflüsse erkannt und zugeordnet werden. Konkret stellt sich die Frage, wo und wie Personendaten im Unternehmen bearbeitet werden. Dabei geht es um Daten von natürlichen Personen, denn juristische Personen fallen nicht in den Anwendungsbereich des nDSG (Art. 2 Abs. 1 nDSG). Diese auf den ersten Blick banal erscheinende Frage ist nicht immer leicht zu beantworten. Sie umfasst die genaue Analyse sämtlicher Prozesse im Unternehmen. Beispielhaft sei auf drei Bereiche hingewiesen.

Beispiel Human Resources (HR)

Beim Prozess Human Resources ist klar, dass Daten von natürlichen Personen bearbeitet werden. Es stellen sich zum Beispiel folgende Fragen, die keineswegs abschliessend sind: Wie läuft unser Rekrutierungsprozess ab? Was passiert mit Bewerbungen, die nicht berücksichtigt werden? Wer erhält zu welchem Zeitpunkt Zugang zu Bewerbungsdossiers? Welche Daten erfassen wir, wenn wir eine Person einstellen? Erfassen wir auch besonders schützenswerte Personendaten, zum Beispiel die Religionszugehörigkeit? Welche Daten erfassen wir, wenn Mitarbeitende erkrankt sind?

Beispiel Kundendaten

Sobald ein Unternehmen nicht ausschliesslich im B2B-Bereich tätig ist, bearbeitet es Kundendaten, die datenschutzrechtlich geschützt sind. Auch hier ist eine genaue Analyse des Kundenmanagements unumgänglich, um herauszufinden, ob Handlungsbedarf besteht oder nicht. Dabei sind unter anderem folgende Fragen zu beantworten: Wie können unsere Kundinnen und Kunden uns erreichen? Welche Daten stellen sie uns zur Verfügung (Name, E-Mail-Adresse, Telefonnummer, Geburtsdatum etc.)? Erheben wir allenfalls auch besonders schützenswerte Daten, zum Beispiel Gesundheitsdaten? Was machen wir mit diesen Daten? Benutzen wir diese für Marketingzwecke? Geben wir Kundendaten an Dritte weiter? Wie gehen wir mit Rückmeldungen von Kundinnen und Kunden um? Enthalten unsere Verträge Bestimmungen zum Datenschutz? Wie können unsere Kunden ihre Auskunftsrechte geltend machen?

Beispiel Internetauftritt

Der Internetauftritt ist für viele Unternehmen besonders wichtig. Die Website ist oft der erste Eindruck, den potenzielle Kundinnen und Kunden vom Unternehmen haben. Entsprechend ist die Einhaltung der datenschutzrechtlichen Vorgaben hier besonders wichtig. Auch hier stellen sich zahlreiche Fragen wie: Welche Daten erfassen wir, wenn jemand unsere Website besucht? Für wie lange werden diese Daten gespeichert? Ist unsere Datenschutzerklärung auf dem aktuellen Stand? Brauchen wir ein Cookie-Banner? Können sich Interessierte für einen Newsletter anmelden? Welche Daten erheben wir dazu?

«Versteckte Personendaten»

Nicht immer ist sofort klar, dass es sich bei bestimmten Daten um Personendaten handelt. Im Datenschutzrecht werden Personendaten als Daten definiert, «die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen». Der Begriff ist gemäss bundesgerichtlicher Rechtsprechung weit auszulegen. Darunter fallen zum Beispiel auch Daten über den Wasserverbrauch, wie sie von Wasserzählern erfasst werden, sofern damit Rückschlüsse auf Bewohnerinnen und Bewohner der Häuser möglich sind (siehe Urteil des Bundesgerichts 1C_273/2020 vom 05. Januar 2021, E. 5.3). Dies ist in der Regel der Fall, da der Wasserverbrauch zumindest bei neueren Bauten individuell abgerechnet wird. Jedes Unternehmen sollte daher sorgfältig prüfen, ob es «versteckte Personendaten» bearbeitet.

Verzeichnis führen

Ist die Auslegeordnung gemacht, wird das Ergebnis am besten in einem Verzeichnis der Bearbeitungstätigkeiten festgehalten. Zwar sind nach Art. 12 nDSG Unternehmen mit weniger als 250 Mitarbeitenden, die Daten mit nur geringem Risiko für eine Verletzung der Persönlichkeit bearbeiten, nicht verpflichtet, ein solches Verzeichnis zu führen. Doch wie kann ein Unternehmen wissen, ob seine Datenbearbeitung nur geringe Risiken birgt, wenn es keinen Überblick über die Bearbeitung hat?

Daten bereinigen

Hat ein Unternehmen seine Datenflüsse analysiert, ist abzuklären, ob es die erfassten Daten überhaupt alle braucht. Dazu muss der Zweck der Datenbearbeitung geklärt und genau definiert werden. Grundsätzlich gilt, dass keine unnötigen Daten erhoben werden sollen. Daten, die das Unternehmen zum Beispiel zur Erbringung einer Dienstleistung braucht, danach jedoch nicht mehr benötigt, sind zu anonymisieren oder zu löschen (Art. 6 Abs. 4 nDSG). Auch diese Triage ist in der Praxis nicht immer einfach zu handhaben. Aufgrund der fast unbegrenzten Möglichkeit, Daten zu speichern, besteht die Tendenz, dass zu viele Daten aufbewahrt werden. Hier kann der «Analog-Test» hilfreich sein. Bei diesem versetzt man sich in das analoge Zeitalter zurück.

Erhält ein Handwerksbetrieb zum Beispiel das Passwort für den Zugang zu einem Haus, um Reparaturen durchzuführen, wird dieses oft elektronisch an den Handwerker übermittelt. Nach der Reparatur ist diese Nachricht grundsätzlich zu löschen, was in der Praxis wohl nicht immer konsequent gemacht wird.

Macht man den «Analog-Test», wird schnell klar, dass eine Löschung nötig ist: Würde der Handwerker den Schlüssel, welcher ihm für den Zugang zum Haus von der Nachbarin ausgehändigt wurde, nach der Reparatur behalten? Wohl kaum.

Prozesse anpassen

Erst wenn bekannt ist, welche Personendaten ein Unternehmen in welcher Form bearbeitet und welche Personendaten es tatsächlich braucht, kann die Umsetzung des nDSG angegangen werden. Allenfalls braucht es Anpassungen bei gewissen Voreinstellungen im Webshop, damit die Pflicht «Privacy-by-Default» eingehalten ist (siehe Art. 7 Abs. 3 nDSG). Diese besagt, dass ein Unternehmen verpflichtet ist, mittels geeigneter Voreinstellungen (zum Beispiel auf Websites) sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.

Möglicherweise erkennt ein Unternehmen im Rahmen der Auslegeordnung Lücken beim Vorgehen, wenn es zu einem Datenverlust kommt. Dabei ist nicht nur an Hackerangriffe zu denken, sondern es kann auch mal ein USB-Stick mit Personendaten verloren gehen. Allenfalls braucht es Anpassungen oder Ergänzungen in den Verträgen mit Kunden, Lieferanten oder mit IT-Dienstleistern. Einige Unternehmen entscheiden sich vielleicht, einen Datenschutzberater zu ernennen (Art. 10 nDSG), was die Umsetzung des nDSG erleichtern kann. Wieder andere brauchen eine Datenschutz-Folgenabschätzung (Art. 22 nDSG), da sie Daten mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person bearbeiten.

Mitarbeitende ins Boot holen

Auch wenn eine moderne IT-Infrastruktur und rechtliche Dokumente zu einem effektiven Datenschutz beitragen, leisten letztlich die Mitarbeitende den Hauptanteil bei der Umsetzung datenschutzkonformer Prozesse. Daher ist ein besonderes Augenmerk auf deren Schulung zu richten. Mitarbeitende müssen die datenschutzrechtlichen Vorgaben täglich leben und dies gelingt nur, wenn sie verstehen, worum es geht, und wenn sie hinter den vorgegebenen Prozessen stehen.

Datenschutz braucht Zeit

Unsere Erfahrung zeigt, dass Datenschutz-Projekte Zeit brauchen. Sie laufen neben dem Alltagsgeschäft und werden daher oft als störend empfunden. Wer bereits auf die Anforderungen der DSGVO umgestellt hat, wird einen relativ geringen Aufwand haben, um nDSG-konform zu sein. Hier ist gezielt nach Handlungsbedarf im Rahmen des sogenannten Swiss Finish, das heisst der Schweizer Besonderheiten, zu suchen. Jenen Unternehmen, die zunächst das nDSG abwarten wollen, empfehlen wir, die Datenschutz-Projekte an die Hand zu nehmen, auch wenn, wie eingangs erwähnt, erst Mitte 2022 mit dem Inkrafttreten des nDSG zu rechnen ist.

Hier zum Artikel:

Weitere Beiträge