Datenschutzgesetz: Wo besteht Handlungsbedarf?

Im Herbst 2023 tritt das totalrevidierte Schweizer Datenschutzgesetz in Kraft. Es bringt einige wichtige Änderungen mit sich, die auf eine Verschärfung der geltenden Bestimmungen hinauslaufen.

Im Herbst 2023 tritt das totalrevidierte Schweizer Datenschutzgesetz in Kraft. Es bringt einige wichtige Änderungen mit sich, die auf eine Verschärfung der geltenden Bestimmungen hinauslaufen. Noch bleibt Baufirmen genügend Zeit, sich auf die Neuerungen einzustellen.

Drei alltägliche Szenen in einer Baufirma: Auf der Suche nach einer neuen Fachperson trifft ein Unternehmen seine Wahl, möchte aber das Bewerbungsdossiers eines weiteren, gut qualifizierten Kandidaten behalten für den Fall, dass in der Zukunft Fachkraft anstellt werden kann. Ausserdem steht eine Jubiläumsfeier im Betrieb an und die Firma will ihren Kunden eine Einladung senden, auch Herrn Meier, der erst gestern seine Visitenkarte hinterlassen hat. Zugleich verlangt ein austretender Mitarbeiter, dass alle Fotos gelöscht werden, die an Firmenevents von ihm gemacht wurden.

Hier und in unzähligen weiteren Fällen werden Personendaten bearbeitet. Doch was gilt es zu beachten und bis zur Inkraftsetzung des totalrevidierten Datenschutzgesetzes (revDSG) am 1. September 2023 umzusetzen? Die Revision des Datenschutzgesetzes beinhaltet drei wesentliche Änderungen. Es bringt:

  • ein höheres Datenschutzniveau,
  • eine stärkere Selbstbestimmung der Betroffenen, und
  • mehr Verantwortung der Datenbearbeiter.

Mit der Revision des Datenschutzgesetzes sollen die Veränderungen der technologischen und gesellschaftlichen Verhältnisse berücksichtigt werden. Indem das revidierte Datenschutzgesetz zudem auf die europäischen Datenschutzregeln abgestimmt wurde, wird sichergestellt, dass die Schweiz auch weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkannt wird und eine unkomplizierte Datenübermittlung zwischen der Schweiz und der EU auch in Zukunft möglich bleibt.

Der Rechtsdienst des SBV wird seine Mitglieder bei der Umsetzung des (revDSG) punktuell unterstützen. Als Erstes sollen Baufirmen mit grundsätzlichen Informationen für das Thema sensibilisiert werden.

Was sind die für Bauunternehmen relevantesten Veränderungen des revDSG?

  • Geschützt werden nur noch Daten natürlicher Personen.
  • Die Grundsätze „Datenschutz durch Technik” (“Privacy by Design”) und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ (“Privacy by Default”) werden eingeführt.
  • Die Informationspflicht wird ausgeweitet. Betroffene Personen müssen vorgängig über die Bearbeitung ihrer Daten informiert werden.
  • Das Auskunftsrecht von betroffenen Personen wird ausgeweitet.
  • Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch, ausser für Unternehmen mit weniger als 250 Mitarbeitenden und geringem Risiko von Persönlichkeitsverletzungen.
  • Eine zeitnahe Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist erforderlich, wenn die Datensicherheit verletzt wurde.
  • Bussen für Privatpersonen drohen bei vorsätzlicher Missachtung von Informations-, Auskunfts- und Meldepflichten, bei Verletzung von Sorgfaltspflichten und der beruflichen Schweigepflicht sowie bei Missachtung von Verfügungen des EDÖB. Auch Unternehmen können gebüsst werden.

Checkliste für KMU: Wie gehen Baumeister richtig vor?

  1. Übersicht verschaffen: Insbesondere in Bezug auf die neue Informations- und erweiterte Auskunftspflicht sollten Unternehmer wissen, welche Personendaten bearbeitet werden, von wo oder wem diese Personendaten erhalten wurden und wo diese gespeichert werden. Dies hilft bei einem Auskunfts- oder Löschgesuch einer Person. Eine Firma sollte zudem wissen, wem und wie sie Zugriff auf diese Daten erteilt und ob und falls ja, an welche Dritte diese Daten weitergeben werden. Idealerweise wird definiert, wann diese Daten archiviert und gelöscht werden.
  2. Die eigenen Risiken kennen: Haben zu viele Personen Zugriff auf geschützte Daten? Wo liegen im Unternehmen Risiken wie das Abhandenkommen von Personendaten oder der Missbrauch von heiklen Personendaten. Wenn eine Firma nicht weiss, welche Daten an welchem Ort abgelegt sind, kann sie auch keine umfassende Auskunft erteilen, wenn sich eine betroffene Person meldet.
  3. Risiken minimieren: Welche Massnahmen sind am effektivsten, um die eruierten Schwachstellen zu tilgen? Eventuell wird ein Berechtigungs- und Rollenkonzept implementiert, das definiert, wer Zugang zu welchen Daten hat und wer diese wie bearbeiten darf. Vielleicht sind Handlungsanweisungen an die Mitarbeitenden nötig, wenn diese ihre privaten Geräte für Arbeiten nutzen oder sie werden mit Firmengeräten ausgestattet. Eventuell helfen ein einfaches Bearbeitungsverzeichnis und klare Vorgehensweisen für eine rasche Beantwortung der Anfragen betroffener Personen oder für das Meldeverfahren bei Verletzungen des Datenschutzes. Sinnvoll kann sein, allfällige Rechte, Pflichten und Risiken vertraglich mit den IT-Partnern zu klären.
  4. Sensibilisieren und Aufklären: Wie werden die Mitarbeitenden und die Geschäftsleitung informiert und geschult? Die Einführung einer Datenschutzrichtlinie mit den wichtigsten Grundsätzen und Verhaltensvorgaben kann ein gemeinsames Verständnis für den Datenschutz im Unternehmen schaffen. Wer sensibilisiert ist und die Risiken kennt, trägt neue Massnahmen und Prozesse einfacher mit.
  5. Informieren: Firmen sollten klären, wie sie betroffene Personen informieren wollen, was mit ihren Daten geschieht und warum. Eventuell verfügt ein Unternehmen bereits eine Datenschutzerklärung, die allenfalls noch angereichert wird mit folgenden Angaben: Wer ist für den Datenschutz verantwortlich? Zu welchem Zweck werden Daten erhoben/bearbeitet? An wen werden Daten bekannt gegeben? Wohin werden Daten exportiert?

Über den Autor

pic

Romina Dietsche

[email protected]

Artikel teilen