Datenschutz in der Schweiz, was gilt für Unternehmen? – SWISS21

Datenschutz in der Schweiz, was gilt für Unternehmen?

Feb 2, 2023

Der Schutz personenbezogener Daten ist ein für jedes Unternehmen eine wichtige Voraussetzung für den Geschäftsbetrieb. Ab September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG).

So ist es wichtig, das Gesetz, seinen Anwendungsbereich und die betroffenen Personen zu verstehen. Alle relevanten Informationen über das DSG finden Sie in diesem Artikel. Dieser Blog erhebt keinen Anspruch auf Vollständigkeit. Für weitere Informationen sollten das revDSG und die Datenschutzverordnung herangezogen werden. Der Inhalt ist nicht als rechtskräftige Informationsquelle zu betrachten.

datenschutz-in-der-schweiz

Geschichte des Datenschutzes in der Schweiz

Das erste Bundesgesetz zum Schutz personenbezogener Daten wurde 1992 verabschiedet. Seither hat sich unser Alltag durch die Integration von Internet und Smartphone rasant weiterentwickelt, sodass soziale Netzwerke, CloudDienste oder das Internet der Dinge immer mehr Zuspruch finden. Aus diesem Grund war eine umfassende Überarbeitung des Datenschutzgesetzes unverzichtbar, um die Bevölkerung angemessen zu schützen und in die Lage zu versetzen, die sich ständig wandelnden technologischen und gesellschaftlichen Veränderungen unserer Zeit zu meistern.

Ein weiteres grosses Anliegen ist die Angleichung des Schweizer Rechts an das EURecht, insbesondere an die Datenschutzgrundverordnung (DSGVO), um den freien Datenverkehr zwischen der EU. Damit kann garantiert werden, dass durch die verschiedenen Anforderungen an den Datenschutz für Schweizer KMU kein Wettbewerbsnachteil entsteht.

Welche Veränderungen im Datenschutzgesetz sind relevant

  • Betroffen sind nur noch die Daten natürlicher Personen und analog zur DSGVO werden die Daten juristische Personen nicht mehr in Betracht gezogen.
  • Das Gesetz kennt besonders schützenswerte Daten, die strenger behandelt werden. Neu werden genetische und biometrische Daten in die Definition der besonders schützenswerten Daten aufgenommen.
  • Ein neuer Artikel beschreibt zwei neue Grundsätze: „Privacy by Design“ und „Privacy by Default“.
    „Privacy by Design“ beschreibt den Datenschutz durch die Technik. Unternehmen müssen Datenschutzgrundlagen bereits in die Planung und die Struktur der Dienstleistungen und Produkte einbauen, wenn diese personenbezogene Datenbehandeln.
    Der Grundsatz „Privacy by Default“ (Datenschutz durch bestimmte Voreinstellungen) soll sicherstellen, dass standardmässig bei der Inbetriebnahmen von Produkten und Dienstleistungen ein maximaler Datenschutz eingestellt ist. Dies spezifisch ohne das Zutun der Endnutzer.
  • Neu können Unternehmen Datenschutzberatende einsetzen, die als unabhängige Stelle das Unternehmen und die Unternehmensleitung beraten kann. Anders als auf EU-Ebene vorgesehen, ist in der Schweiz diese Beratungsstelle fakultativ.
  • Folgenabschätzungen müssen neu auch von privaten Unternehmen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeitsverletzungen oder die Grundrechte der betroffenen Personen besteht. Das hohe Risiko ergibt sich aus dem Umfang und dem Zweck der Datenverarbeitung.
  • Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch. Dieses neue Verzeichnis muss vom Datenverarbeiter geführt werden und stets aktuell gehalten werden. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU mit weniger als 250 Mitarbeitenden vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.
  • Die Informationspflicht wird dahingehend ausgeweitet, dass neu bei jeder Beschaffung von Personendaten die betroffene Person vorgängig angemessen informiert werden muss. Bisher galt das nur für die besonders schützenswerten Daten.
  • Betroffene Personen profitieren neu von dem ausgeweiteten Auskunftsrecht über personenbezogene Daten. Unternehmen müssen alle zur Verfügung stehenden Daten zur Verfügung stellen, damit eine transparente Datenbearbeitung gewährleistet ist.
  • Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.

Die Herausforderungen des Datenschutzgesetzes

Das neue Datenschutzgesetz und die Datenschutzverordnung in der Schweiz zielen darauf ab, den Schutz sensibler Daten im ganzen Land zu harmonisieren und an die europäische Gesetzgebung anzupassen. Genauer gesagt verleiht sie den Internetnutzern :

  • Das Recht auf Vergessenwerden (oder Löschen). Nutzer können von dem für die Verarbeitung Verantwortlichen verlangen, dass personenbezogene Daten gelöscht werden. In diesem Fall muss man sich auf den Widerruf der Einwilligung oder des Widerspruchsrechts stützen.
  • Das Recht auf Zugang oder Berichtigung. Die Daten einer Person können geändert oder berichtigt werden, wenn sie dies wünscht, solange der Verantwortliche benachrichtigt wird.

Das revDSG stellt die Achtung der Rechte von Personen in den Vordergrund. So müssen die Organisationen das Recht auf Datenübertragbarkeit beachten und gewährleisten. Sie haben die Möglichkeit, Ihre Informationen von einer Organisation zu einer anderen zu übertragen (z. B. von Spotify zu Apple Music). Sie müssen ausserdem Ihre klare und eindeutige Zustimmung einholen, bevor sie Ihre Daten verwenden.

 

Mit Swiss21 gehören administrative Aufgaben der Vergangenheit an.

Erledigen Sie Angebote, Rechnungen, Spesenabrechnungen und Zahlungen mit wenigen Klicks.

Was sind personenbezogenen Daten?

Zum besseren Verständnis müssen wir zunächst die Eigenschaften von Daten definieren, dann das Verfahren, welches sich auf ihre Verarbeitung bezieht.

Definition und Merkmale

Die CNIL, oder Commission Nationale de l’Informatique et des Libertés, definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Derzeit gibt es 2 Identifizierungsmethoden:

  • Direkt: Name, Vorname usw.
  • Indirekt: Nummer, Kennung, biometrische Daten, Pseudonym usw.

Ab dem Moment, in dem es möglich ist, über diese gesammelten Informationen auf eine natürliche Person zurückzuschliessen, findet eine Verarbeitung personenbezogener Daten statt. Die Erhebung personenbezogener Daten kann erfolgen über:

  • Ein einziger Datensatz: DNA
  • Eine Kreuzung aus mehreren Daten: eine Datei, die die Adresse, das Geburtsdatum usw. enthält.

Das verwendete Verfahren ist von Organisation zu Organisation unterschiedlich: Sammlung, Aufbewahrung, Aufzeichnung, Extraktion, Abfrage, Weitergabe durch Übermittlung, Abgleich etc.

Darüber hinaus wird nicht nur die automatisierte Verarbeitung berücksichtigt. Auch der Umgang mit Daten, die auf Papier übermittelt werden, ist es. Daher muss die Datenschutzrichtlinie in beiden Fällen gleich sein.

Die Datenverarbeitung an sich

Die Verarbeitung personenbezogener Daten betrifft alle Vorgänge oder Sätze von Vorgängen mit diesen Informationen. Zum Beispiel:

  • Wenn es eine Aktualisierung einer Lieferantendatei gibt
  • Wenn die Kontaktdaten eines potenziellen Kunden über einen Fragebogen gesammelt werden
  • Wenn ein Gewerbetreibender eine Datei über seine Kunden führt

Es ist jedoch nicht notwendig, sensible Daten zu schützen, wenn es sich um eine Datei innerhalb des Unternehmens handelt. Dies ist der Fall, wenn die Kontaktdaten eines Unternehmens Standardinformationen angeben. In dieser Situation tritt die vorliegende Richtlinie nicht in Kraft.

Wer sind die von dem revDSG betroffenen Personen?

Diese Datenschutzregeln gelten für öffentliche und private Organisationen, sobald sie mit personenbezogenen Informationen umgehen. Sie gelten jedoch auch für Auftragsverarbeiter, also Drittparteien.

Wenn Sie zum Beispiel für ein grosses Unternehmen Kundenwerbung machen, unterliegen Sie dem revDSG. Ebenso müssen sich Dienstleister, die Zugang zu privaten Daten haben, an das revDSG halten.

Das revDSG ist eine gesetzliche Verpflichtung für eine Organisation, unabhängig von ihrer Branche, und ihrer Grösse. So werden sowohl ein KMU als auch ein multinationales Unternehmen strafrechtlich oder verwaltungsrechtlich bestraft, wenn sie sich nicht an diese Vorschrift halten.

Diese Verordnung betrifft auch ausländische Organisationen, deren Geschäftsziel sich in der Schweiz befindet. Wenn z. B. ein amerikanischer Online-Shop Produkte in die Schweiz liefert, muss er sich den CH-Richtlinien unterwerfen.

dsg obligatorisch

Ist das revDSG verpflichtend?

Angesichts der ohne triftigen Grund erhobenen Daten ist dieses Gesetz für Unternehmen und Organisationen verpflichtend. Denn die Verarbeitung personenbezogener Daten muss einen Zweck haben.

Es muss ein berechtigtes Interesse vorliegen, da Sie nicht nur „für den Fall der Fälle“ sammeln können. So muss es einen Bezug zu Ihrer beruflichen Tätigkeit haben, damit es keinen Verstoss darstellt. Hier sind die Grundsätze, die durch diese Regelung aufgestellt wurden:

  • Die Rechtmässigkeit der Verarbeitung
  • Das Prinzip der Rechenschaftspflicht
  • Das Prinzip „privacy by design“
  • Die Minimierung von Daten

Zusammenfassend lässt sich sagen, dass das revidierte Datenschutzgesetz eine Initiative zum Schutz personenbezogener Daten ist. Sie richtet sich an Organisationen mit Sitz in der Schweiz und an solche, die auf Schweizer Bürger abzielen. Sie verleiht Internetnutzern Rechte und Unternehmen sind verpflichtet, sie einzuhalten, da sie sonst Gefahr laufen, strafrechtlich verfolgt zu werden.

Was muss ich tun, um datenschutzkonform zu sein?

Für KMU, die sich bereits 2018 an die DSGVO angepasst haben, sind die Anpassungen nicht sehr gross. Für die anderen empfehlen sich folgende Punkte als gute Basis für ein datenschutzkonformes Unternehmen gemäss dem revDSG:

 

  1. Datenschutzerklärungen prüfen und ggf. anpassen. Dies auf der Webseite, Verträgen, Social Media etc.
  2. Richtlinien für die Datenbearbeitung innerhalb des Unternehmens anpassen.
  3. Abmachungen und Verträge mit Agenturen und externen Partnerunternehmen überarbeiten, damit die Sicherheit der Daten gewährleistet ist. Hier sind Überlegungen zur Datenverarbeitung sowie -weitergabe, Datenspeicherung und die Meldung von Datenschutzverletzungen relevant.
  4. Einen datenschutzberatende Person einstellen oder benennen und diese Person dem EDÖB melden.
  5. Ein Verzeichnis der Datenbearbeitung anlegen, gemäss der Datenschutzverordnung. Ausgenommen sind wie bereits erwähnt Unternehmen mit weniger als 250 Beschäftigten, wenn kein hohes Risiko für Verletzungen der Persönlichkeit vorliegt.
  6. Einen Prozess für die Beantwortung von Fragen betroffener Personen einrichten, wie zum Beispiel ein Antrag zur Löschung von Daten eines Kunden
  7. Einen Prozess für die Meldung von Datenschutzverletzungen an die EDÖB kreieren.
  8. Einen Prozess für die geforderten Folgenabschätzungen erstellen, sofern das Unternehmen ein hohes Risiko in der Datenverarbeitung eingeht.
  9. Prüfen, ob Daten in andere Länder übermittelt werden. Falls dies der Fall ist abgleichen, ob diese Länder auf der vom Bundesrat autorisierten Länder eingetragen ist. Ansonsten gelten strengere Auflagen an den Datenschutz! Beispiel: Speicherung der Adressdaten in einem Cloud-CRM in China. Allenfalls ist ein Wechsel auf eine Schweizer Software in Betracht zu ziehen. 
fabian kopp swiss21 1

Autor: Fabian Kopp

Fabian ist Experte für digitales Marketing und Personalmanagement. Er hat seinen Master an der Universität Bern im Bereich Business Administration gemacht.

Er ist für das operative Marketing bei Swiss21 verantwortlich und betreut die verschiedenen sozialen Netzwerke und die Community. Zudem trägt er zur Entwicklung der Marke bei.

Was ist die Finanzplanung eines Unternehmens?

Was ist die Finanzplanung eines Unternehmens?

Eine geplante Unternehmensgründung ist auch mit Risiken verbunden, vor allem was den finanziellen Teil betrifft. Um Ihnen dabei zu helfen, finden Sie hier alle wichtigen Punkte, die Sie bei der Finanzplanung für Ihr Unternehmen beachten sollten.

Was ist eine Erfolgsrechnung?

Was ist eine Erfolgsrechnung?

Wenn man über die Leistung und die finanzielle Gesundheit seines Unternehmens informiert ist, kann man es besser führen, daher gibt es eine Erfolgsrechnung

Bereits mehr als 50’000 Kleinunternehmen

nutzen die zukunftsweisende Plattform von Swiss21.org. Kommen auch Sie schneller ans Ziel. Mit klar strukturierten und integrierten Prozessen und Workflows.