Nach fast vierjährigen Beratungen hat das Parlament im September 2020 das revidierte Datenschutzgesetz verabschiedet. Es wird damit gerechnet, dass es Mitte 2022 in Kraft tritt. Für KMU ist es jedoch von Vorteil, sich frühzeitig auf seine Anwendung vorzubereiten.
Das revidierte Datenschutzgesetz enthält verschiedene Neuerungen, so etwa mehr Rechte für die betroffene Person, die Förderung der Prävention und die Stärkung der Datenschutzaufsicht. Zudem wurden die Strafbestimmungen erweitert. Das neue Datenschutzgesetz ersetzt das Vorgängergesetz von 1992, das aufgrund der technologischen Entwicklung veraltet ist. Das Schweizer Datenschutzgesetz soll auch europäischen Anforderungen genügen. Seit dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, die seit dem 20. Juli 2018 im gesamten Europäischen Wirtschaftsraum gilt, also auch in Liechtenstein, Island und Norwegen. Was bedeuten die neuen Bestimmungen des revidierten Datenschutzgesetzes für die KMU? Der Verein Bridge2digital bietet Hilfe zur Selbsthilfe bei der Umsetzung der neuen Regelungen. Wolfgang Pfister, Leiter der Fachgruppe "Security & Compliance" des Vereins, gibt im Interview Informationen dazu.
Worauf müssen KMU beim neuen Datenschutzgesetz achten?
Wolfgang Pfister: Das revidierte Datenschutzgesetz gilt ausschliesslich für Personendaten und nicht für Daten von Unternehmen. Sobald ein KMU Angestellte und Kunden hat, verfügt es auch über Personendaten und muss damit Schutzpflichten nachkommen. Das neue Gesetz sieht erweiterte Informationspflichten vor, etwa die Pflicht zur Erstellung eines Daten-Bearbeitungsverzeichnisses und mehr Rechte für die Betroffenen. Zu den besonders schützenswerten Personendaten zählen neu auch genetische sowie biometrische Daten wie der Fingerabdruck oder der Retina-Scan. Der Bundesrat hat die Verordnung zum Gesetz in die Vernehmlassung geben. Es wird damit gerechnet, dass es Mitte 2022 in Kraft tritt. Für KMU ist es von Vorteil, sich frühzeitig auf die Anwendung der neuen Regelungen vorzubereiten.
Auf welche Probleme können KMU bei der Anwendung der neuen Vorschriften stossen?
Wolfgang Pfister: KMU, die personenbezogene Daten erheben oder verarbeiten, müssen in einer Datenschutzerklärung darüber informieren, welche Informationen von Kunden bearbeitet werden, wenn diese ihre Webseite besuchen, sie dessen Online-Dienste nutzen oder wenn das Unternehmen Dienstleistungen für den Kunden erbringt. Der Verein Bridge2digital unterstützt KMU etwa dabei, eine Datenschutzerklärung mit Hilfe eines Musterdokuments zu erstellen. Das Musterdokument kann dann für verschiedene Branchen angepasst werden, etwa für eine Arztpraxis, den (Online-)Handel oder einen Handwerksbetrieb.
Gemäss Gesetz dürfen nur Daten erhoben werden, die für die konkrete Bearbeitung nötig sind. Ein KMU kann Fragen zu Vereinbarungen mit Lieferanten und Anbietern von Cloud-Lösungen haben. Daten dürfen ins Ausland bekanntgegeben werden, wenn der Drittstaat über einen angemessenen Datenschutz verfügt. Der Bundesrat erlässt eine entsprechende Liste. Steht der betreffende Exportstaat nicht auf dieser Liste, dürfen personenbezogene Informationen wie nach bisherigem Recht dennoch dorthin geleitet werden, sofern der Datenschutz auf andere Weise gewährleistet wird.
Was bezweckt der Verein Bridge2digital?
Wolfgang Pfister: Der Verein will eine Plattform für unternehmens- und branchenübergreifenden Austausch von Erfahrungen bei der Umsetzung von Digitalisierungsvorhaben. Zudem wollen wir digitale Pilotprojekte, so genannte "Leuchtturm"-Projekte, und "Good Practices" auf Stufe Unternehmen, Branche oder Fachbereichen initiieren und begleiten. Der Verein wurde im November 2017 gegründet und bietet zu verschiedenen Themen Veranstaltungen an, so zu "Security & Compliance" oder "Smart Customer Interaction". Zu den bisher 15 Mitgliedern zählen interessierte Anwender, die sich in der Digitalisierung weiterentwickeln wollen, aber nicht die nötigen Ressourcen haben, um das allein zu machen sowie Schweizer Anbieter von digitalen Lösungen, von Start-ups bis zu etablierten Unternehmen. Im Rahmen der Fachgruppe "Security & Compliance" beschäftigt sich der nicht gewinnorientierte Verein mit der Umsetzung des neuen Datenschutzgesetzes, mit speziellem Fokus auf Schweizer KMU.
Welche Fragen können sich für KMU bei automatisierten Einzelfallentscheidungen stellen?
Wolfgang Pfister: Ein Unternehmen muss die betroffene Person über eine Entscheidung informieren, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Das kann etwa bei einem Versicherungsabschluss der Fall sein, bei dem ein (potentieller) Kunde abgelehnt wird. Die betroffene Person muss dabei die Möglichkeit haben, ihren Standpunkt darzulegen, und wenn sie mit automatisierten Einzelfallentscheidungen nicht einverstanden ist, kann sie verlangen, dass die Entscheidung von einer natürlichen Person geprüft wird.
Worauf müssen KMU beim Profiling achten?
Wolfgang Pfister: Beim Profiling werden mehrere Daten verknüpft. Das ermöglicht es, Verhaltensmuster und Persönlichkeitsprofile zu erstellen. Ein Beispiel sind Onlineshops, die das Surf- und Kaufverhalten von Nutzerinnen und Nutzern analysieren. Das neue Gesetz unterscheidet zwischen normalem Profiling und Profiling "mit hohem Risiko" für die Rechte einer natürlichen Person. Für Letzteres ist eine ausdrückliche Einwilligung der Betroffenen nötig. Der Verein Bridge2digital unterstützt KMU auch dabei, Muster von Datenschutz-Folgeabschätzungen zu erarbeiten.
Was muss ein KMU bei Datenschutzverletzungen tun?
Wolfgang Pfister: Gemäss dem neuen Gesetz muss ein Unternehmen dem Datenschutzbeauftragten melden, wenn es Daten verliert. Bei einer Datenschutzverletzung hat das KMU, beziehungsweise der Verantwortliche, dem Datenschutzbeauftragten möglichst rasch Meldung zu erstatten, wenn grosse Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person bestehen. Auch die Betroffenen müssen informiert werden, sofern das zu ihrem Schutz erforderlich ist. Es ist wichtig, dass Unternehmen dokumentieren, was sie machen. Wenn etwas schiefgeht, ist es von Vorteil, wenn ein KMU eine klare Entscheidungskette präsentieren kann, wie es dem Gesetz nachkommen wollte.
