In seiner Herbstsession 2020 hat das Parlament das neue Bundesgesetz über den Datenschutz nDSG verabschiedet. Das Gesetz verbessert die Bearbeitung persönlicher Daten und gewährt den Schweizer Bürgerinnen und Bürgern neue Rechte. Die neuen Regelungen werden samt einer neuen Datenschutzverordnung am 1. September 2023 in Kraft treten. Unternehmen sollten sich in der verbleibenden Zeit bis zum Inkrafttreten auf die neuen Gesetzesbestimmungen vorbereiten.

Was Unternehmen im Hinblick auf das neuen Datenschutzgesetz tun müssen

«economiesuisse» gibt im Artikel «Datenschutz: Eine Übersicht zum neuen Gesetz» einen Einblick, welche Massnahmen Unternehmen im Hinblick auf das neue Datenschutzgesetz ergreifen sollten:

• Umfassende Bestandesaufnahme: Unternehmen müssen gemäss dem neuen Datenschutzgesetz Informationspflichten erfüllen: Sie müssen bei der Beschaffung von Personendaten über die Identität des Verantwortlichen, den Bearbeitungszweck und allfällige Datenempfänger informieren. Zudem müssen sie in der Lage sein, einer betroffenen Person Auskünfte zur Bearbeitung ihrer Personendaten zu erteilen. Das alles setzt voraus, dass Unternehmen wissen, welche Personendaten zu welchen Zwecken bearbeitet werden, ob die Daten in andere Länder und an weitere Personen transferiert werden. Demzufolge sollten Unternehmen zunächst eine Bestandsaufnahme aller Datenbearbeitungen durchzuführen. Dabei kann das gesetzlich neu vorgeschriebene Verzeichnis als Vorlage dienen. Eine solche Bestandsaufnahme ist eine kollektive Anstrengung, die alle Mitarbeitenden, die in die Bearbeitung von Personendaten involviert sind, einbeziehen muss.
• Abschätzung der Risiken: Je grösser das Volumen der von einem Unternehmen bearbeiteten Personendaten und je sensibler die Personendaten sind, desto höher sind die Anforderungen an die Datenschutz-Compliance und desto grösser ist das Risiko von potenziellen Sanktionen und Reputationsschäden.
• Bewusstsein wecken: Alle Mitarbeitenden, vom Lehrling bis zum Geschäftsführer, müssen für den Datenschutz gemäss dem neuen Datenschutzgesetz sensibilisiert werden.
• Transparenz und Information: Betroffene Personen müssen über die Verarbeitung ihrer Daten zwingend informiert werden. Deshalb ist das Erstellen oder das Aktualisieren von Datenschutzerklärungen im Hinblick auf das Inkrafttreten des neuen Datenschutzgesetzes unerlässlich.
• IT-Sicherheit: Unternehmen müssen sicherstellen, dass die Sicherheit ihrer IT-Systeme und Softwareanwendungen den Vorgaben des neuen Gesetzes entspricht. Dazu gehören insbesondere technische und organisatorische Massnahmen zur Verhinderung von Cyberattacken, Datendiebstahl und anderweitigem Datenverlust.
• Interne Organisation und Abläufe: Um auf Betroffenenanfragen wie Auskunft über die gespeicherten Daten oder Löschbegehren von Daten oder auf Vorfälle, bei denen Personendaten verloren gehen, gestohlen oder missbraucht werden, gesetzeskonform reagieren zu können, müssen klare interne Prozesse festgelegt werden. Diese Prozesse müssen aufgrund der Art des Vorfalls genau definieren, welche Mitarbeitenden welche Massnahmen innert welcher Frist treffen müssen.
• Erstellung und Führung eines Verzeichnisses der Bearbeitungstätigkeiten: Das neue Datenschutzgesetz sieht vor, dass sowohl der Verantwortliche als auch der Auftragsbearbeiter je ein Verzeichnis über seine Bearbeitungstätigkeiten führen muss. Diese Pflicht gilt grundsätzlich für alle Unternehmen. Der Bundesrat kann jedoch Ausnahmen vorsehen für Unternehmen mit weniger als 250 Mitarbeitenden. Diese Ausnahmen werden in der Verordnung festgehalten, deren Entwurf noch ausstehend ist. Das Erstellen solcher Verzeichnisse setzt voraus, dass sämtliche Bearbeitungen von Personendaten innerhalb eines Unternehmens identifiziert und systematisch zusammengetragen werden.
• Überprüfung von Verträgen: Bis zum Inkrafttreten des neuen Datenschutzgesetzes am 1. September 2023 sollten Unternehmen ihre Verträge mit Kunden, Lieferanten und Dienstleistern sowie Arbeitnehmenden mit Blick auf die Neuerungen überprüfen und allenfalls anpassen.

Nützliche Informationen über das neue Datenschutzgesetz

Den vollständigen Wortlaut des neuen Datenschutzgesetzes gibt es hier und den Wortlaut der neuen Datenschutzverordnung hier. Einen raschen und kompetenten Einblick in die Regelungen des neuen Datenschutzgesetzes bietet die Publikation «Das neue Datenschutzgesetz aus Sicht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB».