Da­ten­schutz­ge­setz: Be­rei­ten Sie sich jetzt vor!

Die Ver­brau­che­rin­nen und Ver­brau­cher stel­len im Um­gang mit ihren per­sön­li­chen Daten immer hö­he­re An­sprü­che an un­se­re Un­ter­neh­men. Diese Daten sind das Gold der di­gi­ta­len Wirt­schaft und müs­sen daher be­son­ders ge­schützt wer­den.

Die im ver­gan­ge­nen Herbst ver­ab­schie­de­te Re­vi­si­on des Da­ten­schutz­ge­set­zes ziel­te dar­auf ab, das Ge­setz von 1992 an die jüngs­ten tech­no­lo­gi­schen Ent­wick­lun­gen an­zu­pas­sen und gleich­zei­tig das Schutz­ni­veau für den Ein­zel­nen zu er­hö­hen. Im Grund­satz geht es darum, dass sich jede Ver­ar­bei­tung von Daten auf eine iden­ti­fi­zier­te oder di­rekt bzw. in­di­rekt iden­ti­fi­zier­ba­re Per­son be­zieht, ver­hält­nis­mäs­sig ist und nicht miss­braucht wer­den kann.

Durch die Stär­kung und Ein­füh­rung neuer Rech­te für die Bür­ge­rin­nen und Bür­ger (Rech­te im Bezug auf Zu­gang, Lö­schung, Über­trag­bar­keit per­sön­li­cher Daten usw.), schafft die­ses Ge­setz auch neue Ver­pflich­tun­gen für Un­ter­neh­men. Diese haben nicht nur die Pflicht auf An­fra­ge von Pri­vat­per­so­nen hin zu in­for­mie­ren und zu re­agie­ren, son­dern müs­sen, wenn per­so­nen­be­zo­ge­ne Daten er­ho­ben wer­den, Da­ten­schutz­ver­let­zun­gen auch mel­den. In man­chen Fäl­len geht das Ge­setz sogar noch wei­ter und ver­langt zum Bei­spiel eine Fol­genana­ly­se oder die Ein­rich­tung eines Re­gis­ters für per­so­nen­be­zo­ge­ne Da­ten­ver­ar­bei­tungs­tä­tig­kei­ten. Der damit ver­bun­de­ne Auf­wand ist nicht zu un­ter­schät­zen.

Um sich best­mög­lich auf die­ses neue re­gu­la­to­ri­sche Re­gime vor­zu­be­rei­ten, müs­sen KMU einen ganz­heit­li­chen An­satz ver­fol­gen:

Ri­si­ken ein­schät­zen

Un­ter­neh­men, die gros­se Men­gen an Daten ver­ar­bei­ten, sind einem hö­he­ren Ri­si­ko aus­ge­setzt, gegen das neue Ge­setz zu ver­stos­sen. Es ist für sie daher wich­tig, alle per­so­nen­be­zo­ge­nen Daten (Kun­den, Lie­fe­ran­ten, Mit­ar­bei­ten­de usw.) oder so­ge­nannt «sen­si­ble Daten» (Re­li­gi­on, Ge­sund­heit, Ge­ne­tik usw.) in IT-Sys­te­men, Da­ten­ban­ken und an­de­ren ge­mein­sam ge­nutz­ten Sys­te­men zu er­fas­sen und zu kar­to­gra­fie­ren.

Or­ga­ni­sie­ren und ab­si­chern

Die Ver­bes­se­rung der IT-Si­cher­heit und die Ent­wick­lung in­ter­ner Ver­fah­ren kön­nen hel­fen, sich vor Da­ten­ver­let­zun­gen, -ver­lus­ten, -lecks oder An­fra­gen von Ein­zel­per­so­nen zu schüt­zen oder rich­tig dar­auf zu re­agie­ren. Um die Data Go­ver­nan­ce zu ver­bes­sern, kön­nen sich Un­ter­neh­men auch über den ge­sam­ten Le­bens­zy­klus der Daten am Grund­be­kennt­nis der Schwei­zer Wirt­schaft zu einem ver­ant­wor­tungs­vol­len Um­gang mit Daten ori­en­tie­ren.

Be­wusst­sein schär­fen

Alle Ebe­nen eines Un­ter­neh­mens, vom Aus­zu­bil­den­den bis zum Ge­schäfts­füh­rer, soll­ten beim Da­ten­schutz ein­be­zo­gen und sen­si­bi­li­siert wer­den. Ein Emp­fangs­mit­ar­bei­ter ver­ar­bei­tet be­reits Daten, wenn er ein Be­su­cher­re­gis­ter führt. Al­ler­dings sind es die Ge­schäfts­füh­rer und Ver­wal­tungs­rä­te, denen bei Nicht­ein­hal­tung des Ge­set­zes straf­recht­li­che Sank­tio­nen dro­hen.

An­ti­zi­pie­ren

Ob­wohl das Ge­setz vor­aus­sicht­lich erst in der zwei­ten Hälf­te des nächs­ten Jah­res in Kraft tritt, müs­sen in den kom­men­den Mo­na­ten Ver­trä­ge mit Klau­seln er­gänzt wer­den, die dem neuen Ge­setz ent­spre­chen. Dies ist müh­se­lig und kann zu Dis­kus­sio­nen mit Kun­den füh­ren. Die Un­ter­neh­men sind aber gut damit be­dient, sich recht­zei­tig mit den Neue­run­gen des re­vi­dier­ten Da­ten­schutz­ge­set­zes aus­ein­an­der­zu­set­zen. Je frü­her, desto bes­ser.

Die­ser Text wurde auf Fran­zö­sisch und in einer ge­kürz­ten Fas­sung am 31. März 2021 in «L’AGEFI» pu­bli­ziert.