Ist dein KMU DSG-fit?

Seit der Einfüh­rung der EU-DSGVO im euro­päi­schen Raum im Mai 2018 dürfte das Daten­schutz­recht bei jedem KMU-Betrieb mal ein Thema gewesen sein. Die logi­sche Konse­quenz war die Anglei­chung des Schwei­zer Rechts an die EU-Lösung. Dies wird mit der Einfüh­rung des neuen Daten­schutz­ge­set­zes (DSG) und der Daten­schutz­ver­ord­nung (DSV) nun per 1. Septem­ber 2023 umge­setzt. Was bedeu­tet dies aus KMU-Sicht und wie wird es DSG-fit?

 

Neue­run­gen
Zweck des DSG ist der Schutz der Persön­lich­keit und Grund­rechte von natür­li­chen Perso­nen, über die Perso­nen­da­ten bear­bei­tet werden. Die Daten­be­ar­bei­tung ist ein sehr weit gefass­ter Begriff. Jede Beschaf­fung, Aufbe­wah­rung, Archi­vie­rung und Vernich­tung von Angaben, die sich auf eine bestimmte Person bezie­hen, fallen darun­ter. Jedes KMU sollte sich daher mit dem neuen Daten­schutz­recht befas­sen. Folgende Aspekte verän­dern sich mit der Einfüh­rung des neuen DSG:

  1. Verbes­serte Kontrolle über Perso­nen­da­ten und Trans­pa­renz bei der Daten­ver­ar­bei­tung
  2. Stär­kere Verant­wor­tung der daten­ver­ar­bei­ten­den Unter­neh­men
  3. Erwei­terte Betrof­fe­nen­rechte (Auskunft, Löschung etc.)
  4. Konkrete Sank­tio­nen durch das EDÖB (Bussen bis CHF 250’000.00)

Konkrete Mass­nah­men
Als KMU stellt sich die Frage, welche der im DSG veran­ker­ten Mass­nah­men zwin­gend umge­setzt werden müssen. Die soge­nann­ten «12 Gebote» der Bundes­ver­wal­tung zur Umset­zung des revi­dier­ten DSG bilden dabei eine erste Orien­tie­rungs­hilfe. Nicht alle diese Mass­nah­men sind aber zwin­gend und ab dem 1. Septem­ber 2023 umzu­set­zen. Es gilt als KMU, die wich­tigs­ten Neue­run­gen zeitnah und prag­ma­tisch umzu­set­zen. Dazu zählen insbe­son­dere:

  1. Erstel­len Daten­schutz­er­klä­rung (z.B. auf Webseite publi­ziert)
  2. Anlegen eines Verzeich­nis­ses über die Daten­be­ar­bei­tung (auch wenn die KMU-Ausnahme von 250 Beschäf­tig­ten greifen würde, dient das Bear­bei­tungs­ver­zeich­nis der Über­sicht über die Daten­be­ar­bei­tun­gen im Unter­neh­men; Mindest­in­halt gemäss Art. 12 DSG).
  3. Daten­si­cher­heit durch geeig­nete tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men («TOM») sicher­stel­len.
  4. Ernen­nung eines Daten­schutz­be­auf­trag­ten im Betrieb und Veröf­fent­li­chung der Kontakt­da­ten (Vorsicht: Risiko EDÖB-Sanktionen, die sich gegen den jewei­li­gen Mitar­bei­ter und nicht die Unter­neh­mung richten).
  5. Melde­ver­fah­ren für Verlet­zun­gen des Daten­schut­zes einfüh­ren (Insti­tu­tio­na­li­sie­rung wohl erst ab einer bestimm­ten Unter­neh­mens­grösse erfor­der­lich)
  6. Verträge über­prü­fen / ergän­zen (insb. Verein­ba­rung zur Auftrags­da­ten­ver­ar­bei­tung in der Praxis von Bedeu­tung, darin nur Mass­nah­men bestä­ti­gen, die auch einge­hal­ten werden können)

Im Zwei­fels­fall lohnt sich die Abspra­che mit einem versier­ten Juris­ten, um im Hinblick auf die Einfüh­rung des DSG nicht unnö­ti­gen Aufwand zu betrei­ben.

Mit Einfüh­rung des neuen DSG wird die EU-DSGVO übri­gens nicht ausser Kraft gesetzt. Sie besteht nach wie vor paral­lel zum DSG. Die darin enthal­te­nen, teils noch etwas weiter­ge­hen­den Rege­lun­gen sollten von KMU vor allem bei regel­mäs­si­gem Bezug zu Perso­nen im EU-Raum weiter­hin berück­sich­tigt werden.

 

Infor­ma­tio­nen zum Autor:
Samuel Horner ist selb­stän­di­ger Rechts­an­walt bei Advo­ka­tur 107 in St. Gallen. Als Anwalt und Notar berät er KMU in sämt­li­chen Rechts­ge­bie­ten, vorwie­gend in den Berei­chen Vertrags­recht, Arbeits­recht sowie Miet- und Baurecht.