Neues Datenschutzgesetz ab 1. September 2023
Ab 1. September 2023 tritt das neue Datenschutzgesetz in Kraft. Ab diesem Zeitpunkt nehmen auch die Anforderungen von kleinen und mittleren Betrieben in Bezug auf den Datenschutz zu. Grundsätzlich gilt wie bisher das Prinzip der risikobasierten Anwendung. Je sensibler beispielsweise Daten sind, desto mehr Vorkehrungen müssen getroffen werden. Der Datenschutz wird zunehmend zum strategischen Thema, auf welche die Geschäftsleitung ein Auge haben sollte.
Unter den Datenschutz fallen Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (Personendaten). Künftig entfällt der Schutz für juristische Personen. Das Datenschutzgesetz beschränkt sich neu folglich auf den Schutz der Daten von natürlichen Personen.
Datenschutz in der Praxis
In der Praxis kann es empfehlenswert sein, interne Datenschutzrichtlinien festzulegen, die Verantwortlichkeiten zu regeln und die Mitarbeiter zu sensibilisieren. Ausserdem sind beispielsweise gegenüber Auftragsbearbeitern vertragliche Absicherungen vorzunehmen und der Datenschutz zu dokumentieren. Es ist hilfreich, wenn im Falle eines Ereignisses aufgezeigt werden kann, dass die erforderlichen Massnahmen getroffen wurden.
Mehr Transparenz
Das neue Datenschutzgesetz sieht eine erweiterte und aktivere Informationspflicht vor. Dies soll zu mehr Transparenz führen und das Selbstbestimmungsrecht der natürlichen Personen über ihre Daten stärken. Betroffene Personen sollen wissen, welche mit ihr verbundene Daten zu welchem Zweck erhoben und bearbeitet werden. Grundsätzlich muss diese Information vor der Beschaffung der Daten erfolgen. Werden die Daten nicht direkt bei der betroffenen Person beschafft, so hat die Information innert eines Monats nach Erhalt zu erfolgen.
Was zu tun ist
Ganz allgemein entstehen den Betrieben durch die Revision des Datenschutzgesetzes neue Pflichten, insbesondere bei der Erhebung von Personendaten, deren Verlust und Missbrauch. Es ist empfehlenswert, bis zum Inkrafttreten unter anderem Folgendes im Betrieb zu prüfen:
- Welche Personendaten werden im Betrieb und zu welchem Zweck bearbeitet?
- Besteht eine Datenschutzerklärung und entspricht diese den neuen Bestimmungen?
- Wie werden betroffene Personen künftig gesetzeskonform über den Umgang mit ihren Daten informiert?
- Welches sind die individuellen Risiken im Betrieb und wie können diese minimiert werden?
- Wer hat welche Verantwortlichkeiten?
- Wurden die Mitarbeitenden im Zusammenhang mit der Bearbeitung von Personendaten sensibilisiert und allenfalls in deren Umgang geschult?
Sie finden unter dem nachfolgenden Link ein ausführliches Merkblatt des SGV sowie diverse Vorlagen im Zusammenhang mit dem neuen Datenschutzgesetz (z.B. Vorlage für eine Datenschutzerklärung, Vorlage für Datenschutzrichtlinien). In gewissen Fällen kann der Beizug eines Datenschutzexperten hilfreich sein.