Was KMU über das neue Datenschutzrecht wissen müssen Die neuen Vorschriften stehen vor der Tür. Für manches Unternehmen entsteht dadurch grösserer Handlungsbedarf.
Die neuen Vorschriften stehen vor der Tür. Für manches Unternehmen entsteht dadurch grösserer Handlungsbedarf.
Das Parlament hat das neue Datenschutzgesetz in der Herbstsession 2020 verabschiedet. Besonders Firmen, die noch nicht mit der europäischen Datenschutzgrundverordnung (DSGVO) in Berührung gekommen sind, müssen mit dem neuen Recht aktiv werden.
Verzeichnis der Bearbeitungstätigkeiten
Der Gesetzgeber hat viele der bestehenden datenschutzrechtlichen Grundsätze in das revidierte Datenschutzgesetz übertragen. In einigen Punkten wurde das Datenschutzniveau bewusst erhöht. Grundsätzlich sind, von wenigen Ausnahmen abgesehen, alle Unternehmen gesetzlich verpflichtet, ein Verzeichnis über die vorhandenen Bearbeitungstätigkeiten zu führen.
Die Erstellung eines solchen Verzeichnisses ist auch deshalb sinnvoll, da mit Hilfe eines solchen «Data Mapping» die Einhaltung der Bearbeitungsgrundsätze leichter überprüft werden kann.
Datenschutzinformationspflichten
Die Informationspflichten werden im revidierten Gesetz deutlich verstärkt. Mussten die Unternehmen die betroffene Person bisher über die gesammelten Daten nur informieren, wenn sie besonders schützenswerte Personendaten oder Persönlichkeitsprofile beschafften, so besteht neu bei jeder Beschaffung von Personendaten eine Informationspflicht. Die Einhaltung dieser Pflichten ist besonders wichtig, da eine vorsätzliche Verletzung der Vorschriften mit einer Busse von bis zu 250’000 Franken bestraft werden kann.
Die Informationspflicht gilt nur dann, wenn ein Unternehmen Personendaten «beschafft». Damit ist eine bewusste Erhebung gemeint. Soweit ein Unternehmen ungewollt oder zufällig an Personendaten gelangt, besteht die Informationspflicht nicht. Wichtig für KMU ist, dass für die Information bereits in einer Datenbank erfasster Personen ausreichend ist, dass diese im Falle der nächsten Beschaffung informiert werden.
Die Information der betroffenen Personen erfolgt in der Regel über Privacy Policies auf Webseiten oder in den allgemeinen Geschäftsbedingungen. Mit dem neuen Recht sind somit geeignete Datenschutzerklärungen Pflicht.
Konzept zum Umgang mit Datenschutzverletzungen
Unter der DSGVO werden häufig Sanktionen aufgrund von Datenschutzverletzungen ausgesprochen. Erfahrungsgemäss ist nicht etwa das Abgreifen von Daten durch unbefugte Drittpersonen (bspw. durch «hacking») die häufigste Ursache von Datenschutzverletzungen, sondern vielmehr das irrtümliche Versenden von E-Mails an den falschen Empfänger.
Unternehmen sind gemäss dem neuen Recht verpflichtet, geeignete Massnahmen zu ergreifen, um Datenschutzverletzungen zu minimieren. Hierzu gehört etwa die Erstellung eines Notfallplans sowie die Zuweisung von Verantwortlichkeiten.
Eine Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) besteht dann, wenn mit der Datenschutzverletzung ein hohes Risiko für Persönlichkeitsrechte der betroffenen Personen verbunden ist.
Dr. Marcel Boller ist Rechtsanwalt bei der Wenger Vieli AG. Er ist vorwiegend in den Bereichen Pharma- und Gesundheitsrecht, Humanforschungsrecht, Immaterialgüterrecht sowie Datenschutz- und Wettbewerbsrecht tätig.