Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (nDSG) – ohne Übergangsfrist. Unternehmen, die bisher gezögert haben, stehen nun unter Handlungsdruck. Das neue Recht bringt nicht nur neue Pflichten, sondern auch persönliche Risiken für Geschäftsleitung und Führungskräfte.
Im Rahmen der Lunch & Law Veranstaltung vom 16. März 2023 in Winterthur zeigte das Datenschutzteam von Probst Partner AG auf, warum jetzt Eile geboten ist und wie Unternehmen das neue Datenschutzrecht pragmatisch und umsetzbar angehen können
Das neue Datenschutzgesetz hat „Zähne“
Mit der Revision des DSG wurde das Sanktionssystem deutlich verschärft. Neu drohen:
-
Bussen bis CHF 250’000
-
persönliche strafrechtliche Verantwortlichkeit von natürlichen Personen
-
Haftung bereits bei Eventualvorsatz
-
keine Deckung durch Versicherungen in vielen Fällen
-
kostenloser Zugang zu Zivilklagen wegen Persönlichkeitsverletzungen
Gleichzeitig wurden die Kompetenzen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) massiv ausgebaut. Datenschutz ist damit nicht mehr nur Compliance, sondern ein echtes Haftungsthema für Führungskräfte
Was Unternehmen jetzt mindestens tun müssen
1. Inventar der Datenbearbeitungen erstellen
Der erste Schritt ist die systematische Erfassung aller Bearbeitungen von Personendaten im Unternehmen.
Zwar sind gewisse KMU vom Inventar befreit (unter 250 Mitarbeitende, kein hohes Risiko), dennoch wird es ausdrücklich empfohlen, da es als zentrales Arbeitsinstrument für weitere Massnahmen dient
2. Datenschutzerklärungen korrekt gestalten
Datenschutzerklärungen gewinnen stark an Bedeutung.
Sie müssen insbesondere enthalten:
-
Identität des Verantwortlichen
-
Bearbeitungszwecke
-
Datenkategorien
-
Empfänger oder Empfängerkategorien
-
Auslandbekanntgaben inkl. Garantien
-
automatisierte Einzelentscheidungen (falls vorhanden)
Die Erklärung muss präzis, verständlich, transparent und leicht zugänglich sein – in der Regel auf der Website
3. Verträge mit Dienstleistern überprüfen
Alle externen Datenbearbeitungen benötigen einen Bearbeitungsvertrag.
Neu vorgeschrieben sind insbesondere:
-
Genehmigungspflicht für Subunternehmer
-
klare Regelung zur Meldung von Datenschutzverletzungen
-
Dokumentationspflicht aller externen Bearbeitungen
Die Praxis scheitert häufig nicht an rechtlichen Anforderungen, sondern an der fehlenden Übersicht über Dienstleister
4. Auslandbekanntgaben sauber prüfen
Besonders kritisch sind Datenübermittlungen ins Ausland, etwa an Cloud-Anbieter oder verbundene Unternehmen im Ausland.
Unterschieden wird zwischen:
-
sicheren Drittstaaten (EU/EWR)
-
unsicheren Drittstaaten (z.B. USA, China)
Bei unsicheren Staaten sind zusätzliche Garantien notwendig:
-
Standardvertragsklauseln
-
Transfer Impact Assessments
-
technischer Schutz
Empfehlung: Anbieter mit Sitz in CH/EU/EWR bevorzugen
5. Datenschutz organisatorisch verankern
Datenschutz ist kein einmaliges Projekt, sondern ein laufender Prozess:
-
Schulung von Mitarbeitenden
-
klare Zuständigkeiten
-
strukturierter Umgang mit Auskunftsbegehren
-
Meldung von Datensicherheitsverletzungen
-
Löschkonzepte und Archivierung
Datenschutz muss in Geschäftsprozesse integriert werden – von der Systemwahl bis zur Datenlöschung
Fazit: Es ist höchste Zeit – und es ist machbar
Das neue Datenschutzrecht ist kein Selbstzweck. Wer strukturiert vorgeht, vermeidet Bussgelder, Haftungsrisiken und Imageschäden. Wer untätig bleibt, riskiert viel. „Beginnen Sie mit der Umsetzung. Es ist machbar.“
Die Präsentation zum Anlass ist hier einsehbar.
