Strengerer Datenschutz in der Schweiz: Die Uhr tickt

16.03.2023

Am 1. September 2023 tritt in der Schweiz das revidierte Datenschutzgesetz (revDSG) in Kraft. Damit rollt auf zahlreiche Unternehmen eine große Aufgabe zu. Mit diesem Beitrag möchten wir betroffene Unternehmen dazu motivieren, die notwendigen Anpassungen im Datenschutz rechtzeitig anzugehen.

Es besser als in Deutschland machen: nicht bis kurz vor knapp warten

Es bleiben nur noch wenige Monate bis das revDSG in Kraft tritt. Die mehrfach verlängerte Übergangsfrist nähert sich dem Ende, d.h. spätestens ab September müssen die neuen datenschutzrechtlichen Vorgaben umgesetzt sein.

Aus Erfahrung wissen wir, dass sich Unternehmen mit dem Angehen einer solchen Mammutaufgabe oft schwer tun. Das Inkrafttreten der DSGVO im Mai 2018 hat gezeigt, wie vielen Unternehmen das Ausmaß nicht klar war. Besonders groß war der Rückstand im KMU-Umfeld: Viele Unternehmen begannen erst wenige Wochen vor dem Inkrafttreten mit der bloßen Recherche.

Wir bekamen dies anhand unserer Website deutlich zu spüren. Zwei Wochen vor Inkrafttreten der DSGVO war der Ansturm so groß, dass der Server permanent an der Belastungsgrenze lief. Unsere IT-Spezialisten hatten alle Hände voll zu tun, um den Betrieb aufrechtzuerhalten.

Google Trends: Datenschutz und DSGVO

Ein Blick auf Daten von Google Trends bestätigt unsere Erfahrung. Die Grafik zeigt das Nachfrageverhalten zu den Suchbegriffen „Datenschutz“ und „DSGVO“ im Jahr 2018. Der Blick auf die Zeitachse verrät, dass das Interesse riesig war, doch mit der Auseinandersetzung zu spät begonnen wurde.

12 Punkte Checkliste zur Vorbereitung auf das revDSG

Das neue Schweizer Datenschutzgesetz entspricht nicht exakt der DSGVO, ist ihr jedoch in weiten Teilen ähnlich. Damit steht fest, dass Unternehmen ein breites Spektrum datenschutzrechtlicher Themen berücksichtigen müssen, um auf das Inkrafttreten des Gesetzes vorbereitet zu sein.

Nachfolgend halten wir eine Checkliste mit den 12 wichtigsten Maßnahmen zur Vorbereitung auf das revDSG bereit.

  1. Datenschutzerklärungen: Bestehende Datenschutzerklärungen (z.B. in Verbindung mit Websites, Werbung oder Verträgen) sollten auf ihre Vollständigkeit hin überprüft und ggf. angepasst werden.
  2. Richtlinien für die Datenbearbeitung: Erstellung oder Anpassung von Richtlinien, die innerhalb des Unternehmens gelten.
  3. Datenbearbeitungsverzeichnis: Es ist zu prüfen, ob die Notwendigkeit zur Erstellung eines Verzeichnisses der Datenbearbeitungen besteht.
  4. Prozesse rund um Anfragen und Aufforderungen betroffener Personen: Es sind Prozesse einzuführen, mit denen das Unternehmen seinen Pflichten rund um Auskunftsersuchen, Löschgesuchen etc. angemessen nachkommt.
  5. Datenschutzverletzungen: Einführung eines Verfahrens, das Verletzungen des Datenschutzes umgehend meldet.
  6. Datenschutz-Folgenabschätzungen: Bestimmte Datenbearbeitungen können eine Datenschutz-Folgenabschätzung voraussetzen. Hierfür sind die notwendigen Prozesse einzurichten.
  7. Vertragliche Regelung der Datenbearbeitung durch Partner: Es gilt sicherzustellen, dass Partner (z.B. Subunternehmer) die rechtlichen Datenschutzvorgaben einhalten.
  8. Löschung und Anonymisierung: Es sind Prozesse einzurichten, die eine Löschung oder Anonymisierung der Personendaten gewährleisten, sobald diese für den ursprünglichen Zweck der Bearbeitung nicht mehr benötigt werden.
  9. Datentransfers: Es ist zu prüfen, ob Datenübermittlungen in das Ausland erfolgen und die diesbezüglich geltenden Datenschutzvorgaben eingehalten werden.
  10. Datensicherheit: Gewährleistung durch Ergreifung geeigneter technischer und organisatorischer Maßnahmen.
  11. Datenherausgabe: Bei einer automatisierten Bearbeitung ist die Herausgabe der Daten in einem elektronischen Format zu gewährleisten.
  12. Benennung eines Datenberaters: Übernimmt eine ähnliche Rolle wie der Datenschutzbeauftragte in Deutschland. Seine Kontaktdaten sind zu veröffentlichen. Ergänzend empfiehlt sich die Meldung beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Fazit: Es ist höchste Zeit

Zahlreiche Unternehmen, die personenbezogene Daten in der Schweiz verarbeiten, sind spät dran und sollten deshalb nicht länger warten. Zur Erfüllung der neuen Datenschutzbestimmungen gemäß revDSG sind umfassende Maßnahmen zu ergreifen. Es ist an der Zeit, die eigenen Prozesse unter die Lupe zu nehmen und notwendige Voraussetzungen zu schaffen. Im Summe bleiben lediglich gute fünf Monate, um den neuen Datenschutzvorgaben gerecht zu werden.