KMU sammeln, speichern und verarbeiten täglich eine grosse Menge an Daten. Dazu gehören unter anderem eigene finanzielle Informationen, aber auch die persönlichen Daten der Kunden, wie Anschrift, Bankinformationen oder Telefonnummer. Als Unternehmer trägst du die Verantwortung, diese Daten umfassend vor Attacken zu schützen. Denn die Folgen können gravierend sein: Systemausfall, Datendiebstahl, finanzielle Einbussen – um nur einige zu nennen. Die Cyberangriffe werden dabei zunehmend ausgeklügelter und häufiger, weswegen der Bund sich für ein neues, überarbeitetes Datenschutzgesetz entschieden hat. Statt wie geplant in 2022 werden das neue Datenschutzgesetz sowie die neue Datenschutzgrundverordnung am 01. September 2023 in Kraft treten. Damit erfolgt eine Revision des ersten Bundesgesetzes von 1992. Wir geben dir in diesem Beitrag die wichtigsten Informationen zum revDSG zur Hand, damit du dein Unternehmen rechtzeitig auf die neuen Anforderungen vorbereiten kannst.
+
Inhaltsverzeichnis
Das neue Datenschutzgesetz (revDSG) im Detail
Das neue Datenschutzgesetz gilt als Schweizer Antwort auf die 2018 europaweit eingeführte Datenschutzgrundverordnung (DSGVO). Mit der Revision des Datenschutzgesetzes von 1992 wird zum einen das Schweizer Gesetz auf aktuelle, technologische Bedürfnisse und Anforderungen angepasst und zum anderen wird die grenzüberschreitende Datenübermittlung zwischen der Schweiz und EU-Staaten vereinfacht.
Ziel der Überarbeitung des Datenschutzgesetzes ist es, dass personenbezogene Daten, wie Adresse, Geburtsdatum, Bankdaten, IP-Adresse oder Standort, besser geschützt werden und die betroffenen Personen mehr Informationen über die Verwendung ihrer Daten erhalten.
Was beinhaltet das neue Datenschutzgesetz?
Das neue Datenschutzgesetz bietet grundsätzlich einen höheren Schutz aller personenbezogenen Daten. Das Schweizer Recht betrifft die Bearbeitung aller Personendaten. Dazu gehören neben Kontaktdaten neu auch biometrische Daten. Es fördert eine höhere Transparenz bei der Bearbeitung von personenbezogenen Daten sowie die Stärkung der Selbstbestimmung über die eigenen Daten.
Weiter unten im Beitrag gehen wir detailliert auf die einzelnen Inhalte des neuen Datenschutzgesetzes ein.
Warum gibt es eine Revision?
Das nun überarbeitete Gesetz stammt aus 1992 und ist entsprechend in die Jahre gekommen. Seither hat sich die Technologie stark verändert.Zudem spielt die Digitalisierung mittlerweile eine grosse Rolle und ist nicht mehr aus unserem Alltag wegzudenken. Mit den digitalen Möglichkeiten steigt auch die Nutzung von Technologien an. So sind laut Statista neun von 10 Personen online und 99% aller Schweizer Haushalte verfügen über einen Internetzugang. Im Jahr 2004 waren es nur 61% der Haushalte.
Je mehr Zeit wir im Internet verbringen, desto mehr Daten geben wir von uns preis. Umso wichtiger ist es, darüber Bescheid zu wissen, was mit diesen Daten passiert, wer darauf Zugriff hat und dass diese Daten bestmöglich vor Hackerangriffen geschützt sind.
Zusätzlich sind Unternehmer, die Daten von ihren Kunden verwalten, nicht nur für ihre eigenen Daten verantwortlich, sondern tragen zusätzlich die Fürsorge für ihre Kundendaten. Transparenz und Sicherheit sind hier elementar.
Auch haben viele Unternehmer Beziehungen ins europäische Ausland. Dazu gehören beispielsweise Lieferanten, Partner oder Kunden. Innerhalb dieser Arbeitsverhältnisse werden Daten ausgetauscht. Damit die Schweiz von der EU weiterhin als datenschutzkonformes Land wahrgenommen wird und einen Datentransfer problemlos zulässt, ist eine Anpassung an die DSGVO notwendig. Somit kann die Schweiz ihre Wettbewerbsfähigkeit international weiter ausbauen und sich als Wirtschaftsstandort beweisen.
Die Corona-Pandemie aus dem Jahr 2020 hat zudem gezeigt, wie wichtig Technisierung und Digitalisierung sind. Viele von uns waren gezwungen, aus dem Homeoffice zu arbeiten oder sich neue, digitale Geschäftsmodelle zu überlegen, um ihr Business am Laufen halten zu können.
Zusammenfassung: Gründe für Revision
Fortschreitende Technologie
Vermehrte Internetnutzung
Datenschutzgrundverordnung in EU-Ländern
Internationale Wirtschaftsbeziehungen
Erhöhter Datenaustausch
Folgen der Pandemie
Diese Punkte zeigen, wie wichtig eine Revision des Datenschutzgesetzes und die Einführung der neuen Datenschutzverordnung ist.
Abb.: Bist du dir bewusst, welche Daten du im Internet freigibst?
Mit geeigneten Massnahmen muss ein Schutzniveau der Daten sichergestellt werden, das dem variablen Risiko angemessen ist.
Technische und organisatorische Massnahmen sichern die Datensicherheit und vermindern das Risiko einer Verletzung von Daten.
Datenschutzberater / -beauftragter
Ein Datenschutzbeauftragter ist nötig, wenn Daten von einer Behörde oder öffentlichen Stelle verarbeitet werden (Ausnahme Justiz).
Ein Datenschutzberater wird zur Anlaufstelle für Fragen bezüglich Datenschutz und Datensicherheit.
Weitere, detaillierte Informationen findest du hier.
Da das revDSG als eine Antwort auf die europäische Verordnung gilt, unterscheiden sich die beiden Schutzverordnungen nur gering.
Höherer Schutz personenbezogener Daten durch mehr Transparenz und Stärkung der Selbstbestimmung – dank dem neuen Datenschutzgesetz.
Markus Naef, CEO bexio AG
Wer ist vom revDSG betroffen?
Vom neuen Datenschutzgesetz betroffen sind grundsätzlich alle Personen, die personenbezogene Daten speichern, verarbeiten, transferieren. Dazu gehören Privatpersonen und auch alle Schweizer Unternehmen wie beispielsweise KMU.
Der Bund lässt allen Betroffenen in der Wirtschaft ausreichend Zeit, um sich auf alle Anforderungen des revDSG vorzubereiten. Mit Inkrafttreten des Gesetzes im September 2023 müssen allerdings alle Unternehmen nötige Anpassungen erledigt haben, ansonsten droht eine Busse.
So hältst du mit deinem Unternehmen die neuen Bestimmungen des DSG ein
Um mögliche Bussen zu vermeiden, müssen sich Unternehmen bis zum 01. September 2023 auf die Anforderungen vorbereiten. Wir geben dir Tipps, wie du dich und dein KMU parat machen kannst.
Schritt 1: Mache dich mit dem Gesetz vertraut
Studiere die neuen gesetzlichen Grundlagen und notiere dir, in welchem Umfang du personenbezogene Daten abfragst, speicherst und verarbeitest. Je mehr schützenswerte Personendaten du von Kunden, Partnern oder Lieferanten einholst, desto genauer musst du vorgehen.
Schritt 2: Schätze Risiken ab
Um das Risiko abschätzen zu können, wie hoch die Wahrscheinlichkeit eines Cyber-Angriff wäre, stelle dir folgende Fragen:
Hast du eine aktuelle Anti-Malware-Software aktiviert, um dein System vor Viren zu schützen?
Wer hat im Unternehmen Zugriff auf sensible Daten? Kann dieser Zugriff eventuell eingegrenzt werden?
Wie steht es um deine Passwörter? Sind diese ausreichend komplex, um einen Datendiebstahl zu verhindern?
Ist dein Netzwerk ausreichend geschützt, damit sich Fremde keinen Zugang verschaffen können?
Führst du regelmässig System-Scans durch?
Sind deine Systeme auf dem neuesten Stand?
Schritt 3: Binde deine Mitarbeitenden mit ein
Im nächsten Schritt solltest du auch deine Mitarbeitenden über die neuen Richtlinien und Gesetze sowie über Änderungen und Anpassungen in deinem Betrieb informieren. Nur wenn alle gemeinsam denselben Wissensstand haben, kann eine Einhaltung der Anforderungen gelingen.
Schritt 4: Datenschutzerklärung nach Bedarf anpassen
Das neue Gesetz fördert Transparenz über die Datenverarbeitung. Das bedeutet, dass du deinen Kunden mitteilen musst, in welcher Art und Weise du ihre Daten speicherst und verarbeitest. Dafür gibt es die Datenschutzerklärung, die du deinen Kunden neben den AGB einfach zugänglich machen musst.
Wenn du viele Geschäftsbeziehungen mit Kontakten aus EU-Ländern hast, hast du deine Datenschutzerklärung bestenfalls bereits auf die DSGVO angepasst. Damit sind für dich die meisten Anpassungen bereits erledigt.
Schritt 5: Ernenne einen Datenschutzberater
Damit keine Fragen oder Unklarheiten bezüglich Datenschutz und Datensicherheit bei dir, deinen Kunden oder deinen Mitarbeitenden aufkommen, bestimme rechtzeitig einen Datenschutzberater. Dieser kann bei sämtlichen datenbezogenen Fragen zu Rate gezogen werden. Wichtig ist, dass diese Person fachlich dieser Stelle gerecht werden kann und über die Details des neuen Gesetzes bestens informiert ist. Die Ernennung eines Datenschutzberaters ist nicht obligatorisch, aber kann unterstützend sein, wenn du eine grosse Menge an personenbezogenen Daten sammelst und verarbeitest.
Unser Academy-Kurs liefert praxisnahe Antworten Standortbestimmung, Pflichtmassnahmen und KI‑Spezialthemen. Hol dir den idealen Überblick über das Datenschutzgesetz.
Eine Datenschutzverletzung liegt beispielsweise dann vor, wenn du als verantwortliche Person besonders schützenswerte Daten oder Passwörter an Dritte herausgibst oder deine Systeme nicht umfassend geschützt hast. Also dann, wenn du deine Sorgfaltspflicht verletzt hast. Wenn eine Datenschutzverletzung vorliegt, kann eine Strafe bis zu CHF 250’000 fällig werden (Art. 60ff. revDSG).
Kontaktdaten des EDÖB
Eidgenössischer Datenschutz- und Öffentlichkeitsberater (EDÖB) Feldeggweg 1 3003 Bern
Vom neuen revDSG sind keine juristischen Personen betroffen, sondern ausschliesslich natürliche Personen.
Neu zählen auch genetische und biometrische Daten zu den schützenswerten Daten.
Privacy by Default bedeutet, dass mittels geeigneter Voreinstellungen bereits bei bzw. vor Markteinführung die Bearbeitung der Personendaten auf das, für den Verwendungszweck nötige, Mindestmass beschränkt ist (soweit die betroffene Person nicht etwas anderes bestimmt).
Privacy by Design verpflichtet Entwickler von Produkten oder Dienstleistungen, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden.
Besteht ein Risiko, dass Grundrechte verletzt werden könnten, muss eine Datenschutzfolgeabschätzung durchgeführt werden.
Bevor Unternehmen Daten sammeln, müssen sie die betroffenen Personen dank der Informationspflicht informieren.
Wird das Datenschutzgesetz verletzt, muss gegebenenfalls eine Meldung an den EDÖB erfolgen.
Für alle wird das Führen eines Verzeichnisses der Bearbeitungstätigkeiten verpflichtend. Eine Ausnahme stellen diejenigen KMU dar, deren Datenbearbeitung so gering ist, dass hier kein Risiko für die betroffenen Personen absehbar ist.
Im Gesetz neu ist der Begriff «Profiling» verankert. Dieser Begriff beschreibt die automatisierte Bearbeitung personenbezogener Daten.
Fazit zum revidierten Datenschutzgesetz
Das Datenschutzgesetz wird per 01. September 2023 in der Schweiz rechtskräftig.
Die Revision ist nötig, um mit dem technologischen Fortschritt und der Entwicklung im umliegenden Ausland (DSGVO) mitzuhalten.
Das neue Gesetz schützt personenbezogene Daten stärker und erhöht die Transparenz.
Personen, deren Daten gesammelt und verarbeitet werden, wird neu eine höhere Transparenz eingeräumt.
Alle Anpassungen, die ein Unternehmen tätigen muss, müssen vor dem Inkrafttreten abgeschlossen sein.
Wird gegen ein Datenschutzgesetz verstossen, können Bussen in Höhe von CHF 250’000 fällig werden.
Sensibilisiere deine Mitarbeiter zum Thema Datensicherheit und Cyber-Kriminalität.
bexio-Redaktion
Autoren, Gast-Autoren und Experten
Die Autoren unserer bexio-Redaktion bringen langjährige Expertise und Erfahrung im Erstellen von hochwertigem Content mit. Bei allen veröffentlichten Texten stehen für die Autoren höchste Ansprüche auf Qualität, detaillierte Recherche und Mehrwert für den Leser im Mittelpunkt.
Informiere dich regelmässig über aktuelle Entwicklungen, Hintergründe sowie Trends aus und rund um die bexio-Welt inkl. News, Produktupdates und Tipps & Tricks für deinen Posteingang.
Bei der Registrierung deiner Daten ist ein Fehler aufgetreten. Bitte versuche es erneut oder, falls das Problem weiterhin besteht, wende dich bitte an unseren Support unter [email protected] oder +41 (0)71 552 00 61.
