Die Umsetzung neuer Regularien gehört nicht zu den bevorzugten Aufgaben im Tagesgeschäft. Da Datenschutz und Informationssicherheit mit zunehmender Sensibilisierung einem wachsenden Kundenbedürfnis entsprechen, ist die Herausforderung auch als Chance zu verstehen. Mit der Revision des DSG – es tritt am 1. September 2023 in Kraft – stärkt die Schweiz den Persönlichkeitsschutz im Umgang mit Personendaten und nivelliert ihn auf europäischem Niveau. Das erleichtert den länderübergreifenden Datenaustausch. Wie das europäische Recht erfasst das DSG künftig nur noch Daten natürlicher Personen. Unternehmen sind gut beraten, auch die nichtpersonenbezogenen Geschäftsdaten angemessen zu schützen. Datenschutz und Informationssicherheit gehen Hand in Hand.

Unternehmen müssen handeln

Mit der Revision wird der Datenschutz nicht neu erfunden. Die grundlegenden Prinzipien wie Rechtmässigkeit, Transparenz oder Zweckbindung bleiben erhalten. Dennoch gibt es neue Pflichten, mit denen sich Gewerbebetriebe bei der Bearbeitung von Personendaten konfrontiert sehen. Zu erwähnen ist etwa die erweiterte Informationspflicht gegenüber den betroffenen Personen oder die Meldepflicht bei Datenschutzverletzungen. Und Unternehmen müssen den Datenschutz schon bei der Planung der Systeme technisch und organisatorisch umsetzen (Privacy by Design) sowie datenschutzfreundliche Voreinstellungen wählen (Privacy by Default). Drohen hohe Risiken bei der Bearbeitung, sind neu auch Datenschutz-Folgeabschätzungen (DSFA) zu machen, welche die Definition von geeigneten Massnahmen umfassen.

Empfehlenswert in der Praxis ist – auch wenn erst ab 250 Mitarbeitern gesetzlich zwingend – das Führen eines Datenbearbeitungsverzeichnisses; es bildet quasi das Fundament für den Datenschutz. Auch eine kleine DSFA empfiehlt sich für jedes Projekt. Als zielführend erweist sich auch der Erlass von internen Datenschutzrichtlinien, die klare Regelung der Verantwortlichkeiten sowie die Schulung und Sensibilisierung der Mitarbeitenden. Wichtig ist, den Datenschutz und die Informationssicherheit angemessen zu dokumentieren, insbesondere um im Fall eines Ereignisses den Sorgfaltsnachweis erbringen zu können.

Das droht Unternehmen

Wie bisher können Unternehmen, die gegen den Datenschutz verstossen, ins zivilrechtliche Visier der betroffenen Personen geraten; es drohen unter anderem Schadenersatzansprüche.

Die strafrechtlichen Folgen werden indes deutlich verschärft. Neu drohen bei vorsätzlichen Verstössen Bussen von bis zu 250 000 Franken. Diese richten sich in erster Linie gegen die verantwortlichen Personen im Unternehmen, und somit auch gegen die Geschäftsleitung und den Verwaltungsrat. Auch die Rolle der nationalen Aufsichtsbehörde EDÖB wird durch die Revision nachhaltig gestärkt, so darf diese künftig beispielsweise Hausuntersuchungen durchführen oder Datenbearbeitungen direkt verbieten.

Eine strategische Aufgabe

Nicht nur Schadenersatzforderungen oder die potenziell hohen Bussen bei Datenschutzverletzungen stellen ernst zu nehmende Risiken dar. Ein mangelhaftes Datenschutzmanagement ist zugleich ein Gefahrenherd für Reputationsrisiken, welche die zivil- und strafrechtlichen Folgen erheblich übersteigen können. Deshalb ist es angezeigt, dass der Datenschutz auch als strategische Aufgabe wahrgenommen wird und damit auf die Agenda von Geschäftsleitung und Verwaltungsrat gehört. Wie in anderen Bereichen müssen sich gerade KMU mit begrenzten Ressource-Möglichkeiten die Frage stellen, in welchem Ausmass sie bereit sind, Restrisiken bewusst einzugehen.

Dr. Matthias Amgwerd, Partner, Burkhalter Rechtsanwälte