Revidiertes Datenschutzgesetz: Einzelne Personen werden haftbar gemacht

Ab September gilt in der Schweiz das revidierte Datenschutzgesetz. Was dies für die hiesigen Unternehmen und auch für deren Mitarbeitende bedeutet, erläutern Benno Leuenberger und Meti Rudaj.

Herr Rudaj, warum braucht es dieses neue Gesetz?

Meti Rudaj: Der Hauptgrund für die Anpassung des bisherigen Datenschutzgesetzes liegt in den veränderten technologischen und gesellschaftlichen Verhältnissen. Ziel ist es, die Selbstbestimmung der betroffenen Personen zu stärken und weiterhin als Land mit einem hohen Datenschutzniveau anerkannt zu bleiben. Das Gesetz gilt nun nicht mehr nur für grössere Unternehmen, sondern für alle.

Kann das neue Datenschutzgesetz als eine Art «Light-Version» der DSGVO gesehen werden?

Benno Leuenberger: Das sehen tatsächlich viele Firmen so, doch es ist im Grundprinzip etwas komplett anderes. Das neue Gesetz verfolgt den Ansatz, dass die Datenverarbeitung prinzipiell erlaubt ist – mit gewissen Ausnahmen. Bei der DSGVO ist die Datenverarbeitung grundsätzlich verboten – ausser man hat einen Verwendungszweck und das dazugehörige Einverständnis der betroffenen Personen. Das neue Schweizer Gesetz ist pragmatisch und funktioniert im Alltag einfach besser.

Welche Folgen hat ein Verstoss?

Meti Rudaj: Die Konsequenzen sind beträchtlicher als bei der DSGVO. Nicht mehr ganze Firmen, sondern einzelne Personen, die mit ihren Entscheiden gegen das Gesetz verstossen haben, werden haftbar gemacht. Das kann Geschäftsleitungsmitglieder, Manager oder den einfachen IT-Support treffen. Ein Verstoss kann mit bis zu 250’000 Franken geahndet werden.

Sieht das neue Gesetz Übergangsvorschriften vor?

Benno Leuenberger: Nein, das Gesetz tritt direkt am 1. September vollumfänglich in Kraft. Deshalb raten wir, sich frühzeitig vorzubereiten. Die organisatorischen Massnahmen könnten einen erheblichen Aufwand bedeuten.

Was sollten Schweizer Firmen also jetzt tun?

Meti Rudaj: Wichtig ist, sich eine Übersicht zu verschaffen, welche schützenswerten Daten vorhanden sind, in welchen Prozessen diese verarbeitet und wohin sie bei einem Datentransfer mit Partnern übertragen werden. All dies gilt es in einem Massnahmenplan herauszuarbeiten, zum Beispiel die Sicherstellung der Vertraulichkeit oder Integrität bei der Verarbeitung der personenbezogenen Daten.