Welche Folgen hat das neue Datenschutzgesetz für Schweizer Unternehmen und wie bereit man sich darauf vor? Benno Leuenberger hat die Antworten.
Ab September gilt in der Schweiz das revidierte Datenschutzgesetz. Was dies für die hiesigen Unternehmen und auch für deren Mitarbeitende bedeutet, erläutert Benno Leuenberger.
Herr Leuenberger, warum braucht es dieses neue Gesetz?
Der Hauptgrund für die Anpassung des bisherigen Datenschutzgesetzes liegt in den veränderten technologischen und gesellschaftlichen Verhältnissen. Ziel ist es, die Selbstbestimmung der betroffenen Personen zu stärken und weiterhin als Land mit einem hohen Datenschutzniveau anerkannt zu bleiben. Das Gesetz gilt nun nicht mehr nur für grössere Unternehmen, sondern für alle.
Kann das neue Datenschutzgesetz als eine Art «Light-Version» der DSGVO gesehen werden?
Das sehen tatsächlich viele Firmen so, doch es ist im Grundprinzip etwas komplett anderes. Das neue Gesetz verfolgt den Ansatz, dass die Datenverarbeitung prinzipiell erlaubt ist – mit gewissen Ausnahmen. Bei der DSGVO ist die Datenverarbeitung grundsätzlich verboten – ausser man hat einen Verwendungszweck und das dazugehörige Einverständnis der betroffenen Personen. Das neue Schweizer Gesetz ist pragmatisch und funktioniert im Alltag einfach besser.
Welche Folgen hat ein Verstoss?
Die Konsequenzen sind beträchtlicher als bei der DSGVO. Nicht mehr ganze Firmen, sondern einzelne Personen, die mit ihren Entscheiden gegen das Gesetz verstossen haben, werden haftbar gemacht. Das kann Geschäftsleitungsmitglieder, Manager oder den einfachen IT-Support treffen. Ein Verstoss kann mit bis zu 250’000 Franken geahndet werden.
Sieht das neue Gesetz Übergangsvorschriften vor?
Nein, das Gesetz tritt direkt am 1. September vollumfänglich in Kraft. Deshalb raten wir, sich frühzeitig vorzubereiten. Die organisatorischen Massnahmen könnten einen erheblichen Aufwand bedeuten.
Was sollten Schweizer Firmen also jetzt tun?
Wichtig ist, sich eine Übersicht zu verschaffen, welche schützenswerten Daten vorhanden sind, in welchen Prozessen diese verarbeitet und wohin sie bei einem Datentransfer mit Partnern übertragen werden. All dies gilt es in einem Massnahmenplan herauszuarbeiten, zum Beispiel die Sicherstellung der Vertraulichkeit oder Integrität bei der Verarbeitung der personenbezogenen Daten.