Die wichtigsten Änderungen für KMUs ab 1. September 2023

13. September 2023

Datenschutz und IT-Recht

Das revidierte Schweizer Datenschutzgesetz bringt eine Reihe von signifikanten Änderungen mit sich, die insbesondere für kleine und mittlere Unternehmen (KMU) relevant sind. Im Folgenden eine Zusammenfassung der wichtigsten Punkte:

Anwendungsbereich

Das Gesetz gilt nur noch für die Daten natürlicher Personen und schließt juristische Personen aus.

Besondere Schutzkategorien

Genetische und biometrische Daten werden als besonders schützenswerte Daten hinzugefügt.

Grundsatzprinzipien

“Privacy by Design” und “Privacy by Default” werden eingeführt. Dies bedeutet, dass die datenschutzfreundlichste Variante stets als Standardeinstellung vorgegeben sein muss und die Datenbearbeitung so gestaltet sein muss, dass sie datenschutzrechtlichen Anforderungen genügt.

Datenschutz-Folgenabschätzung

Vor der Verarbeitung personenbezogener Daten, die ein hohes Risiko für die Betroffenen darstellen, müssen Datenschutz-Folgenabschätzungen vorgenommen werden.

Informationspflicht

Jede Erhebung von Personendaten muss vorher angekündigt werden. Dazu zählen Identität und Kontaktdaten des Verantwortlichen sowie der Zweck der Datenerhebung.

Verzeichnis der Bearbeitungstätigkeiten

Für Unternehmen mit mehr als 250 Mitarbeitern wird dies obligatorisch. Kleinere Unternehmen mit geringem Risikopotenzial sind ausgenommen.

Meldepflicht bei Verletzungen

Bei Datensicherheitsverletzungen muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) umgehend informiert werden.

Profiling

Der Begriff wird ins Gesetz aufgenommen und erfordert die Zustimmung der betroffenen Person.

Rechtliche Implikationen

Das neue Gesetz stellt sicher, dass die Verarbeitung personenbezogener Daten unter strikter Einhaltung der Datenschutzprinzipien erfolgt. Verstöße können zu hohen Strafen führen, daher ist es wichtig, dass KMUs die Änderungen verstehen und umsetzen.

Risiken und Empfehlungen

KMUs sollten dringend ihre internen Prozesse und Systeme überprüfen, um sicherzustellen, dass sie den neuen Anforderungen entsprechen. Ein Versäumnis könnte nicht nur zu Sanktionen führen, sondern auch das Vertrauen der Kunden erheblich beeinträchtigen.

Praktische Anwendung

Unternehmen sollten eine gründliche Risikobewertung durchführen und Datenschutzberater einbinden, um Compliance sicherzustellen.

Fazit

Das revidierte Schweizer Datenschutzgesetz erhöht die Verantwortlichkeiten für Unternehmen in Bezug auf den Umgang mit personenbezogenen Daten. Insbesondere KMUs sollten sich frühzeitig darauf vorbereiten und eventuelle Anpassungen vornehmen.

Für weitergehende rechtliche Beratung empfehlen wir, sich an unsere im Bereich Datenschutzrecht spezialisierte Rechtsanwältin Eva Wille/Zürich zu wenden.