Laptop cyber security with code
04. MAI 2023

Neues Datenschutzgesetz in der Schweiz: Was müssen Unternehmen beachten?

KMU sammeln, speichern und verarbeiten täglich eine grosse Menge an Daten. Dazu gehören unter anderem eigene finanzielle Informationen, aber auch die persönlichen Daten der Kunden, wie Anschrift, Bankinformationen oder Telefonnummer. Als Unternehmer tragen Sie die Verantwortung, diese Daten umfassend vor Attacken zu schützen. Denn die Folgen können gravierend sein: Systemausfall, Datendiebstahl, finanzielle Einbussen – um nur einige zu nennen. Die Cyberangriffe werden dabei zunehmend ausgeklügelter und häufiger, weswegen der Bund sich für ein neues, überarbeitetes Datenschutzgesetz entschieden hat. Statt wie geplant in 2022 werden das neue Datenschutzgesetz sowie die neue Datenschutzgrundverordnung am 01. September 2023 in Kraft treten. Damit erfolgt eine Revision des ersten Bundesgesetzes von 1992. Wir geben Ihnen in diesem Beitrag die wichtigsten Informationen zum revDSG zur Hand, damit Sie Ihr Unternehmen rechtzeitig auf die neuen Anforderungen vorbereiten können.

In diesem Beitrag

Das neue Datenschutzgesetz (revDSG) im Detail

Das neue Datenschutzgesetz gilt als Schweizer Antwort auf die 2018 europaweit eingeführte Datenschutzgrundverordnung (DSGVO). Mit der Revision des Datenschutzgesetzes von 1992 wird zum einen das Schweizer Gesetz auf aktuelle, technologische Bedürfnisse und Anforderungen angepasst und zum anderen wird die grenzüberschreitende Datenübermittlung zwischen der Schweiz und EU-Staaten vereinfacht.

Ziel der Überarbeitung des Datenschutzgesetzes ist es, dass personenbezogene Daten, wie Adresse, Geburtsdatum, Bankdaten, IP-Adresse oder Standort, besser geschützt werden und die betroffenen Personen mehr Informationen über die Verwendung ihrer Daten erhalten.

Was beinhaltet das neue Datenschutzgesetz?

Das neue Datenschutzgesetz bietet grundsätzlich einen höheren Schutz aller personenbezogenen Daten. Das Schweizer Recht betrifft die Bearbeitung aller Personendaten. Dazu gehören neben Kontaktdaten neu auch biometrische Daten. Es fördert eine höhere Transparenz bei der Bearbeitung von personenbezogenen Daten sowie die Stärkung der Selbstbestimmung über die eigenen Daten.

Weiter unten im Beitrag gehen wir detailliert auf die einzelnen Inhalte des neuen Datenschutzgesetzes ein.

Warum gibt es eine Revision?

Das nun überarbeitete Gesetz stammt aus 1992 und ist entsprechend in die Jahre gekommen. Seither hat sich die Technologie stark verändert.Zudem spielt die Digitalisierung mittlerweile eine grosse Rolle und ist nicht mehr aus unserem Alltag wegzudenken. Mit den digitalen Möglichkeiten steigt auch die Nutzung von Technologien an. So sind laut Statista neun von 10 Personen online und 99% aller Schweizer Haushalte verfügen über einen Internetzugang. Im Jahr 2004 waren es nur 61% der Haushalte.

Die Digitalisierung schreitet immer weiter voran und wird entsprechend auch für Kleinunternehmer zunehmend wichtiger. Viele setzen heutzutage auf eine hilfreiche Business-Software, wie bexio. Sie modernisiert den Büroalltag und vereinfacht viele Arbeitsabläufe in der Administration und Buchhaltung.

Je mehr Zeit wir im Internet verbringen, desto mehr Daten geben wir von uns preis. Umso wichtiger ist es, darüber Bescheid zu wissen, was mit diesen Daten passiert, wer darauf Zugriff hat und dass diese Daten bestmöglich vor Hackerangriffen geschützt sind.

Zusätzlich sind Unternehmer, die Daten von ihren Kunden verwalten, nicht nur für ihre eigenen Daten verantwortlich, sondern tragen zusätzlich die Fürsorge für ihre Kundendaten. Transparenz und Sicherheit sind hier elementar.

Auch haben viele Unternehmer Beziehungen ins europäische Ausland. Dazu gehören beispielsweise Lieferanten, Partner oder Kunden. Innerhalb dieser Arbeitsverhältnisse werden Daten ausgetauscht. Damit die Schweiz von der EU weiterhin als datenschutzkonformes Land wahrgenommen wird und einen Datentransfer problemlos zulässt, ist eine Anpassung an die DSGVO notwendig. Somit kann die Schweiz ihre Wettbewerbsfähigkeit international weiter ausbauen und sich als Wirtschaftsstandort beweisen.

Die Corona-Pandemie aus dem Jahr 2020 hat zudem gezeigt, wie wichtig Technisierung und Digitalisierung sind. Viele von uns waren gezwungen, aus dem Homeoffice zu arbeiten oder sich neue, digitale Geschäftsmodelle zu überlegen, um ihr Business am Laufen halten zu können.

Zusammenfassung: Gründe für Revision

  • Fortschreitende Technologie

  • Vermehrte Internetnutzung

  • Datenschutzgrundverordnung in EU-Ländern

  • Internationale Wirtschaftsbeziehungen

  • Erhöhter Datenaustausch

  • Folgen der Pandemie

Diese Punkte zeigen, wie wichtig eine Revision des Datenschutzgesetzes und die Einführung der neuen Datenschutzverordnung ist.

Abb.: Sind Sie sich bewusst, welche Daten Sie im Internet freigeben?
Abb.: Sind Sie sich bewusst, welche Daten Sie im Internet freigeben?

Was ist der Unterschied zwischen DSGVO und revDSG?

DSGVO

Revidiertes DSG

Bezeichnung

Datenschutzgrundverordnung

Datenschutzgesetz

Geltungsbereich

EU

Schweiz

Gültig seit / ab

25. Mai 2018

01. September 2023

Zweck

  • Schutz natürlicher Personen bei Verarbeitung von personenbezogenen Daten

  • Schutz der Grundrechte und Grundfreiheiten von Personen

  • Freier Verkehr von personenbezogenen Daten

  • Schützt Persönlichkeit und die Grundrechte von natürlichen Personen
  • Transparenz und Stärkung der Betroffenenrechte

Datensicherheit

Mit geeigneten Massnahmen muss ein Schutzniveau der Daten sichergestellt werden, das dem variablen Risiko angemessen ist.

Technische und organisatorische Massnahmen sichern die Datensicherheit und vermindern das Risiko einer Verletzung von Daten.

Datenschutzberater / -beauftragter

Ein Datenschutzbeauftragter ist nötig, wenn Daten von einer Behörde oder öffentlichen Stelle verarbeitet werden (Ausnahme Justiz).

Ein Datenschutzberater wird zur Anlaufstelle für Fragen bezüglich Datenschutz und Datensicherheit.

Weitere, detaillierte Informationen finden Sie hier.

Da das revDSG als eine Antwort auf die europäische Verordnung gilt, unterscheiden sich die beiden Schutzverordnungen nur gering.

Wann tritt das revDSG in Kraft?

Das neue, revidierte Datenschutzgesetz hätte bereits in 2022 in Kraft treten sollen, wurde aber auf den 01. September 2023 verschoben. Damit wird der Wirtschaft ausreichend Zeit gegeben, sich auf die neuen Bestimmungen vorbereiten zu können. Gleichzeitig werden auch die neue Datenschutzverordnung (DSV) sowie die neue Verordnung über Datenschutzzertifizierungen (VDSZ) rechtskräftig.

Höherer Schutz personenbezogener Daten durch mehr Transparenz und Stärkung der Selbstbestimmung – dank dem neuen Datenschutzgesetz.

Markus Naef, CEO bexio AG

Wer ist von dem revDSG betroffen?

Vom neuen Datenschutzgesetz betroffen sind grundsätzlich alle Personen, die personenbezogene Daten speichern, verarbeiten, transferieren. Dazu gehören Privatpersonen und auch alle Schweizer Unternehmen wie beispielsweise KMU.

Der Bund lässt allen Betroffenen in der Wirtschaft ausreichend Zeit, um sich auf alle Anforderungen des revDSG vorzubereiten. Mit Inkrafttreten des Gesetzes im September 2023 müssen allerdings alle Unternehmen nötige Anpassungen erledigt haben, ansonsten droht eine Busse.


So bereiten Sie sich und Ihr Unternehmen auf die neuen Bestimmungen des DSG vor

Um mögliche Bussen zu vermeiden, müssen sich Unternehmen bis zum 01. September 2023 auf die Anforderungen vorbereiten. Wir geben Ihnen Tipps, wie Sie sich und Ihr KMU parat machen können.

Schritt 1: Machen Sie sich mit dem Gesetz vertraut

Studieren Sie die neuen gesetzlichen Grundlagen und notieren Sie sich, in welchem Umfang Sie personenbezogene Daten abfragen, speichern und verarbeiten. Je mehr schützenswerte Personendaten Sie von Kunden, Partnern oder Lieferanten einholen, desto genauer müssen Sie vorgehen.

Schritt 2: Schätzen Sie Risiken ab

Um das Risiko abschätzen zu können, wie hoch die Wahrscheinlichkeit eines Cyber-Angriff wäre, stellen Sie sich folgende Fragen:

  • Haben Sie eine aktuelle Anti-Malware-Software aktiviert, um Ihr System vor Viren zu schützen?

  • Wer hat im Unternehmen Zugriff auf sensible Daten? Kann dieser Zugriff eventuell eingegrenzt werden?

  • Wie steht es um Ihre Passwörter? Sind diese ausreichend komplex, um einen Datendiebstahl zu verhindern?

  • Ist Ihr Netzwerk ausreichend geschützt, damit sich Fremde keinen Zugang verschaffen können?

  • Führen Sie regelmässig System-Scans durch?

  • Sind Ihre Systeme auf dem neuesten Stand?

Schritt 3: Binden Sie Ihre Mitarbeitenden mit ein

Im nächsten Schritt sollten Sie auch Ihre Mitarbeitenden über die neuen Richtlinien und Gesetze sowie über Änderungen und Anpassungen in Ihrem Betrieb informieren. Nur wenn alle gemeinsam denselben Wissensstand haben, kann eine Einhaltung der Anforderungen gelingen.

Abb.: Sensibilisieren Sie Ihre Mitarbeitenden im Rahmen des  neuen Gesetzes.
Abb.: Sensibilisieren Sie Ihre Mitarbeitenden im Rahmen des neuen Gesetzes.

Schritt 4: Datenschutzerklärung nach Bedarf anpassen

Das neue Gesetz fördert Transparenz über die Datenverarbeitung. Das bedeutet, dass Sie Ihren Kunden mitteilen müssen, in welcher Art und Weise Sie ihre Daten speichern und verarbeiten. Dafür gibt es die Datenschutzerklärung, die Sie Ihren Kunden neben den AGB einfach zugänglich machen müssen.

Wenn Sie viele Geschäftsbeziehungen mit Kontakten aus EU-Ländern haben, haben Sie Ihre Datenschutzerklärung bestenfalls bereits auf die DSGVO angepasst. Damit sind für Sie die meisten Anpassungen bereits erledigt.

Schritt 5: Ernennen Sie einen Datenschutzberater

Damit keine Fragen oder Unklarheiten bezüglich Datenschutz und Datensicherheit bei Ihnen, Ihren Kunden oder Ihren Mitarbeitenden aufkommen, bestimmen Sie rechtzeitig einen Datenschutzberater. Dieser kann bei sämtlichen datenbezogenen Fragen zu Rate gezogen werden. Wichtig ist, dass diese Person fachlich dieser Stelle gerecht werden kann und über die Details des neuen Gesetzes bestens informiert ist. Die Ernennung eines Datenschutzberaters ist nicht obligatorisch, aber kann unterstützend sein, wenn Sie eine grosse Menge an personenbezogenen Daten sammeln und verarbeiten.

Zu den wichtigsten Massnahmen für Unternehmen zählen unter anderem die Überprüfung und Anpassung der bisherigen Datenschutzerklärung. Im Idealfall sollte eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter ernannt werden, an den man sich bei allen Fragen wenden kann.

Markus Naef, CEO bexio AG

Welche Bussen können bei Verstössen verhängt werden?

Wird die Datensicherheit verletzt, sind Strafzahlungen fällig. Wird eine Verletzung bemerkt, muss diese schnellstmöglich dem EDÖB (Eidgenössicher Datenschutz- und Öffentlichkeitsbeauftragter) gemeldet werden.

Aufgaben des EDÖB

  • Beaufsichtigung bzgl. Einhaltung der gesetzlichen Datenschutzbestimmungen.

  • Beratung von Privatpersonen und Bundesorganen.

  • Sensibilisiert und informiert über Datenschutz.

  • Einschreiten bei Nichteinhaltung des Datenschutzes.

» Mehr erfahren

Eine Datenschutzverletzung liegt beispielsweise dann vor, wenn Sie als verantwortliche Person besonders schützenswerte Daten oder Passwörter an Dritte herausgeben oder Ihre Systeme nicht umfassend geschützt haben. Also dann, wenn Sie Ihre Sorgfaltspflicht verletzt haben. Wenn eine Datenschutzverletzung vorliegt, kann eine Strafe bis zu CHF 250’000 fällig werden (Art. 60ff. revDSG).

Kontaktdaten des EDÖB

Eidgenössischer Datenschutz- und Öffentlichkeitsberater (EDÖB)
Feldeggweg 1
3003 Bern

T 058 463 74 84

[email protected]

(Quelle)

Expert quote bexio AG
Das neue Datenschutzgesetz

Mit bexio werden Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt. bexio sorgt unter anderem für Vertraulichkeit, Verfügbarkeit und Integrität der Daten. Im Zusammenhang mit der Cloud-Lösung von bexio verbleiben sämtliche Daten in der Schweiz.


Markus Naef, CEO, bexio AG

Die wichtigsten Änderungen des DSG im Detail

Für Unternehmen sind besonders folgende Anpassungen relevant:

  • Vom neuen revDSG sind keine juristischen Personen betroffen, sondern ausschliesslich natürliche Personen.

  • Neu zählen auch genetische und biometrische Daten zu den schützenswerten Daten.

  • Privacy by Default bedeutet, dass mittels geeigneter Voreinstellungen bereits bei bzw. vor Markteinführung die Bearbeitung der Personendaten auf das, für den Verwendungszweck nötige, Mindestmass beschränkt ist (soweit die betroffene Person nicht etwas anderes bestimmt).

  • Privacy by Design verpflichtet Entwickler von Produkten oder Dienstleistungen, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden.

  • Besteht ein Risiko, dass Grundrechte verletzt werden könnten, muss eine Datenschutzfolgeabschätzung durchgeführt werden.

  • Bevor Unternehmen Daten sammeln, müssen sie die betroffenen Personen dank der Informationspflicht informieren.

  • Wird das Datenschutzgesetz verletzt, muss gegebenenfalls eine Meldung an den EDÖB erfolgen.

  • Für alle wird das Führen eines Verzeichnisses der Bearbeitungstätigkeiten verpflichtend. Eine Ausnahme stellen diejenigen KMU dar, deren Datenbearbeitung so gering ist, dass hier kein Risiko für die betroffenen Personen absehbar ist.

  • Im Gesetz neu ist der Begriff «Profiling» verankert. Dieser Begriff beschreibt die automatisierte Bearbeitung personenbezogener Daten.

Fazit zum revidierten Datenschutzgesetz

  • Das Datenschutzgesetz wird per 01. September 2023 in der Schweiz rechtskräftig.

  • Die Revision ist nötig, um mit dem technologischen Fortschritt und der Entwicklung im umliegenden Ausland (DSGVO) mitzuhalten.

  • Das neue Gesetz schützt personenbezogene Daten stärker und erhöht die Transparenz.

  • Personen, deren Daten gesammelt und verarbeitet werden, wird neu eine höhere Transparenz eingeräumt.

  • Alle Anpassungen, die ein Unternehmen tätigen muss, müssen vor dem Inkrafttreten abgeschlossen sein.

  • Wird gegen ein Datenschutzgesetz verstossen, können Bussen in Höhe von CHF 250’000 fällig werden.

  • Sensibilisieren Sie Ihre Mitarbeiter zum Thema Datensicherheit und Cyber-Kriminalität.

Blond-woman-bexio-dashboard