Das neue Datenschutzgesetz tritt am 1. September 2023 in Kraft!

Damit der freie Datenverkehr mit der Europäischen Union erhalten werden kann und Schweizer Unternehmen diesbezüglich wettbewerbsfähig bleiben, hat der Bund das bereits über 30 Jahre alte Datenschutzgesetz überarbeitet. Die Inkraftsetzung des Totalrevidierten Datenschutzgesetzes (revDSG) erfolgt am 1. September 2023.

Besonders hervorzuheben sind die neuen Sanktionen: Wer ab dem 01. September eine betroffene Person zum Zeitpunkt der Datenerhebung nicht ordentlich informiert oder ihr nachträglich auf deren Anfrage keine genügende Auskunft über die erhobenen Daten erstattet, so wie es das Gesetz verlangt, kann sich – auf Antrag der betroffenen Person – mit Bussen bis zu 250'000 Franken konfrontiert sehen. Deshalb ist es für KMU wichtig, sich ihrer Pflichten bewusst zu sein, deren Missachtung von den Sanktionsartikeln des revDSG direkt mit Busse bedroht werden:

1. Datensicherheit I: Die KMU müssen für die Sicherheit ihrer Daten einstehen und diese vor unberechtigten, widerrechtlichen Übergriffen schützen (Art. 8 revDSG)
2. Datensicherheit II: Werden externe Tools zur Verwaltung von Personendaten verwendet (z.B. Online-Mitgliederverwaltungssoftware), so muss dies vertraglich festgehalten sein. Das KMU ist verpflichtet, sich über die Datensicherheit des Vertragspartners zu vergewissern (Art. 9 revDSG)
3. Bekanntgabe von Daten ins Ausland: Gelangen Personendaten ins Ausland, selbst wenn die z.B. nur darauf zurückzuführen ist, dass sich die Server des Cloud-Dienstes, in welchem die Daten gespeichert werden, im Ausland befindet, so müssen die gesetzlichen Voraussetzungen eingehalten werden (Art. 16 und 17 revDSG)
4. Informationspflicht: Bei jeder Bearbeitung (d.h. Erhebung, Speicherung, Veränderung oder Löschung) von Personendaten muss die betroffene Person entsprechend den gesetzlichen Anforderungen (Art. 19 revDSG) informiert werden, nämlich:
   1. die Identität und die Kontaktdaten des Bearbeiters
   2. den Zweck der Datenbenutzung bzw. -bearbeitung
   3. gegebenenfalls Liste mit Namen oder Kategorien von Empfängern, denen Personendaten bekanntgegeben werden (Mitarbeiter, Geschäftspartner, Zweigstellen etc.)
5. Auskunftspflicht: Verlangt eine Person eine Auskunft darüber, ob und welche Daten über sie bearbeitet werden, so muss diese Auskunft nach gesetzlichen Vorschriften erfolgen, sofern keine Ausnahmen bestehen (Art. 25 - 27 revDSG)
6. Datenschutzverletzungen melden: Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde und dies zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten (Art. 24 revDSG)

                  

Der Thurgauer Gewerbeverband bietet den Thurgauer KMU nachfolgend einen leicht verständlichen Leitfaden inkl. Vorlagen zum Download, mit welchen die Unternehmen das Risiko einer Gesetzesverletzung mindern können.

Was müssen KMU bis 250 Mitarbeiter in jedem Fall beachten und umsetzen?

Schritt 1: Informationspflicht

Prüfen, welche Personendaten im Unternehmen erhoben oder bearbeitet werden (Kunden, Mitarbeiter, Beauftragte etc.)

Liste von Orten erstellen, wo Personendaten erhoben oder gespeichert werden. Auch Drittanbieter berücksichtigen (z.B. Adressverwaltungssoftware) Bei Drittanbietern: prüfen oder nachfragen, ob die Daten im Ausland gespeichert werden Liste von Datenkategorien erstellen, welche erhoben werden (z.B. Name, Adresse, Email etc.) und angeben, für welchen Zweck diese Daten erhoben werden (z.B. "zur Identifikation" oder "für Einladungen an Vereinsversammlungen" etc.). Wenn für eine erhobene Datenkategorie kein Verwendungszweck besteht, so sollten diese Daten grundsätzlich nicht erhoben werden.

An den jeweiligen Erhebungsstellen die Informierung gewährleisten

zum Beispiel: Mitarbeiter, Vertragspartner -> Datenschutzerklausel im Vertrag/Arbeitsvertrag hinzufügen Kundenkontakte, Webseite («einfache» Kontakte) -> Datenschutzerklärung einblenden und akzeptieren lassen (per ankreuzen oder Unterschrift) Überall dann, wenn Daten bearbeitet werden und überall dort, wo Daten erhoben werden -> Datenschutzrichtlinie einblenden/akzeptieren lassen (= Informationspflicht erfüllen)

Vorlagen zum Download für Schritt 1:

• Muster Datenschutzerklärung.docx 555.86 KB

• Muster Datenschutzklausel.docx 551.06 KB

• Muster Datenschutzrichtlinie.docx 555.90 KB

Schritt 2: Datensicherheit gewährleisten

Eigene Datensicherheit sicherstellen	Starke Passwörter, 2-Faktorauthentifizierung verwenden
Datensicherheit von externen Partnern und Drittanbietern (z.B. Online-Adressverwaltungsplattform) sicherstellen	Auftragsdatenbearbeitungsvertrag unterzeichnen lassen
Jegliche Datenschutzverletzung, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, sofort dem EDÖB melden	Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter: https://www.edoeb.admin.ch/edoeb/de/home/deredoeb/kontakt.html

Vorlagen zum Download Schritt 2:

• Muster Auftragsdatenbearbeitungsvertrag.docx 554.56 KB

Schritt 3: Erfüllung der Auskunftspflicht vorbereiten

Das Unternehmen muss in der Lage sein, einer Person auf Anfrage Auskunft darüber zu geben, welche Daten über sie bearbeitet werden

Datenbearbeitungsverzeichnis erstellen Anmerkung: Das Datenbearbeitungsverzeichnis ist keine Pflicht für KMU, welche weniger als 250 Mitarbeitende beschäftigen. Es ist jedoch sehr empfehlenswert, dennoch ein solches Verzeichnis zu erstellen, da dessen Inhalte praktisch identisch mit den gesetzlichen Anforderungen an die Inhalte der Auskunftspflicht (Art. 25 revDSG)

Vorlagen zum Download für Schritt 3:

• Muster Datenbearbeitungsverzeichnis.xlsx 23.49 KB

Schritt 4: Datenschutzfolgeabschätzung

Eine Datenschutzfolgeabschätzung ist nur für jene Unternehmen Pflicht, welche eine der folgenden Voraussetzungen erfüllen: umfangreiche Überwachung öffentlicher Bereiche umfangreiche Bearbeitung besonders schützenswerter Daten, nämlich: Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten, biometrische Daten, die eine natürliche Person eindeutig identifizieren, Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen, Daten über Massnahmen der sozialen Hilfe

Sofern eine der Voraussetzungen zutreffend -> Datenschutzfolgeabschätzung vornehmen

Vorlagen zum Download für Schritt 4:

• Muster Datenschutzfolgeabschätzung.docx 570.73 KB

Weiterführende Informationen

Der Schweizerische Gewerbeverband SGV hat eine umfassende Sammlung von Vorlagen und ein Merkblatt mit detaillierten Infos für KMU sowie zur Verfügung gestellt. Die Vorlagen sind in den obigen Downloads verlinkt.

Weitere Links, Ansprechpartner und Downloads stellen wir Ihnen nachfolgend zur Verfügung

Link zum Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten: https://www.edoeb.admin.ch/edoeb/de/home/deredoeb/kontakt.html

Datenschutz- und Öffentlichkeitsbeauftragter Kanton Thurgau lic. iur. Fritz Tanner, Rechtsanwalt Regierungsgebäude Zürcherstrasse 188 8510 Frauenfeld Tel. 058 345 53 41 Bitte Javascript aktivieren!

Ansprechpartner zum Thema Datenschutz des Schweizerischen Gewerbeverbandes: Dieter Kläy Bitte Javascript aktivieren!