Das neue Datenschutzgesetz tritt am 01. September 2023 in Kraft!

04.07.2023

Damit der freie Datenverkehr mit der Europäischen Union erhalten werden kann und Schweizer Unternehmen diesbezüglich wettbewerbsfähig bleiben, hat der Bund das bereits über 30 Jahre alte Datenschutzgesetz überarbeitet. Die Inkraftsetzung des Totalrevidierten Datenschutzgesetzes (revDSG) erfolgt am am 1. September 2023.

Besonders hervorzuheben sind die neuen Sanktionen: Wer eine betroffene Person zum Zeitpunkt der Datenerhebung nicht ordentlich informiert oder ihr nachträglich auf deren Anfrage keine genügende Auskunft über die erhobenen Daten erstattet, so wie es das Gesetz verlangt, kann sich – auf Antrag der betroffenen Person – mit Bussen bis zu 250'000 Franken konfrontiert sehen. Deshalb ist es für KMU wichtig, sich ihrer Pflichten bewusst zu sein, welche von den Sanktionsartikeln des revDSG direkt mit Busse bedroht werden:

  1. Datensicherheit I: Die KMU müssen für die Sicherheit ihrer Daten einstehen und diese vor unberechtigten, widerrechtlichen Übergriffen schützen (Art. 8 revDSG)
  2. Datensicherheit II: Werden externe Tools zur Verwaltung von Personendaten verwendet (z.B. Online-Mitgliederverwaltungssoftware), so muss dies vertraglich festgehalten sein. Das KMU ist verpflichtet, sich über die Datensicherheit des Vertragspartners zu vergewissern. (Art. 9 revDSG)
  3. Bekanntgabe von Daten ins Ausland: Gelangen Personendaten ins Ausland, selbst wenn die z.B. nur darauf zurückzuführen ist, dass sich die Server des Cloud-Dienstes, in welchem die Daten gespeichert werden, im Ausland befindet, so müssen die gesetzlichen Voraussetzungen eingehalten werden (Art. 16 und 17 revDSG)
  4. Informationspflicht: Bei jeder Bearbeitung (d.h. Erhebung, Speicherung, Veränderung oder Löschung) von Personendaten muss die betroffene Person entsprechend den gesetzlichen Anforderungen (Art. 19 revDSG) informiert werden, nämlich:
    1. die Identität und die Kontaktdaten des Bearbeiters;
    2. den Zweck der Datenbenutzung bzw. -bearbeitung.
    3. gegebenenfalls Liste mit Namen oder Kategorien von Empfängern, denen Personendaten bekanntgegeben werden (Mitarbeiter, Geschäftspartner, Zweigstellen etc.)
  5. Auskunftspflicht: Verlangt eine Person eine Auskunft darüber, ob und welche Daten über sie bearbeitet werden, so muss diese Auskunft nach gesetzlichen Vorschriften erfolgen, sofern keine Ausnahmen bestehen (Art. 25 - 27 revDSG)
  6. Datenschutzverletzungen melden: Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurden und dies zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten (Art. 24 revDSG)


Der Thurgauer Gewerbeverband bietet den Thurgauer KMU nachfolgend einen leicht verständlichen Leitfaden inkl. Vorlagen zum Download, mit welchen die Unternehmen das Risiko einer Gesetzesverletzung mindern können.

Was müssen KMU bis 250 Mitarbeiter in jedem Fall beachten und umsetzen?

Schritt 1: Informationspflicht

Prüfen, von welche Personendaten im Unternehmen erhoben oder bearbeitet werden (Kunden, Mitarbeiter, Beauftragte etc.)

    1. Liste von Orten erstellen, wo Personendaten erhoben oder gespeichert werden. Auch Drittanbieter berücksichtigen (z.B. Adressverwaltungssoftware)
    2. Bei Drittanbietern: prüfen oder nachfragen, ob die Daten im Ausland gespeichert werden

    An den jeweiligen Erhebungsstellen die Informierung gewährleisten

        zum Beispiel:

        1. Mitarbeiter, Vertragspartner -> Datenschutzerklausel im Vertrag/Arbeitsvertrag hinzufügen
        2. Kundenkontakte, Webseite («einfache» Kontakte) -> Datenschutzerklärung einblenden und akzeptieren lassen (per ankreuzen oder Unterschrift)
        3. Überall dann, wenn Daten bearbeitet werden und überall dort, wo Daten erhoben werden -> Datenschutzrichtlinie einblenden/akzeptieren lassen (= Informationspflicht erfüllen)

        Vorlagen zum Download für Schritt 1:

        Schritt 2: Datensicherheit gewährleisten

        Eigene Datensicherheit sicherstellen

          • Starke Passwörter, 2-Faktorauthentifizierung für verwenden

          Datensicherheit von externen Partnern und Drittanbietern (z.B. Online-Adressverwaltungsplattform) sicherstellen

            Jegliche Datenschutzverletzung, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, sofort dem EDÖB melden

            Vorlagen zum Download für Schritt 2:

            Schritt 3: Erfüllung der Aufkunftspflicht vorbereiten

            Das Unternehmen muss in der Lage sein, einer Person auf Anfrage Auskunft darüber zu geben, welche Daten über sie bearbeitet werden

              • Anmerkung: Das Datenbearbeitungsverzeichnis ist keine Pflicht für KMU, welche weniger als 250 Mitarbeitende beschäftigen. Es ist jedoch sehr empehlenswert, dennoch ein solche Verzeichnis zu erstellen, da da dessen inhalte praktisch identisch mit den gesetzlichen Anforderungen an die Inhalte der Auskunftspflicht (Art. 25 revDSG)

              Vorlagen zum Download für Schritt 3:

              Schritt 4: Datenschutzfolgeabschätzung

              Eine Datenschutzfolgeabschätzung ist nur für jene Unternehmen Pflicht, welche eine der folgenden voraussetzungen erfüllen:

                1. umfangreiche Überwachung öffentlicher Bereiche
                2. umfangreiche Bearbeitung besonders schützenswerter Daten, nämlich:
                  • Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
                  • Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
                  • genetische Daten,
                  • biometrische Daten, die eine natürliche Person eindeutig identifizieren,
                  • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
                  • Daten über Massnahmen der sozialen Hilfe

              Vorlagen zum Download für Schritt 4:

              Weiterführende Informationen

              Der Schweizerische Gewerbeverband SGV hat eine umfassende Sammlung von Vorlagen und ein Merkblatt mit detaillierten Infos für KMU sowie zur Verfügung gestellt. Die Vorlagen sind in den obigen Downloads verlinkt.

              Weitere Links, Ansprechpartner und Downloads stellen wir Ihnen nachfolgend zur Verfügung

              Link zum Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten:

              https://www.edoeb.admin.ch/edoeb/de/home/deredoeb/kontakt.html

              		Datenschutz- und Öffentlichkeitsbeauftragter Kanton Thurgau
              lic. iur. Fritz Tanner, Rechtsanwalt
              Regierungsgebäude
              Zürcherstrasse 188
              8510 Frauenfeld
              Tel. 058 345 53 41
              Bitte Javascript aktivieren!              		Ansprechpartner zum Thema Datenschutz des Schweizerischen Gewerbeverbandes:
              Dieter Kläy
              Bitte Javascript aktivieren!




              Zur Infoseite des SGV

              Umfassende Informationen, Ansprechpartner und Vorlagen zum revidierten Datenschutzgesetz

              Merkblatt neues Datenschutzgesetz

              Das detaillierte Merkblatt des SGV zum revidierten Datenschutzgesetz

              Dokumentation des Bundes

              KMU-Portal zum Thema Datenschutzgesetz des Eidgenössischen Departementes für Wirtschaft, Bildung und Forschung

              Entwurf des revidierten Datenschutzgesetz

              Der Gesetzestext tritt am 01. September 2023 in Kraft