Ab 1. September 2023 tritt in der Schweiz ein neues Datenschutzgesetz (DSG) in Kraft. Unternehmen müssen sich ab diesem Datum an die revidierten Regelungen anpassen. Die Swisscom gab kürzlich dazu in einem Online-Talk mit Dr. iur. Christian Laux, Laux Lawyers AG, eine Übersicht und nannte sieben pragmatische Schritte im Umgang mit dem Datenschutzgesetz.
Ob mit Kunden telefoniert wird, Rechnungen bezahlt oder Bewerbungsgespräche geführt werden, Personendaten sind im Geschäftsalltag häufig im Spiel. Somit betrifft das neue Datenschutzgesetz (DSG) mit seinen Änderungen jedes KMU.
Das erste Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992. In der Zwischenzeit sind durch die breitere Nutzung von Internet und Smartphones im Alltag und auch durch soziale Netzwerke, Cloud-Dienste oder das Internet der Dinge neue Fragestellungen und Herausforderungen hinzugekommen, welche durch das neue Datenschutzgesetz abgedeckt werden sollen. Zudem müssen die Bestimmungen auch dem neuen Datenschutzgesetz der EU angeglichen werden.
Sieben pragmatische Schritte
Der Experte Christian Laux gab eine kurze Handlungsanleitung im Umgang mit dem neuen Datenschutzgesetz und skizzierte 7 pragmatische Schritte (im ersten Link am Schluss näher erklärt). Zentral für alle KMU sind vor allem die Punkte 1-4 und 7.
- Bestandesaufnahme / Liste
- Transparenz gegen aussen
- Transparenz gegen innen
- Unternehmen organisieren
- Dienstleistende organisieren
- Auslandsbezüge organisieren
- Datensicherheit herstellen
Unter Punkt 1) verschafft sich ein KMU zuerst einen Überblick, woher es Personendaten bezieht, wie es diese nutzt und wie diese gespeichert werden. Dazu könne man zum Beispiel Kurznotizen verfassen, erklärte der Fachmann Christian Laux. «Es empfiehlt sich ein Einstieg über die verwendete Software im Unternehmen», ergänzte er.
Um 2)+3) Transparenz gegen aussen und innen zu schaffen, muss anschliessend eine generelle Datenschutzerklärung verfasst werden. Dazu gebe es Vorlagen, erwähnte Christian Laux. «Es gibt Pflichtinformationen und (nicht obligatorische) hilfreiche Informationen für Kund*innen.» Eine mögliche Vorlage hat sein Unternehmen selbst erstellt: dp-services.ch/umsetzung/. Wichtig: Auch Mitarbeitende müssen die Datenschutzerklärung kennen und die Prozesse im Alltag müssen daran orientiert sein.
4) Unternehmen organisieren: Die Mitarbeitenden müssen wissen, wie man im Unternehmen mit Personendaten umgeht, also z.B., wie diese erfasst und abgespeichert werden. Dazu müssen die Mitarbeitenden geschult werden. Darum sollte jedes Unternehmen pragmatische und wirkungsvolle Richtlinien und Prozesse festlegen.
5. Dienstleistende organisieren: Hier besteht nur Handlungsbedarf, falls man Dienstleister im Auftrag Personendaten bearbeiten lässt. Dies muss durch entsprechende Verträge abgesichert bzw. abgedeckt werden.
6. Auslandsbezüge organisieren: Auch da besteht nur Handlungsbedarf, wenn Daten ins Ausland gelangen. «Solange es innerhalb der EU ist, ist die Situation recht einfach, da vieles gut geregelt ist», sagte Christian Laux dazu. 7. Datensicherheit herstellen: In diesem Punkt geht es um IT-Sicherheit. Der Experte riet dazu, sich diese Informationen oder Dienstleistungen auf jeden Fall bei Fachleuten bzw. extern zu holen
com/cb
Weitere Infos:
www.swisscom.ch/de/b2bmag/allgemein/kmu-datenschutzgesetz-umsetzen
Vorlagen: