Das neue Datenschutzgesetz tritt am 1. September in Kraft. Es betrifft auch KMU!

Ab 01.09.2023 gilt das neue Datenschutzgesetz. Es läutet eine neue Ära ein – aus Sicht von KMU, welche das Datensammeln nicht zum Geschäftsmodell erhoben haben, ein administrativer Overkill, aber leider Pflicht.

Der Datenschutz wird in drei Erlassen geregelt: Dem Datenschutzgesetz (DSG), der Datenschutzverordnung (DSV) und der (in der Regel nicht relevanten) Verordnung über Datenschutzzertifizierungen.

Einige wichtige Grundsätze:

Nur Privatpersonen werden durch das Datenschutzgesetz geschützt – der Grundgedanke war ursprünglich, diese vor «Datenkraken» wie Google, Facebook, Instagram, TikTok, LinkedIn usw. zu schützen. Denn mit entsprechenden Daten lassen sich Nutzerprofile erstellen. Google weiss in vielen Fällen (insbesondere bei lockerem Umgang mit Informationen) bereits vor den Betroffenen, was diese wahrscheinlich nächstens kaufen werden...

Betroffene Personen sind zu informieren, dass und zu welchen Zwecken Daten über sie gesammelt werden.

Das Sammeln und Bearbeiten von Personendaten muss gemessen am kommunizierten Zweck verhältnismässig erfolgen.

Daten sind zu anonymisieren oder vernichten, wenn sie für die kommunizierten Bearbeitungszwecke nicht mehr nötig sind.

Problematisch kann sowohl das Sammeln als auch das Bearbeiten von Daten sein. Als Bearbeitung gilt jeder Umgang mit Personendaten. Das Gesetz nennt insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.

Die Datenerhebung und -weitergabe ist nicht problematisch, wenn sie gesetzlich vorgeschrieben ist. Dazu gehören beispielsweise sämtliche vom Arbeitgeber gesammelten erforderlichen Daten im Zusammenhang mit Lohnmeldungen an die gesetzlichen Sozialversicherungen, Lohnausweisen oder Steuererklärungen.

Erhöhte Vorsicht ist geboten bei besonders schützenswerten Personendaten. Dazu gehören:

  1. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
  2. Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
  3. genetische Daten,
  4. biometrische Daten, die eine natürliche Person eindeutig identifizieren,
  5. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
  6. Daten über Massnahmen der sozialen Hilfe.

Werden besonders schützenswerte Personendaten bearbeitet oder Daten zur Erstellung von Persönlichkeitsprofilen verwendet, ist die ausdrückliche Einwilligung der betroffenen Person nötig.

Problematisch ist somit auch jede Weitergabe von Daten, welche dazu verwendet werden könnten, Persönlichkeitsprofile zu erstellen (die Möglichkeit reicht!). So z.B. die Sammlung von Daten im Zusammenhang mit der Verwendung von Kreditkarten.

Kein Schutz besteht im Grundsatz für bereits öffentliche Personendaten, sofern diese nicht zu Unrecht veröffentlicht wurden. Heisst insbesondere bei Daten, welche eine Person selbst in einem für jedermann zugänglichen Profil eines sozialen Netzwerks publiziert. Wenn gestützt darauf eine Firma zum Geburtstag gratuliert oder (weil die Religion publiziert wurde) zu einer religiösen Veranstaltung einlädt, ist dies unseres Erachtens in Kauf zu nehmen. Wir sind der Meinung, die Firma müsst im Falle des Geburtstags in der Datenschutzerklärung nichts deklarieren, hinsichtlich der Einladung zu einer religiösen Veranstaltung hingegen darauf hinweisen, dass sie solche Daten für eigene Zwecke sammelt, da es sich bei der religiösen Ansicht um besonders schützenswerte Personendaten handelt. Die vertiefte Bearbeitung solcher Daten, beispielsweise zur Erstellung eines Persönlichkeitsprofils, wäre hingegen kritisch, ebenso die Weitergabe einer Sammlung von Personen nach religiösen Zugehörigkeiten an Dritte.

Jede Firma sollte eine/-n Verantwortliche/-n für den Datenschutz im Unternehmen bestimmen und damit für Interne (Fragen und Entscheide zum Datenschutz) und Externe (Personen, über welche Daten gesammelt werden könnten) eine Anlaufstelle schaffen. Die wichtigsten Prozesse sollten definiert werden und die bezeichnete Person über vertiefte Kenntnisse im Datenschutz verfügen. Es kann sich bei dieser Person auch um eine externe handeln, doch muss sie mit dem Unternehmen entsprechend vertraut sein und ihre interne Verantwortung wahrnehmen.

Nur Firmen mit weniger als 250 Mitarbeitenden (Personen, nicht Pensen) müssen kein umfassendes Verzeichnis aller Datenbearbeitungen führen. Doch kritische Bearbeitungen sind auch da aufzuzeichnen.

Werden Auftragsbearbeiter eingesetzt (so beispielsweise für die Lohnbuchhaltung), ist ratsam, von diesen eine Datenschutzerklärung zu verlangen, um sich dereinst nicht dem Vorwurf der leichtsinnigen Verletzung der eigenen Richtlinien auszusetzen.

Bei Verletzung drohen hohe Bussen. Wichtig: In der Regel treffen Bussen (bis CHF 250'000) die für die Verletzung verantwortliche Person. Verantwortlich wird in der Regel diejenige Person sein, welche für die Ausgestaltung und Sicherstellung der Einhaltung der Regeln zum Datenschutz verantwortlich ist. Wurde diese nicht bezeichnet, dürfte es das zuständige Geschäftsleitungsmitglied, möglicherweise in gewissen Konstellationen gar den Verwaltungsrat (Oberleitung) treffen. Nur in Ausnahmefällen (bei Bussen von maximal CHF 50’000) und falls sich die für die Verletzung verantwortliche Person nur mit unverhältnismässigem Aufwand ermitteln lässt, können Bussen dem Geschäftsbetrieb auferlegt werden.

Für Arbeitgeber ist im Umgang mit ihren Mitarbeitenden wichtig, dass auch diese durchs neue DSG geschützt und über die Natur und den Zweck der über sie gesammelten (gesetzlich nicht vorgeschriebenen) Daten zu informieren sind. So beispielsweise im Falle einer laufenden Rapportierung der Arbeitsleistungen, wenn diese nicht nur zur Leistungsverrechnung an Kunden, sondern beispielsweise auch zur Messung der Arbeitsleistung, Pünktlichkeit und Absenzhäufigkeit verwendet wird. Geschäftsreglemente sind entsprechend kritisch zu prüfen.

Die Rechtsprechung wird das neue DSG in vielen Details präzisieren müssen. Ein Beispiel: Betreibt eine Firma im Internet einen Verkaufsshop und sammelt dabei mittels Pflichtfeldern nebst Name, Vorname und Adresse auch die für den eigentlichen Zweck unnötigen Informationen «Geburtsdatum» und «Telefonnummer», ohne dazu in der Datenschutzerklärung Angaben zu machen, dürfte dies unverhältnismässig und somit unzulässig sein. Anders, wenn in besagtem Shop Alkohol verkauft wird: Die Abfrage des Geburtsdatums ist wegen des gesetzlich definierten Mindestalters nötig, hinsichtlich der Telefonnummer könnte «Möglichkeit zur Rückfrage zwecks Überprüfung des Alters» geltend gemacht werden. Veräussert die Firma ohne entsprechende Deklaration in der Datenschutzerklärung die erhobenen Daten an Dritte weiter, verstösst sie mangels Offenlegung des Zwecks der Datenbearbeitung gegen das DSG.

Es wird interessant sein, zu beobachten, ob sich der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) künftig mit einer Flut von Eingaben durch unnötige Angaben genervter Personen wird herumschlagen müssen. Was harmlos klingt, ist ernst zu nehmen: «Angeschwärzten» Firmen droht, abgesehen von Bussen, auf entsprechende Aufforderung des EDÖB ein erheblicher administrativer Aufwand zur Verfahrenserledigung.

Auch wenn sogenanntes Profiling eine durchschnittliche KMU kaum interessieren wird, sollte sie sich mit ihrer Datenschutzerklärung befassen. So wird beispielsweise oft – mit oder ohne Wissen der KMU – im Zusammenhang mit der eigenen Homepage Google Analytics eingesetzt, ein Tool, welches automatisch etliche Analysen erstellt; darauf wäre hinzuweisen.

Zu beachten ist: Wann auch immer Daten ohne gesetzliche Verpflichtung an andere als die betreffenden Personen (z.B. Lohnausweis oder Steuererklärung an ein Kreditinstitut) herausgegeben werden, ist Vorsicht angesagt; die betreffende Person muss vorgängig einwilligen.

Einige Handlungsempfehlungen für KMU:

  • Bestimmen Sie den/die Verantwortliche/-n für Datenschutz im Unternehmen. Diese Person muss sich mit dem neuen DSG befassen.
  • Informieren Sie ihre Mitarbeitenden in geeigneter Weise und Umfang zu Bedeutung und Inhalt des neuen DSG.
  • Analysieren Sie die datenbezogenen Prozesse im Unternehmen. Wo bestehen Risiken hinsichtlich Privatpersonen in den Bereichen a) Sammeln von Daten (z.B. Homepage), b) Bearbeiten von Daten (inkl. Daten von Mitarbeitenden) und c) Weitergabe von Daten.
  • Verzichten Sie auf das Sammeln von Daten, welche für Ihre Geschäftstätigkeit unnötig sind.
  • Erstellen oder überprüfen Sie Ihre Datenschutzerklärung(en): Entspricht sie den tatsächlichen Gegebenheiten? Weisen Sie in der Erklärung eventuell auf die in Ihrem Unternehmern für den Datenschutz verantwortliche Stelle hin.
  • Holen Sie nötigenfalls die Zustimmung von Kunden zur unverschlüsselten Übermittlung von Daten ein oder übermitteln Sie schützenswerte Daten ausschliesslich verschlüsselt.
  • Verlangen Sie von externen Datenbearbeitern oder -speicherern eine Datenschutzerklärung und vergleichen Sie diese mit ihren eigenen Richtlinien. Achten Sie auf Konsistenz.
  • Bei externen Datenspeicherern: Wo liegen die Daten? Wird dem entsprechenden Land in der Liste gem. Anhang 1 zur DSV ein angemessener Datenschutz attestiert?
  • Überarbeiten Sie wo nötig ihre Auftragsbestätigungen.

Die im Internet kursierenden Datenschutzerklärungen sind meist viel zu umfangreich und bieten damit weniger Schutz als Problempotential. Eine sinnvolle Datenschutzerklärung stützt sich auf die bei der betreffenden Unternehmung tatsächlich vorherrschende Situation bezüglich Datensammlung und -bearbeitung – nicht mehr und nicht weniger.

Der Autor des vorliegenden Artikels hat anlässlich des Unternehmerzyklus’ «Neuerungen» im Januar 2023 einen Teil seines Referats dem Thema gewidmet. Wir haben den entsprechenden Referatsteil auf unserer SFW-Streaming-Plattform als kostenloses Video hochgeladen. Das Referat bietet, wie der Artikel selbst,  keine rechtliche Gewähr – Datenschutz ist komplex, das Gesetz neu, die Erkenntnisse wachsen laufend.

David Rosental, ein renommierter Experte für Datenschutzrecht, hat eine Übersicht zum neuen DSG erstellt, welche hilfreich ist. Diese findet sich hier. Zudem hat er im Jusletter der Weblaw AG im November 2020 einen ausführlichen wissenschaftlichen Beitrag zum Thema verfasst.

Grundkenntnisse im Datenschutz sind für jede KMU Pflicht – das neue Gesetz tritt bereits am 1. September 2023 in Kraft. Wenden Sie sich an Ihre/-n Berater/-in innerhalb der KMU Partner Group AG, falls Sie Unterstützung benötigen.

Verfasser: Wolfgang Hayoz

Zurück