Die Auswirkungen des revidierten Datenschutzgesetzes auf kleine Unternehmen in der Schweiz

Ausgangslage

Das erste Datenschutzgestz (DSG) trat 1992 in Kraft und hat sich seither kaum verändert. Mit dem Fortschritt der Digitalisierung wurde es jedoch Zeit für eine Revision. Seit dem 1. September 2023 gelten die Änderungen des DSG, die nicht nur Privatpersonen, sondern auch Unternehmen in der Schweiz betreffen. Um diesen Änderungen gerecht zu werden, sind sowohl Zeit als auch Fachwissen erforderlich. Große Unternehmen haben in der Regel das Kapital für Beratungen, oder verfügen über eigene Compliance-Abteilungen. Kleine Unternehmen hingegen haben oft weder die finanziellen noch die personellen Ressourcen, um solche Themen zu bearbeiten.

Zielsetzung

Ziel dieser Arbeit war es also, die wichtigsten Änderungen des revidierten DSG zu analysieren und greibar und verständlich zu machen. Daraus entstand ein Leitfaden, der kleinen Unternehmen dabei hilft, sein Prozesse anzupassen und somit dem Datenschutzgesetz gerecht zu werden. Zudem wird gezeigt, wie das Thema Datenschutz bereits in frühen Phasen in erfolgreiches Projektmanagement integriert werden kann.

Methodik

Um das neue Datenschutzgesetz zu verstehen wurde zu Beginn eine ausgiebige Literaturrecherche durchgeführt. Dabei wurde nicht nur das Gesetz an sich analysiert, sondern Vergleiche vom Bund, von Kanzleien oder Beratungs-Firmen eingeholt.

Zudem wurden Gespräche mit direkt Betroffenen geführt, um die verschiedenen Sichtweisen und Erfahrungen zu spüren. Darunter war neben einer Datenschutzexpertin, die sich mit den Anpassungen in ihrem Unternehmen beschäftigt hat auch ein Datenschutzexperte, der Firmen bei der Umstellung berät und ein Product Owner, der sich mit dem agilen Projektmanagement bestens auskennt. Diese Gespräche halfen dabei, die gemachten Erkenntnisse zu festigen.

Anschliessend wurde der zustandegekommene Leitfaden mit den abgeleiteten Handlungsempfehlungen vom Auftraggeber gelesen und getestet, um Verständnisfragen oder Unklarheiten zu beseitigen.

Ergebnisse

Die Analysen haben gezeigt, dass es verschiedene Handlungen gibt, die ein Unternehmen vornehmen muss, um dem revidierten DSG treu zu bleiben.

Zu den wichtigsten gehören die folgenden Aspekte:

• Einhaltung der Informationspflicht: Unternehmen müssen in jedem Fall ihre Benutzer darüber informieren, welche Daten über sie gesammelt, gespeichert, verarbeitet und weitergegeben werden. In den meisten Fällen geschieht dies über eine Datenschutzerklärung auf der Webseite.
• Einhaltung der Auskunftspflicht: Eine betroffene Person hat das Recht bei einem Unternehmen um Auskunft zu fragen. Für ein Unternehmen bedeutet das, das alle Daten, die mit dieser Person zusammenhängen, übermittelt werden müssen. Solange dies kein ausserordentlichen Aufwand bedeutet, muss das Unternehmen dieser Pflicht innerhalb von 30 Tagen kostenlos gerecht werden.
• Erweiterung der besonders schützenswerten Daten: Durch die Digitalisierung sind unter anderem Daten wie genetische oder biometrische Informationen zu den besonders schützenswerten Daten hinzugekommen.
• Privacy by Design & Privacy by Default: Diese Grundsätze sollen dabei helfen datenschutzrechtliche Massnahmen möglichst einfach zu implementieren. Dazu zählt das frühzeitige Planen von Abläufen in Bezug auf Datenschutz (Privacy by Design) und das Anwenden der datenschutzfreundlichsten Voreinstellung (Privacy by Default).
• Sanktionen: Gegenüber dem vorherigen Datenschutzgesetz werden die Sanktionen nicht mehr dem Unternehmen auferlegt, sondern der betreffenden Einzelperson direkt. Wer sich also nicht an das DSG hält oder vorsätzlich handelt, riskiert eine Geldstrafe von bis zu 250'000 CHF.

Zudem hat sich gezeigt, dass sich der Datenschutz bereits früh in Projekte integrieren lässt. Ein erfolgreiches Projektmanagement, sei dies agil oder klassisch, profitiert von einer frühen Umsetzung der Massnahmen in der entsprechenden Projekt-Phase. Dadurch kann sichergestellt werden, dass das Projekt datenschutzkonform wird und verhindert nachträglich auftretende Aufwände oder Risiken.