Switzerland: Gekommen Um Zu Bleiben: Das Neue Datenschutzgesetz Gilt Ab Heute

Das Inkrafttreten kommt nicht überraschend. Aber die Zeit vergeht schnell. Welche Konsequenzen drohen, wenn die ab heute geltenden Vorgaben nicht eingehalten werden?

Am 1. Juli 1993 ist das erste Datenschutzgesetz in Kraft getreten. Und etwas mehr als 30 Jahre später kommt die umfassende Renovierung. Die Adresse ist noch dieselbe: Wie sein Vorgänger wird das totalrevidierte Datenschutzgesetz als «DSG» abgekürzt. Auf dem Grundstück aber ist kein Stein auf dem anderen geblieben. Das neue Haus ist grösser, hat mehr Zimmer, ein paar verwinkelte Gänge und sogar einen Kerker (mit den neuen Strafbestimmungen).

Als Unternehmen und vor allem als KMU stelle ich mir die Frage: Bin ich bereit einzuziehen? Und was passiert, wenn ich auf den Umzugstag noch nicht alles organisiert, beschriftet und verpackt habe?

Falls mein KMU die Vorgaben der europäischen Datenschutzgrundverordnung («DSGVO») bereits einhält, ist ein grosser Teil der Arbeit bereits erledigt. Selbst wenn am 1. September 2023 noch nicht alle Anpassungen abgeschlossen sind, bestehen die erforderlichen Strukturen. Damit sollten die wichtigsten Risiken abgedeckt sein.

Wenn das Thema Datenschutz bisher wenig beachtet worden ist, bestehen zwar Risiken, aber es gibt auch gute Nachrichten. Nachdem einige Projekte auf den 1. September 2023 abgeschlossen worden sind, haben Fachleute wieder etwas mehr Kapazität und man profitiert von den Erfahrungen, die sie bei der Beratung unterschiedlicher KMU erworben haben. Für den Datenschutz gibt es keine schnellen, einfachen und gleichzeitig günstigen Lösungen. Der Prozess führt über das Verständnis des eigenen Geschäfts und der erhobenen und benötigten Daten hin zu einer möglichst guten Datenschutzpraxis. Weil die Vorgaben teils widersprüchlich sein können, ist eine hundertprozentige Umsetzung realistischerweise nicht zu erreichen.

Eine risikobasierte Analyse des Handlungsbedarfs beginnt bei den Strafbestimmungen, die im neuen DSG enthalten sind. Gedanken muss man sich machen, wie die betroffenen Personen über die Beschaffung von Daten informiert werden. Das kann mit einer Datenschutzerklärung geschehen, aber auch auf andere Weise. Weil die falsche und unvollständige Auskunft strafbar sein kann, muss das unbedingt angegangen werden.

Ebenfalls zentral ist die Beantwortung von Auskunftsersuchen, wenn solche eingehen. Werden diese Anfragen nicht ernst genommen, ist das schlecht für den Ruf. Die falsche oder unvollständige Auskunft kann aber auch strafbar sein. Deshalb müssen Prozesse für diese Anfragen aufgesetzt werden.

Allerdings: Die erwähnten Übertretungen werden nur auf Antrag verfolgt, d.h. die Betroffenen müssen sich aktiv an die Strafverfolgungsbehörden wenden. Solange das KMU ein gutes Verhältnis zu seinen Kunden hat, droht keine unmittelbare Gefahr. Wenn die Datenschutzfragen nicht angegangen werden, lässt man sich als Unternehmen aber eine (vermeidbare) Flanke offen, die in Zukunft Probleme verursachen wird.