revDSG: Inkrafttreten am 1. September 2023 – To Do’s für KMUs

04.03.2022 von Vanessa Walter

Jetzt wurde es bestätigt: Das revidierte Datenschutzgesetz soll per 1. September 2023 in Kraft treten. Bis zu diesem Datum sollte Dein Unternehmen die Anforderungen des neuen Datenschutzgesetzes umgesetzt haben. In diesem Beitrag informieren wir Dich über die wichtigsten Umsetzungsmassnahmen für Dein Unternehmen.

Was sind die wichtigsten Neuerungen?

Das neue Datenschutzgesetz soll den veränderten technologischen sowie gesellschaftlichen Verhältnissen angeglichen werden. Im Fokus stehen dabei die erhöhte Transparenz bei Datenbearbeitungen und die gesteigerte Selbstbestimmung betroffener Personen.

Das revDSG beinhaltet die folgenden wichtigsten Neuerungen:

  • Generelle Transparenzpflichten

    Im Rahmen der Transparenzpflichten müssen Unternehmen ihre Mitarbeitenden über die Bearbeitung von Personendaten informieren (Art. 19 revDSG).

  • Bussen bei der Verletzung von Informations-, Auskunfts- und Sorgfaltspflichten

    Die Bussen für vorsätzliche Verletzungen belaufen sich je nach Art der Verfehlung auf bis zu CHF 250`000.00 (vgl. Art. 60 ff. revDSG).

  • Strengere Regeln zum Ausland-Transfer von Personendaten

    Wenn Personendaten ins Ausland bekannt gegeben werden, soll deren Schutz gewährleistet werden können (vgl. dazu Art. 16 ff. revDSG sowie den Beitrag: Datenexporte: Eine Anleitung).

  • Dokumentationspflichten, insbesondere bei risikoreichen Vorhaben

    Die Dokumentationspflicht beinhaltet insbesondere die Pflicht, dass Du über Deine Datenbearbeitungstätigkeit ein Verzeichnis führst (vgl. dazu ausführlich den Beitrag:  Erläuterungen zur Checkliste Datenschutzcompliance).

Wenn die Datenbearbeitungen Deines Unternehmens bereits DSGVO-konform sind (vgl. den Beitrag: Ist die Datenschutzgrundverordnung für meine Firma relevant?), hast Du keinen grossen Nachholbedarf.

 

Wie gehst Du am besten vor?

  1. Übersicht verschaffen: Zuerst musst Du wissen, welche Personendaten Du bearbeitest, von wo Du sie hast und wo Du sie speicherst. Dies hilft Dir dabei, auf ein Auskunfts- oder Löschgesuch einer Person zu reagieren, da Du stets weisst, von wem Du welche Daten wo hast.

    a) Welche Kategorie von Personendaten bearbeitest Du?

    b) Von wo oder wem erhältst Du diese Daten?

    c) Wo und wie speicherst Du diese Daten?

    d) Wem gibst Du wie Zugriff auf diese Daten?

    e) An welche Dritte gibst Du diese Daten weiter?

    f) Wann archivierst und löschst Du diese Daten?

  2. Risiken eruieren: Du kannst Dich hierfür unter anderem an den Schutzzielen der Datenschutzverordnung orientieren (Vertraulichkeit, Datenintegrität, Datenverfügbarkeit etc.).

    Beispiele:
    Je nach Speicherort kann ein Risiko das Abhandenkommen von Personendaten sein. Haben zu viele Personen Zugriff auf heikle Daten, ist das Risiko der potentielle Missbrauch von Personendaten.

    Weisst Du nicht, welche Daten Du wo hast, kannst Du auch keine umfassende Auskunft erteilen, wenn sich eine betroffene Person meldet. Das Risiko ist dann die Busse, die Dir wegen der in Kauf genommenen, mangelhaften Auskunft droht.

  3. Massnahmen implementieren: Überlege Dir, welche Massnahmen am effektivsten sind, um die eruierten Risiken zu minimieren. Das kann beispielsweise die Implementation eines Berechtigungs- und Rollenkonzepts oder das Führen eines Bearbeitungsverzeichnisses sein.

  4. Risiken und Massnahmen dokumentieren: Dokumentiere, welche Risiken bestehen und mit welcher Massnahme dem entsprechenden Risiko begegnet wird.

    Ein Beispiel dazu:
    Risiko: Deine Mitarbeitenden benutzen im Homeoffice private Geräte, welche nicht über ausreichenden Schutz verfügen.

    Massnahme: Du stellst Deinen Mitarbeitenden Firmengeräte zur Verfügung und dokumentierst dies in einem Geschäftsleitungsbeschluss.

  5. Mitarbeitende (immer wieder) sensibilisieren: Die Mitarbeitenden (aber auch die Geschäftsleitung) müssen die Risiken kennen und die neuen Massnahmen und Prozesse mittragen.

    Merke: Datenschutz beginnt immer mit den einfachsten    Sicherheitsvorgaben      wie bspw. Passwortschutz.

  6. Betroffene informieren: Betroffene Personen müssen darüber informiert werden, was mit ihren Daten geschieht und warum, soweit es nicht offensichtlich ist.

    a) Wer ist für den Datenschutz verantwortlich?

    b) Zu welchem Zweck werden Daten erhoben/bearbeitet?

    c) An wen werden Daten bekannt gegeben?

    d) Wohin werden Daten exportiert?

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum