Das revidierte Schweizer Datenschutzgesetz (DSG) ist seit dem 1. September 2023 in Kraft. Obwohl keine neue gesetzliche Frist «DSG Umsetzung 2026» existiert, zeigen Studien, dass über 60% der Schweizer KMU ihre Prozesse noch nicht vollständig an die neuen Vorgaben angepasst haben und bis 2026 mit einer verstärkten Durchsetzung rechnen müssen.
01 Die neue Realität: DSG und seine Tragweite
Das revidierte Schweizer Datenschutzgesetz (DSG) ist am 1. September 2023 in Kraft getreten. Viele Schweizer KMU nutzen die verbleibende Zeit bis etwa 2026, um ihre Datenschutzkonformität umfassend zu etablieren und damit drohenden Sanktionen vorzubeugen.
Verstösse gegen das DSG können für Verantwortliche mit Bussen von bis zu 250’000 CHF geahndet werden. Diese Bussgelder treffen direkt die handelnden natürlichen Personen im Unternehmen, nicht die juristische Person selbst.
Viele KMU schätzen den Aufwand oft falsch ein oder vernachlässigen das Thema aus Kapazitätsgründen. Der Schutz personenbezogener Daten ist jedoch keine Option mehr, sondern eine rechtliche Pflicht und ein Vertrauensfaktor für Kunden.
02 Kernpunkte der Revision: Was ändert sich wirklich?
Das revidierte DSG stärkt die Rechte betroffener Personen und präzisiert die Pflichten von Unternehmen. Es orientiert sich stark an der EU-Datenschutz-Grundverordnung (DSGVO), bleibt jedoch flexibler in der Umsetzung.
Neu sind die Prinzipien «Privacy by Design» und «Privacy by Default» gesetzlich verankert. Unternehmen müssen Datenschutz bereits bei der Entwicklung von Systemen und Prozessen berücksichtigen und standardmässig datenschutzfreundliche Voreinstellungen wählen.
Bei hohem Risiko für die Persönlichkeit oder Grundrechte ist eine Datenschutz-Folgenabschätzung (DSFA) obligatorisch. Diese Analyse identifiziert und minimiert potenzielle Risiken vor der Datenbearbeitung.
Jedes KMU muss ein Verzeichnis sämtlicher Bearbeitungstätigkeiten führen. Dieses Register dokumentiert Art, Zweck, Kategorien und Empfänger der personenbezogenen Daten, ähnlich dem Verzeichnis nach Art. 30 DSGVO.
| Aspekt | Altes DSG (bis 31.08.2023) | Neues DSG (ab 01.09.2023) |
|---|---|---|
| Schutzobjekt | Personenbezug auf juristische und natürliche Personen | Nur natürliche Personen |
| Sanktionen | Gering, nur auf Antrag | Bis CHF 250’000, von Amtes wegen |
| Transparenz | Weniger detailliert | Detaillierte Informationspflichten |
| Pflichten | Geringere Dokumentation | Register, DSFA, Privacy by Design/Default |
03 Ihr Aktionsplan: Erste Schritte zur Compliance
Beginnen Sie mit einer gründlichen Bestandsaufnahme aller im Unternehmen bearbeiteten Personendaten. Klären Sie, welche Daten gesammelt, wo gespeichert und wer Zugriff darauf hat.
Überprüfen Sie für jede Datenbearbeitung die rechtliche Grundlage. Dies kann die Einwilligung der betroffenen Person, die Erfüllung eines Vertrages oder ein überwiegendes öffentliches oder privates Interesse sein.
Passen Sie interne Prozesse an die neuen Anforderungen an, insbesondere bei der Datenlöschung, der Datenzugänglichkeit und der Meldung von Datenschutzverletzungen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
04 Praktische Umsetzung: Dateninventar und Prozesse
Erstellen Sie ein detailliertes Dateninventar. Dies sollte alle Datensätze umfassen, die personenbezogene Informationen enthalten, von Kundendaten über Mitarbeiterdaten bis hin zu Marketinglisten.
Implementieren Sie geeignete technische und organisatorische Massnahmen (TOM). Dazu gehören Verschlüsselung, Pseudonymisierung, Zutrittskontrollen und regelmässige Mitarbeiterschulungen.
Prüfen Sie alle Verträge mit Auftragsbearbeitern wie Cloud-Anbietern oder Marketing-Agenturen. Stellen Sie sicher, dass diese DSG-konforme Datenschutzvereinbarungen (ADV) enthalten.
Aktualisieren Sie Ihre Datenschutzerklärung auf der Webseite. Sie muss transparent und verständlich informieren, welche Daten zu welchem Zweck bearbeitet werden und welche Rechte betroffene Personen haben.
05 Häufige Fehler und wie man sie vermeidet
Viele KMU unterschätzen den Implementierungsaufwand. Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der adäquate Ressourcen bindet.
Eine lückenhafte oder fehlende Dokumentation der Bearbeitungstätigkeiten und getroffenen Massnahmen ist ein häufiger Schwachpunkt. Der EDÖB kann diese jederzeit einfordern.
Mitarbeitende sind oft das grösste Sicherheitsrisiko. Regelmässige Schulungen und Sensibilisierungskampagnen sind unerlässlich, um Datenschutzverletzungen durch menschliches Versagen zu minimieren.
Vorsicht bei der unkritischen Übernahme von DSGVO-Vorlagen. Das Schweizer DSG ist zwar ähnlich, weist aber spezifische Unterschiede auf, die zwingend berücksichtigt werden müssen.
06 Der Weg nach vorne: Langfristige Strategie
Datenschutz muss als integraler Bestandteil der Unternehmensstrategie verstanden werden. Eine proaktive Haltung stärkt das Kundenvertrauen und minimiert operationelle sowie rechtliche Risiken.
Ziehen Sie bei Bedarf externe Datenschutzexperten hinzu. Diese können spezifische Risikobereiche identifizieren und bei der Implementierung sowie der kontinuierlichen Anpassung unterstützen.
Überprüfen Sie Ihre Datenschutzmassnahmen regelmässig und passen Sie diese an neue Technologien oder gesetzliche Entwicklungen an. Datenschutz ist ein lebendiger Prozess, der stetiger Pflege bedarf.
Quellen & weiterführende Links
Ist Ihr KMU bereit für das DSG?
Wir unterstützen Sie dabei, die Datenschutzanforderungen effizient und rechtssicher umzusetzen.