blog search

Follow us

RSS
blog search
Karriere
Menu
Home > Wirtschaftsberatung > Vom Papiertiger zum Gesetz mit Biss Karriere

Claudia Mattig

dipl. Lm.-Ing. ETH,
Master of Arts HSG in Accounting and Finance,
dipl. Wirtschaftsprüferin



Follow us

RSS
RSS

Claudia Mattig

dipl. Lm.-Ing. ETH,
Master of Arts HSG in Accounting and Finance,
dipl. Wirtschaftsprüferin



10.2021
 

Vom Papiertiger zum Gesetz mit Biss

 

Im Herbst 2020 wurde das neue Datenschutzgesetz (revDSG) verabschiedet und die Referendumsfrist ist sodann im Januar 2021 ungenutzt abgelaufen. Da die Vernehmlassungsfrist für die revidierten Verordnungen zum revDSG (revVDSG) noch bis am 14. Oktober 2021 dauert und damit die finalen Versionen der revVDSG noch ausstehend sind, ist damit zu rechnen, dass das neue Gesetz erst in der zweiten Hälfte 2022 in Kraft treten wird. Da es keine Übergangsfristen geben wird, sind bereits heute die Vorarbeiten für die erforderlichen Anpassungen am Datenschutz-Setup vorzunehmen. 

Das revDSG bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, die sich in der Schweiz befinden und deren Daten durch Private oder den Staat bearbeitet werden. Daten von juristischen Personen sind neu nicht mehr geschützt.

 

Vier Punkte, die Sie bzw. Ihr KMU unbedingt über das revDSG wissen müssen: 

 

1. Sind kleine Unternehmen ausgenommen?

Nein. Alle Unternehmen, die Personendaten bearbeiten, unterstehen dem revDSG. Das bedeutet, dass sich grundsätzlich jedes Unternehmen unabhängig von seiner Grösse mit dem Thema auseinandersetzen sollte, denn jedes Unternehmen verfügt über eine Vielzahl von Personendaten.

 

2. Was muss ein KMU nun tun?

Zunächst sind eine Bestandsaufnahme der Bearbeitung von Personendaten im Unternehmen und eine Risikobewertung notwendig, um die Anforderungen an die Datenschutz-Compliance zu bestimmen. Ausserdem können mittels Soll-Ist-Vergleich die erforderlichen Umsetzungsarbeiten identifiziert werden. Höhere Compliance-Anforderungen liegen z.B. vor, wenn Unternehmen eine grosse Menge an Personendaten bearbeiten oder bei Unternehmen die besonders schützenswerte Personendaten bearbeiten. 

 

Zudem muss ein KMU, dessen Datenbearbeitung ein Risiko für Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt, in jedem Fall ein Datenverarbeitungsverzeichnis führen. Besteht dieses Risiko nicht, so sind Unternehmen mit weniger als 250 Mitarbeitern von dieser Pflicht ausgenommen.

 

3. Was ist betreffend Datenschutzerklärung zu beachten?

Neu muss jedes Unternehmen eine Datenschutzerklärung haben, da die betroffene Person bei der Beschaffung von Personendaten über die Datenbearbeitung informiert werden muss. Diese Mindestinformationspflicht ist strafbewehrt.

 

In der Datenschutzerklärung muss mindestens über folgende Punkte informiert werden:

  • die Identität und Kontaktdaten des Verantwortlichen

  • der Bearbeitungszweck

  • falls Daten nicht bei der betroffenen Person beschafft werden: Die Kategorien der Daten

  • falls Daten an Dritte bekanntgegeben werden: Der Empfänger oder die Kategorien von Empfängern

  • falls Daten ins Ausland übermittelt werden: Der Staat, in den die Daten übermittelt werden und ggf. zusätzliche Garantien, falls das Datenschutzniveau in diesem Land nicht ausreichend ist

 

  

© iStock.com/Melpomenem

 

4. Was sind die Folgen eines Verstosses gegen das revDSG?

Im Falle eines Verstosses gegen das revDSG drohen Sanktionen in Form von Bussgeldern bis CHF 250‘000. Im Gegensatz zur DSGVO (EU-Datenschutz-Grundverordnung) richten sich die Sanktionen unter dem revDSG nicht gegen das fehlbare Unternehmen, sondern gegen die für die Einhaltung des Datenschutzes verantwortliche natürliche Person (z.B. Geschäftsführer oder VR).

 

Es ist klar, dass der bisherige Papiertiger neu Zähne kriegt und wir daher allen KMU empfehlen, sich auf das revDSG vorzubereiten.

 

 

RSS

2

Tags: Wirtschaftsberatung, Datenschutz, DSGVO, Privatsphäre, KMU, EU-Datenschutzrecht, Schweiz, EU

10.2021

Vom Papiertiger zum Gesetz mit Biss

 

© iStock.com/Melpomenem

 

Im Herbst 2020 wurde das neue Datenschutzgesetz (revDSG) verabschiedet und die Referendumsfrist ist sodann im Januar 2021 ungenutzt abgelaufen. Da die Vernehmlassungsfrist für die revidierten Verordnungen zum revDSG (revVDSG) noch bis am 14. Oktober 2021 dauert und damit die finalen Versionen der revVDSG noch ausstehend sind, ist damit zu rechnen, dass das neue Gesetz erst in der zweiten Hälfte 2022 in Kraft treten wird. Da es keine Übergangsfristen geben wird, sind bereits heute die Vorarbeiten für die erforderlichen Anpassungen am Datenschutz-Setup vorzunehmen. 

Das revDSG bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, die sich in der Schweiz befinden und deren Daten durch Private oder den Staat bearbeitet werden. Daten von juristischen Personen sind neu nicht mehr geschützt.

 

Vier Punkte, die Sie bzw. Ihr KMU unbedingt über das revDSG wissen müssen: 

 

1. Sind kleine Unternehmen ausgenommen?

Nein. Alle Unternehmen, die Personendaten bearbeiten, unterstehen dem revDSG. Das bedeutet, dass sich grundsätzlich jedes Unternehmen unabhängig von seiner Grösse mit dem Thema auseinandersetzen sollte, denn jedes Unternehmen verfügt über eine Vielzahl von Personendaten.

 

2. Was muss ein KMU nun tun?

Zunächst sind eine Bestandsaufnahme der Bearbeitung von Personendaten im Unternehmen und eine Risikobewertung notwendig, um die Anforderungen an die Datenschutz-Compliance zu bestimmen. Ausserdem können mittels Soll-Ist-Vergleich die erforderlichen Umsetzungsarbeiten identifiziert werden. Höhere Compliance-Anforderungen liegen z.B. vor, wenn Unternehmen eine grosse Menge an Personendaten bearbeiten oder bei Unternehmen die besonders schützenswerte Personendaten bearbeiten. 

 

Zudem muss ein KMU, dessen Datenbearbeitung ein Risiko für Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt, in jedem Fall ein Datenverarbeitungsverzeichnis führen. Besteht dieses Risiko nicht, so sind Unternehmen mit weniger als 250 Mitarbeitern von dieser Pflicht ausgenommen.

 

3. Was ist betreffend Datenschutzerklärung zu beachten?

Neu muss jedes Unternehmen eine Datenschutzerklärung haben, da die betroffene Person bei der Beschaffung von Personendaten über die Datenbearbeitung informiert werden muss. Diese Mindestinformationspflicht ist strafbewehrt.

 

In der Datenschutzerklärung muss mindestens über folgende Punkte informiert werden:

  • die Identität und Kontaktdaten des Verantwortlichen

  • der Bearbeitungszweck

  • falls Daten nicht bei der betroffenen Person beschafft werden: Die Kategorien der Daten

  • falls Daten an Dritte bekanntgegeben werden: Der Empfänger oder die Kategorien von Empfängern

  • falls Daten ins Ausland übermittelt werden: Der Staat, in den die Daten übermittelt werden und ggf. zusätzliche Garantien, falls das Datenschutzniveau in diesem Land nicht ausreichend ist

 

4. Was sind die Folgen eines Verstosses gegen das revDSG?

Im Falle eines Verstosses gegen das revDSG drohen Sanktionen in Form von Bussgeldern bis CHF 250‘000. Im Gegensatz zur DSGVO (EU-Datenschutz-Grundverordnung) richten sich die Sanktionen unter dem revDSG nicht gegen das fehlbare Unternehmen, sondern gegen die für die Einhaltung des Datenschutzes verantwortliche natürliche Person (z.B. Geschäftsführer oder VR).

 

Es ist klar, dass der bisherige Papiertiger neu Zähne kriegt und wir daher allen KMU empfehlen, sich auf das revDSG vorzubereiten.

 

Tags: Wirtschaftsberatung, Datenschutz, DSGVO, Privatsphäre, KMU, EU-Datenschutzrecht, Schweiz, EU


RSS

2


Claudia Mattig

dipl. Lm.-Ing. ETH,
Master of Arts HSG in Accounting and Finance,
dipl. Wirtschaftsprüferin



Impressum  Datenschutzerklärung
×

blog.mattig.swiss