Als die Europäische Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 Wirkung entfaltete, waren viele Unternehmen in der Schweiz verunsichert, welche Auswirkungen die EU-DSGVO für sie haben könnte. Bekanntermassen entfaltet die EU-DSGVO nicht nur Wirkung innerhalb der EU, sondern unter gewissen Voraussetzungen auch auf Unternehmen ausserhalb der EU und somit Schweizer Unternehmen.
Seither sind drei Jahre vergangen. Zahlreiche Schweizer Unternehmen haben sich in dieser Zeit mehr oder weniger intensiv mit dem Datenschutz beschäftigt. Andere haben die Revision des Schweizer Datenschutzgesetzes abgewartet.
Nun liegt das neue Bundesgesetz über den Datenschutz (nDSG) vor und die Vorarbeiten für die Revision der Verordnung zum nDSG sowie für die Verordnung über die Datenschutzzertifizierungen laufen. Das neue Datenschutzrecht wird voraussichtlich frühestens im zweiten Halbjahr 2022 in Kraft treten. Doch was gibt es für Schweizer KMU bis dahin konkret zu tun?
Handlungsbedarf prüfen
Viele Unternehmen fragen sich, ob es sich beim nDSG nicht um alten Wein in neuen Schläuchen handelt. Diese Frage ist berechtigt. In der Tat sind zahlreiche Bestimmungen des nDSG nicht neu, doch kommt ihnen aufgrund der Sensibilisierung in der Bevölkerung, welche in den vergangenen Jahren stattgefunden hat, eine andere Bedeutung zu. Das nDSG zielt darauf ab, dass der Datenschutz nicht nur existiert, sondern dass er auch gelebt wird. Das nDSG enthält dazu ausgebaute Durchsetzungsmechanismen. Zum einen gibt es Erleichterungen beim Auskunftsrecht der betroffenen Person (Art. 25 nDSG), zum andern wurden die Befugnisse des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ausgebaut. Der EDÖB kann neu von Amtes wegen Untersuchungen durchführen und verbindliche Verfügungen erlassen (Art. 49 ff. nDSG). Zudem sind Bussen von bis zu CHF 250 000 sowie ein Strafregistereintrag vorgesehen, wenn gewisse Regeln des nDSG verletzt werden, wobei sich die Strafe nicht primär gegen Unternehmen richtet, sondern gegen die verantwortliche natürliche Person (Art. 60 ff. nDSG).
Neben dieser rechtlichen «Drohkulisse» dürfte für viele Unternehmen jedoch das Risiko von Negativschlagzeilen in den (sozialen) Medien mit entsprechendem Reputationsverlust im Vordergrund stehen. Eine Auseinandersetzung mit dem nDSG ist daher unumgänglich, selbst wenn man als Unternehmen am Ende zum Schluss kommt, dass für die eigene Geschäftstätigkeit nur wenig Handlungsbedarf besteht.
Daten erkennen und zuordnen
Um die Auswirkungen des nDSG auf das eigene Unternehmen zu kennen, müssen zunächst sämtliche Daten und Datenflüsse erkannt und zugeordnet werden. Konkret stellt sich die Frage, wo und wie Personendaten im Unternehmen bearbeitet werden. Dabei geht es um Daten von natürlichen Personen, denn juristische Personen fallen nicht in den Anwendungsbereich des nDSG (Art. 2 Abs. 1 nDSG). Diese auf den ersten Blick banal erscheinende Frage ist nicht immer leicht zu beantworten. Sie umfasst die genaue Analyse sämtlicher Prozesse im Unternehmen. Beispielhaft sei auf drei Bereiche hingewiesen.
Beispiel Human Resources (HR)
Beim Prozess Human Resources ist klar, dass Daten von natürlichen Personen bearbeitet werden. Es stellen sich zum Beispiel folgende Fragen, die keineswegs abschliessend sind: Wie läuft unser Rekrutierungsprozess ab? Was passiert mit Bewerbungen, die nicht berücksichtigt werden? Wer erhält zu welchem Zeitpunkt Zugang zu Bewerbungsdossiers? Welche Daten erfassen wir, wenn wir eine Person einstellen? Erfassen wir auch besonders schützenswerte Personendaten, zum Beispiel die Religionszugehörigkeit? Welche Daten erfassen wir, wenn Mitarbeitende erkrankt sind?
Beispiel Kundendaten
Sobald ein Unternehmen nicht ausschliesslich im B2B-Bereich tätig ist, bearbeitet es Kundendaten, die datenschutzrechtlich geschützt sind. Auch hier ist eine genaue Analyse des Kundenmanagements unumgänglich, um herauszufinden, ob Handlungsbedarf besteht oder nicht. Dabei sind unter anderem folgende Fragen zu beantworten: Wie können unsere Kundinnen und Kunden uns erreichen? Welche Daten stellen sie uns zur Verfügung (Name, E-Mail-Adresse, Telefonnummer, Geburtsdatum etc.)? Erheben wir allenfalls auch besonders schützenswerte Daten, zum Beispiel Gesundheitsdaten? Was machen wir mit diesen Daten? Benutzen wir diese für Marketingzwecke? Geben wir Kundendaten an Dritte weiter? Wie gehen wir mit Rückmeldungen von Kundinnen und Kunden um? Enthalten unsere Verträge Bestimmungen zum Datenschutz? Wie können unsere Kunden ihre Auskunftsrechte geltend machen?
Beispiel Internetauftritt
Der Internetauftritt ist für viele Unternehmen besonders wichtig. Die Website ist oft der erste Eindruck, den potenzielle Kundinnen und Kunden vom Unternehmen haben. Entsprechend ist die Einhaltung der datenschutzrechtlichen Vorgaben hier besonders wichtig. Auch hier stellen sich zahlreiche Fragen wie: Welche Daten erfassen wir, wenn jemand unsere Website besucht? Für wie lange werden diese Daten gespeichert? Ist unsere Datenschutzerklärung auf dem aktuellen Stand? Brauchen wir ein Cookie-Banner? Können sich Interessierte für einen Newsletter anmelden? Welche Daten erheben wir dazu?
«Versteckte Personendaten»
Nicht immer ist sofort klar, dass es sich bei bestimmten Daten um Personendaten handelt. Im Datenschutzrecht werden Personendaten als Daten definiert, «die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen». Der Begriff ist gemäss bundesgerichtlicher Rechtsprechung weit auszulegen. Darunter fallen zum Beispiel auch Daten über den Wasserverbrauch, wie sie von Wasserzählern erfasst werden, sofern damit Rückschlüsse auf Bewohnerinnen und Bewohner der Häuser möglich sind (siehe Urteil des Bundesgerichts 1C_273/2020 vom 05. Januar 2021, E. 5.3). Dies ist in der Regel der Fall, da der Wasserverbrauch zumindest bei neueren Bauten individuell abgerechnet wird. Jedes Unternehmen sollte daher sorgfältig prüfen, ob es «versteckte Personendaten» bearbeitet.