Follow up

Grundlagen des Datenschutzgesetzes

Sinn und Zweck des revidierten Datenschutzgesetzes ist der Schutz der Personendaten, und zwar so, dass die dazugehörende, natürliche Person selbst bestimmen kann, wie sie sich ihrer Umwelt präsentiert und wie sie von dieser wahrgenommen wird. Obwohl schon viel über das neue schweizerische Datenschutzgesetz und die artverwandte Europäische Datenschutzgrundverordnung geschrieben wurde, wird dies nicht immer klar verstanden. Im Zentrum des Datenschutzgesetzes steht also nicht die technische Sicherheit (Informationssicherheit oder Cybersecurity) als Schutz vor beispielsweise Datendiebstahl, sondern der Schutz derjenigen Person, deren Daten verarbeitet werden. Die technische Sicherheit wird aber vorausgesetzt. 

Zur Beantwortung der Frage, was das neue Datenschutzgesetz für ein KMU bedeutet, könnten einfach die Grundsätze dieses Gesetzes aufgelistet werden: Personendaten müssen in einem Unternehmen rechtmässig, transparent, zweckgebunden, richtig etc. verarbeitet werden. Diese Grundsätze gelten sowohl für grosse Unternehmen als auch für KMU.

Diese Antwort wird aber der Geschäftsführe­rin oder dem Geschäftsführer eines KMU nicht wirklich weiterhelfen, ausser sie oder er verfügt bereits über eine solide Wissens­grundlage im Datenschutzbereich. Deshalb werden in der folgenden, nicht abschliessenden Aufzählung ein paar Grundsätze des Datenschutzes vertieft, die von jedem Unternehmen eingehalten werden müssen:

• Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
  Um dies sicherzustellen, muss ein Unternehmen wissen, zu welchem eindeutigen Zweck die Daten ursprünglich erhoben wurden und
  in welchen Prozessen diese zu welchen Zwecken verarbeitet werden.
• Personendaten dürfen nur in einer für eine betroffene Person nachvollziehbaren Art und Weise verarbeitet werden. Damit ein Unternehmen dies gewährleisten kann, ist eine transparente und dokumentierte Datenverarbeitung Voraussetzung. Diese Transparenz wiederum kann nur dann gewährleistet werden, wenn bekannt ist, bei welchen Prozessen Personendaten überhaupt eine Rolle spielen und in welchen Systemen diese verarbeitet werden. 
• Die Verarbeitung von Personendaten muss nach dem Grundsatz der Datenminimierung erfolgen. Ein Unternehmen muss sich also auf das notwendige Mass beschränken und darf nicht zusätzliche Personendaten erheben, die es für den Zweck der Datenverarbeitung gar nicht braucht. 
• Wie bereits erwähnt, muss eine dem Stand der Technik entsprechende Systemsicherheit gewährleistet sein. Es muss sichergestellt sein, dass unbefugte Personen diese Daten nicht unzweckmässig verwenden oder verfälschen können.

Auf die Aufzählung weiterer Grundsätze, die ebenfalls eingehalten werden müssen, wird an dieser Stelle verzichtet, um den Artikel nicht unnötig in die Länge zu ziehen. Zudem dürfte von deutlich grösserem Interesse sein, was nun konkret in einem Unternehmen zu tun ist, damit es sich im Sinne des Gesetzes datenschutzkonform verhält.

Was ist in einem Unternehmen zu tun?

Eine spezifische und einfache Antwort ist auf diese Frage leider nicht möglich, da es von verschiedenen Faktoren abhängt, welche Massnahmen genau getroffen werden müssen, um datenschutzkonform zu sein. Für eine grosse und verteilte Organisation beispielsweise ist schon die Erhebung aller Prozesse und Verarbeitungstätigkeiten, in denen Personendaten verarbeitet werden, eine umfassende und komplexe Aufgabe. In einem KMU mit einem kleinen Team von Mitarbeitern ist diese Erhebung wesentlich einfacher, weil oftmals die Führungsperson selbst die einzelnen Datenverarbeitungsschritte im Detail kennt.

Dennoch wäre es ein Trugschluss, zu denken, dass ein kleines Unternehmen gar nichts zu unternehmen braucht, denn häufig wird vergessen, dass auch externe Stellen, wie beispielsweise ein externer Dienstleister für administrative Tätigkeiten oder ein Vertriebsvermittler, ebenfalls Personendaten im Auftragsverhältnis verarbeitet. Das Unternehmen und die Geschäftsführerin oder der Geschäftsführer bleiben verantwortlich für die Verarbeitung der Personendaten, auch wenn in deren oder dessen Auftrag eine externe Organisation die Daten verarbeitet. Es ist auch ein wesentlicher Unterschied, ob das Unternehmen Leistungen für natürliche Personen erbringt oder ob dessen Kunden wiederum andere Unternehmen sind, mit dem wenig Perso­nen­daten ausgetauscht werden. Zudem hängt es davon ab, ob Personendaten besonders schützenswerter Kategorien verarbeitet werden. Ist Lezteres der Fall, sind auch besondere Massnahmen erforderlich. 

In einer grösseren Organisation ist die Initiierung eines Datenschutzprojektes nicht vermeidbar, damit die verschiedenen Prozesse, in denen Personendaten verarbeitet werden, systematisch erhoben und die dazugehörenden Massnahmen (Einwilligungs­erklärungen, Vertragsklauseln für Auftragsbearbeiter etc.) umgesetzt werden können. 
Bei einem sehr kleinen KMU mit wenigen Mitarbeitenden sollte mindestens eine Schulung für den gesetzeskonformen Umgang mit Personendaten besucht und eine rudimentäre Beurteilung der eigenen Situation durchgeführt werden. 

Falls Ihr Unternehmen dazwischen einzuordnen ist, empfehlen wir Ihnen, eine Erstbeurteilung Ihrer Situation durch eine Fachperson vornehmen zu lassen, damit Sie anschliessend einschätzen können, wie aufwändig die Umsetzung des neuen Datenschutzgesetzes für Sie ist.

Welche Risiken hat ein KMU, wenn es nichts unternimmt?

Es gibt drei Hauptrisiken, die ein Unternehmen bei Nichteinhaltung der Datenschutzbestimmungen hat: 

1. Empfindliche Geldbussen durch die Behörden für die verantwort­lichen Personen im Unternehmen. Im Gegensatz zur EU werden in der Schweiz
   die Personen und nicht das Unternehmen gebüsst. 
2. Ein Reputationsschaden bei einer Datenschutzverletzung und dadurch möglicherweise Einbussen bei bestehenden Geschäfts­beziehungen oder einen erschwerten Neukundenzufluss. 
3. Die Angreifbarkeit durch unzufriedene Kunden, Geschäftspartner, ehemalige Mitarbeiter oder Mitbewerber.

Kann der Schutz der Personendaten einem Unternehmen auch Vorteile bringen oder verursacht er nur Kosten und Aufwand?

Generell liegt der Hauptnutzen, der durch die Implementierung des Datenschutzes entsteht, bei den betroffenen Personen und nicht beim Unternehmen. Implementiert ein Unternehmen aber die Datenschutzbestimmungen konsequent und systematisch, können dadurch auch ineffiziente Prozesse erkannt, vorhandene Sicherheitslöcher gestopft und lasch gehandhabte Geschäftspartnerbeziehungen geklärt werden. Diese Einstellung vorausgesetzt, kann Datenschutz auch für ein Unternehmen lohnend sein. 

Elmar Hasler
Geschäftsführender Partner

elleta AG
Gewerbeweg 15, 9490 Vaduz, Lichtenstein

Tel. +423 222 70 70, Mobil +41 (0)79 424 92 58
elmar.hasler@elleta.net
www.elleta.net