Neues DSG (revDSG) - Herausforderung für die KMU
Nach sehr langer Beratung hat das Schweizer Parlament das revidierte Datenschutzgesetz (revDSG) verabschiedet. Mitte 2022 wird das revDSG voraussichtlich in Kraft treten. Eine Übergangsfrist sieht der Gesetzentwurf bisher nicht vor und die Zeit für die KMU wird zunehmend knapper.
Für Schweizer KMU, aber auch Firmen ohne Sitz in der Schweiz, wenn diese Personendaten bearbeiten und sich diese Datenbearbeitung in der Schweiz auswirkt, wird es jetzt zwingend erforderlich, sich dem revDSG anzupassen und Vorkehrungen zu treffen.
Viele der Neuerungen sind in das revDSG eingeflossen, um mit der technologischen Entwicklung Schritt zu halten und den europäischen Anforderungen der DSGVO Genüge zu tun. Aus den Neuerungen entstehen für viele Firmen Fragen zum Verständnis und der Umsetzung. Hier versuchen wir in dem Artikel immer wieder aktuelle Fragen und deren Antworten zu posten, um den Übergang so einfach wie möglich zu gestalten. Bei Fragen können Sie sich aber auch gerne direkt an uns wenden via E-Mail oder via Anruf +49 7242 7061182 oder einfach einen Termin mit uns vereinbaren.
Unternehmenssitz außerhalb der Schweiz, gilt das revDSG trotzdem?
Ja, nach dem revDSG bestimmt sich der räumliche Geltungsbereich nach dem sogenannten Auswirkungsprinzip. Hierbei kann die Schweiz Unternehmen außerhalb der Schweiz angehen, wenn die Speicherung oder Bearbeitung personenbezogener Daten Auswirkungen in der Schweiz haben sollte.
Neu hinzugekommen ist, das Unternehmen, die keinen Sitz in der Schweiz haben, allerdings Geschäfte in der Schweiz tätigen (also Personendaten von Personen in der Schweiz bearbeiten oder speichern), eine Datenschutz Repräsentanz in der Schweiz benötigen. Gleiches gilt auch für Schweizer Unternehmen in der EU. Für beide Szenarien bieten wir eine Lösung. Bitte machen Sie hierzu einen Termin mit uns aus. Wir beraten Sie gerne hierzu.
Welche Maßnahmen sollten zuerst umgesetzt werden, um keine Sanktionen zu erhalten?
Diese Frage erhalten wir leider öfter und es gibt darauf nur eine Antwort: alle Maßnahmen.
Es gibt einen Unterschied bei der Höhe der Sanktionen. Hier empfehlen wir, mit dem Datenbearbeitungsverzeichnis anzufangen. Dieses Datenbearbeitungsverzeichnis bereitet den meisten Unternehmen die meisten Schwierigkeiten. Hier bieten wir gerne unsere Unterstützung bei der Umsetzung an. Bitte machen Sie hierzu einen Termin mit uns aus.
Weiterhin ist eine Schulung für die Mitarbeiter notwendig, um Datenpannen frühzeitig zu erkennen. Zusätzlich sollte es eine kurze Unterweisung der Verantwortlichen geben, wie auf Datenpannen reagiert werden muss. Solche Schulungen und Unterweisungen können wir online mit Ihnen und Ihren Mitarbeitern durchführen. Wir kommen auf Wunsch aber auch gerne vor Ort. Bitte machen Sie hierzu einen Termin mit uns aus.
Wie sieht der Umgang mit Datenverstößen aus?
Datenverstöße, auch Datenpannen oder Data Breaches genannt, müssen dem EDÖB gemeldet werden, wenn sie zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen. Eine solche Abschätzung ist nur mit einer Datenschutz-Folgeabschätzung möglich. Um hier allerdings keinen Fehler zu machen und dadurch eine Geldstrafe zu umgehen, ist es besser dem EDÖB auch bei unsicheren Fällen Meldung zu erstatten. Eine Frist ist im neuen DSG nicht genannt. Die Frist von 72 Stunden aus der DSGVO kann hier aber als Richtwert verwendet werden.
Da es zu diesem Punkt oft zu Unsicherheiten und weitere Fragen kommt, machen Sie bitte hierzu einen Termin mit uns aus.
Empfohlene Vorgehensweise?
Diese Frage ist einfach zu beantworten. Egal ob das Unternehmen schon Maßnahmen zur DSGVO Compliance getroffen hat oder nicht, muss zuerst eine IST-Analyse erstellt werden. Damit können die Lücken zum SOLL-Status aufgedeckt werden, die noch behoben werden müssen.
Die noch offenen Punkte werden dann nach vorgegebener Priorität abgearbeitet. Es werden Prozesse erstellt, die in die Unternehmensabläufe integriert und regelmäßig kontrolliert werden müssen. Diese Kontrollen, Schulungen der Mitarbeiter und jährlichen Datenschutz Audits dienen zur Minimierung möglicher Sanktionen. Wir unterstützen Sie gerne bei diesen Aufgaben. Bitte machen Sie hierzu einen Termin mit uns aus.