Am 1. September tritt das revidierte Datenschutzgesetz in Kraft

Das heutige Datenschutzgesetz stammt aus dem Jahr 1992. Höchste Zeit also, dass es den neuen Rahmenbedingungen angepasst wird.

Mit der Erfindung und Verbreitung des World Wide Web nahm die Digitalisierung 1989 so richtig an Fahrt auf. 1994 war es bereits möglich, Rechnungen online zu bezahlen, vier Jahre später wurde das erste Smartphone vorgestellt. Damit begann auch eine neue Epoche für den Datenschutz, die mit der digitalen Transformation ganz neue Dimensionen annahm.

Lockerer Umgang mit Daten

Auch das Konsumentenverhalten hat sich verändert: Im Online-Shopping werden heute ohne grosses Zögern persönliche Daten wie Name, Adresse und Zahlungsinformationen preisgegeben; oft auch noch persönliche Präferenzen, damit von den Versendern massgeschneiderte Angebote offeriert werden können. Die Konsumentinnen und Konsumenten wähnen sich dabei sicher und gehen davon aus, dass die Empfänger der Daten diese auch schützen. Das ist allerdings nicht immer der Fall – das revidierte Gesetz will nun alle Lücken schliessen. Das neue Datenschutzgesetz (DSG) tritt am 1. September 2023 in Kraft und schützt die Persönlichkeit und die Grundrechte von Privatpersonen.

Neu ist allerdings, dass der Schutz von genetischen und biometrischen Daten sichergestellt werden muss. Gerade genetische Daten liefern viele schützenswerte Informationen über die Eigenschaften einer Person, wie beispielsweise die Physiologie und die Gesundheit. Aber auch Gesichtsbilder oder Fingerabdrücke gehören dazu.

Diese Anpassungen sind auch deshalb nötig, damit die Europäische Union die Schweiz weiterhin als Drittstaat mit einem kompatiblen und sicheren Datenschutzniveau anerkennt. So wird der Datenfluss zwischen der Schweiz und der EU erleichtert, ohne wirtschaftliche Nachteile für Schweizer Firmen zu verursachen.

iStockPhoto/mattjeacock

IT-Sicherheit an erster Stelle

In erster Linie geht es darum, Kundendaten zu schützen, die bei jeder Anfrage, jeder Offerte und jedem Auftrag anfallen. Personenbezogene Daten sind alle Informationen, anhand derer sich eine Person bestimmen lässt – also der Name, die E-Mail-Adresse, die Telefonnummer oder eine Ausweisnummer. Aber auch nicht ganz offensichtliche Daten, wie beispielsweise die IP-Adresse gehören dazu. Genügt die Speicherung auf einem Rechner in einer Cloud oder einem Mailprogramm wie beispielsweise Mailchimp? Mit den gängigen Schutzmassnahmen ja, obwohl es für professionelle Hacker beispielsweise mit Pishing-Mails weiterhin recht einfach sein wird, an kunden- und auftragsrelevante Daten zu gelangen. Die Schutzprogramme werden immer besser, die Hacker mithilfe der künstlichen Intelligenz aber auch. Neues Gesetz hin oder her: Mitarbeitende und mangelndes Bewusstsein bleiben die grössten Schwachstellen für die IT-Sicherheit.
Ein wichtiger Grundsatz des revidierten DSG ist, dass bereits bei der Auftragserteilung die höchste Sicherheitsstufe gilt. Das heisst: Sämtliche Software, Hardware sowie die Dienstleistungen müssen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre aller Beteiligten gewahrt wird. Die IT-Sicherheit ist also sicher die wichtigste und erste Massnahme, die sichergestellt werden muss. Es lohnt sich, dafür professionelle Unterstützung in Anspruch zu nehmen.

Transparenz nach innen und aussen

Das neue Datenschutzgesetz hat zum Ziel, Transparenz zu schaffen. Das heisst in der Umsetzung, dass sich die Kunden jederzeit darüber informieren können, wie mit ihren Daten umgegangen wird. So ist ab dem 1. September 2023 damit zu rechnen, dass ein Kunde, eine Kundin gelegentlich mal anruft und die Frage stellt, wie ihre persönlichen Daten geschützt würden. Dafür müssen alle Mitarbeitenden mit Kundenkontakt entsprechend geschult werden, damit sie kompetent Auskunft geben können und kein Misstrauen entsteht. Zudem muss für jeden Betrieb ein Datenverantwortlicher bestimmt werden. Das gilt für die Einzelfirma wie auch für grössere Unternehmen. Es lohnt sich, diese Verantwortung mit grösster Sorgfalt wahrzunehmen, denn bei einem Verstoss drohen Bussgelder bis zu 250 000 Franken. Und diese Sanktionen richten sich nicht gegen die Firma, sondern immer gegen die verantwortliche Person. Deshalb ist den Firmen dringend zu empfehlen, die Verantwortlichen entsprechend sorgfältig zu ernennen und zu schulen. Transparente Prozesse und Dokumentationen helfen dabei. Kundinnen und Kunden können übrigens jederzeit die Löschung und die Herausgabe der persönlichen Daten verlangen.
Nicht vergessen dürfen Partnerbetriebe oder Dienstleister im Netzwerk. Werden Aufträge untervergeben, muss sichergestellt sein, dass diese Firmen ebenfalls alle Anforderungen des revidierten DSG erfüllen. Kundendaten dürfen nur gegen Datenschutzerklärung weitergegeben werden. Der ursprüngliche Auftraggeber muss zudem mit der Untervergabe und der dazu nötigen Weitergabe seiner persönlichen Daten einverstanden sein.

Auch Mitarbeiterdaten schützen

In kleineren Firmen wird oft unterschätzt, dass auch die Daten der Mitarbeitenden geschützt werden müssen – dafür sieht das neue Datenschutzgesetz ein paar Änderungen vor. Mitarbeiterinnen und Mitarbeiter haben das Recht, jederzeit die eigenen Personendaten einzusehen. Diese Auskunft darf zwingend nur der betroffenen Person oder gegen eine ausdrückliche Vollmacht erteilt werden.
Das neue Datenschutzgesetz hat letztendlich den Vorteil, dass es die Firmen und deren Mitarbeiterinnen und Mitarbeiter dazu sensibilisiert, sich mit Kunden- und Mitarbeiterdaten und deren Schutz auseinanderzusetzen. Dazu ist als erstes eine Auslegeordnung wichtig, um darauf basierend die entsprechenden Massnahmen zu treffen. Das ist keine Hexerei – für die Umsetzung genügt meist der gesunde Menschenverstand. Und für rechtliche und technische Fragen lohnt es sich, Fachleute beizuziehen.