< Back

Story

Das revidierte Datenschutzgesetz

Neue Regeln für eine digitalisierte Welt

Voraussichtlich tritt ab September 2023 in der Schweiz ein neues Datenschutzgesetz in Kraft. Wir geben einen Überblick, welche Ziele das neue Gesetz verfolgt und sich somit von der DSGVO unterscheidet, welche Chancen & Pflichten es für Unternehmen bieten kann und was touristische Destinationen machen sollten, um vorbereitet zu sein.

Im Jahr 1992 wurde das aktuell gültige Datenschutzgesetz der Schweiz eingeführt. Ein Gesetz ausgerichtet für eine Welt ohne Google, Facebook oder Smartphones. Mit der Digitalisierung in Wirtschaft und Gesellschaft hat die Erhebung und Nutzung von persönlichen Daten rasant zugenommen. Täglich werden riesige neue Datenmengen gesammelt, gespeichert und daraus Erkenntnisse gewonnen. Diese neue Realität hat und wird weiterhin neue Möglichkeiten für Produkte und Dienstleistungen sowie Erkenntnisse generieren. Sie bringt aber auch viele Herausforderungen mit sich und erfordert klare Regeln rund um den Umgang mit personenbezogen Daten. Anforderungen, denen das bestehende Gesetz nicht mehr gerecht wird.

Um den Schutz der Persönlichkeit und der Grundrechte jedes einzelnen auch in Zukunft sicherzustellen, war eine Überarbeitung des bestehenden Gesetzes dringend nötig. Mit der Einführung des revidierten Schweizer Datenschutzgesetz im September 2023 folgt die Schweiz der EU, welche mit der General Data Protection Regulation (GDPR) bereits 2018 eine neue Datenschutzverordnung eingeführt hat.

Welche Ziele verfolgt das neue Gesetz?

Mit der Einführung der GDPR in 2018 ist eine neue Ära im Umgang mit persönlichen Daten angebrochen. Bereits in 2018 haben sich viele Unternehmen darauf eingestellt, da sie Daten von Menschen aus der EU verarbeiten und somit den Anforderungen der GDPR gerecht werden müssen. Die Schweiz zieht nun im 2023 nach. Das revDSG folgt im Wesentlichen den Prinzipien der GDPR, bringt jedoch ein paar Eigenheiten mit sich, die es zu berücksichtigen gilt.

Das Hauptziel ist dabei der Schutz der Persönlichkeit und der Grundrechte von Personen die sich in der Schweiz befinden oder deren Daten hier bearbeitet werden. Unter dem Grundsatz der Transparenz und Selbstbestimmung sollen alle Personen mehr Rechte im Bezug auf die eigenen Daten haben und mehr Selbstbestimmung darüber erlangen, was mit ihren persönlichen Daten passiert.

Mehr Verantwortung für Datenbearbeiter

Weiter soll die Prävention und Eigenverantwortung der Datenbearbeiter gefördert werden. Mit einer verstärkten Datenschutzaufsicht und einem Ausbau der Strafbestimmungen will der Datenschutz dafür sorgen, dass diese neuen Aufgaben, für alle die Daten bearbeiten, eingehalten werden.

Angleichung an die EU

Zudem wird die Schweizer Gesetzgebung an diejenigen der EU angeglichen. Ein wichtiger Aspekt, denn der problemlose Datenfluss zwischen der Schweiz und der EU, als wichtigster Wirtschaftspartner, hat für beide Seiten grosse Bedeutung.

Mehr Information & Auskunft

Ebenfalls ausgebaut wird die Informationspflicht und die Betroffenenrechte. Konkret bedeutet dies, dass ab September 2023 jedes Unternehmen alle Personen, über die es Daten sammelt, transparent über die Verwendung und Bearbeitung der Daten informieren muss (Informationspflicht). Zudem können betroffene Personen jederzeit beim Unternehmen einen Auszug aller angegebenen Daten in elektronischer Form beantragen.

Chancen und Pflichten für Schweizer Unternehmen

Die Neuerungen im DSG bilden die rechtliche Basis für einen besseren Schutz der Rechte jedes einzelnen in Bezug auf eigene Daten. Für Unternehmen, die alle täglich mit sensiblen Daten arbeiten, kann die neue Situation sowohl Chancen wie auch Pflichten bringen.

Wer mit gutem Beispiel vorangeht, kann beweisen, dass die Daten der Kunden mit der nötigen Professionalität behandelt werden. Dabei besteht die Chance, langfristiges Vertrauen und starke Kundenbeziehungen aufzubauen. Das Inkrafttreten des revidierten DSG ist auch eine gute Gelegenheit um alte Datenstrukturen, CRM-Systeme sowie Datenbanken hinter sich zu lassen und sich für die Zukunft zu rüsten. Denn es kommen neue Verpflichtungen & Anforderungen auf Unternehmen zu. Alle Unternehmen in der Schweiz, nicht nur Grossunternehmen, sind neu verpflichtet zusätzlich folgende Richtlinien einzuhalten:

  • die Sicherstellung von Datenschutz durch Technologie
  • die Erstellung und Führung eines Verzeichnisses der Datenbearbeitungstätigkeiten
  • Die Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und gegenüber betroffenen Person im Falle einer Datensicherheitsverletzung
  • Die Informationspflicht bei der Datenerhebung und die Pflicht zur Nennung des/der Staates/Staaten im Falle eines Transfers ins Ausland
  • die Informationspflicht im Falle einer automatisierten Einzelentscheidung (z.B Datenweiterverarbeitung mit Hilfe von Algorithmen)

Wie können sich Tourismusdestinationen vorbereiten?

Gerade bei kleineren Organisationen ist der Umgang mit Daten von Kunden oder Mitarbeitenden oft nicht klar geregelt und generiert viel Handlungsbedarf. Lokal gespeicherte Daten, nicht vorhandene Datenstrategien oder veraltete Systemlandschaften können schnell zu Problemen führen. Beispielsweise ist eine Anfrage von Kunden, jegliche über sie gesammelte Daten vorzuweisen mit grossem manuellem Aufwand verbunden oder für viele gar ein Ding der Unmöglichkeit. Dabei ist das Etablieren von internen Prozessen geradeso wichtig wie die Einführung der richtigen Systemlandschaft.

Grundsätzlich gilt: Wer sich heute vorbereitet, kann Probleme in Zukunft vermeiden. Weil bei der Einführung des Gesetzes keine Übergangsvorschriften gelten werden, ist eine Auseinandersetzung mit dem Thema im Voraus wichtig.

Was nun also? Folgend ein paar konkrete Vorschläge, was Destinationen bzw. einzelne Unternehmen mindestens tun sollten:

  • Definieren sie eine Person, die für den Datenschutz verantwortlich ist. Diese Person ist der “Kümmerer” und Ansprechpartner in Bezug auf Datenschutz und die Einhaltung der damit einhergehenden Pflichten.
  • Analysieren sie ihre Systemlandschaft und erstellen ein Verzeichnis aller Systeme in denen personenbezogene Daten gespeichert und/oder verarbeitet werden.
  • Erstellen Sie weiterhin pro System eine Übersicht, welche Daten (Name, Adresse, etc.) sie tatsächlich in welchem System sammeln. In diesem Zusammenhang sollten sie sich überlegen, ob alle gesammelten Daten tatsächlich benötigt werden oder ob man eigentlich auch mit weniger Daten die gewünschte Leistung erbringen könnte (”Privacy by Design” Ansatz).
  • Neu kommt mit dem revDSG die Pflicht Auskunft zu erteilen, falls Systeme Daten im Ausland speichern oder verarbeiten. Dokumentieren sie daher ebenfalls pro System wo dieses gehostet wird und wo/wie Daten gespeichert/verarbeitet werden. Diese Info finden sie meist auf den Webseiten der Systemanbieterin oder fragen sie ihren IT Ansprechpartner.
  • Definieren sie einen Verantwortlichen bzw. Ansprechpartner je System, der im Falle einer Auskunftsanfrage Inhalte zusammenstellen und als Export bereitstellen kann. Sollten mehrere Systeme betroffen sein, sollte der Datenschutzbeauftrage (siehe Punkt 1.) diese Informationen zusammentragen und dem/der AntragsstellerIn zur Verfügung stellen.
  • Stellen sie eine Schulungsunterlage zusammen was GDPR bzw. das revDSG sind und welche Verantwortung jede/r einzelne MitarbeiterIn im Umgang mit personenbezogenen Daten tragen.
  • Passen sie ihre Datenschutzrichtlinie an und informieren sie Gäste auf ihrer Webseite bzw. ihren digitalen Kanälen über die Sammlung und den Umgang mit personenbezogenen Daten. Stellen sie sicher, dass Gäste eine aktive Einverständniserklärung abgeben, wenn sie deren Daten sammeln/speichern wollen. In Laax wird dies unserer Meinung nach sehr einfach und verständlich dargestellt worum es im Prinzip geht: www.flimslaax.com/rechtliches/datenschutz
  • Definieren sie einen Prozess, wie sie im Fall einer Auskunfts- oder Löschungsanfrage damit umgehen. Dabei hilft ihnen die Übersicht der Systeme und der dafür Verantwortlichen. Exerzieren sie beide Fälle einmal durch. Moderne Systeme bieten dabei Schnittstellen für Daten-Exports oder Löschungsanfragen von Userprofilen und damit verbundenen Daten. Viele Legacy Systeme bieten dies jedoch nicht und stellen somit einen hohen händischen Aufwand dar für solche Fälle.
  • Spielen sie den Fall eines Datenlecks durch und wie sie dies Kommunizieren wollen. Überlegen sie sich auch, wie sie die Schwere eines solchen Datenlecks bewerten wollen und wie in welchem Fall reagiert werden soll. Falls es sich um einen Fall mit hohem Risiko handelt, denken sie daran die offizielle Meldestelle (Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten) zu informieren: www.edoeb.admin.ch/edoeb/de/home.html

Als Ausgangspunkt eignet sich eine erste Bestandsaufnahme der Datenlage im Unternehmen und eine Risikobewertung der Situation. In vielen Fällen ist es zu empfehlen eine externe Expertin einzusetzen, welche einen Aktionsplan erstellt und das Management bei wichtigen Entscheidungen fachlich berät.

Gerne möchten wir diese beiden Artikel empfehlen, um sich weiter mit dem Thema auseinanderzusetzen: