Was bedeutet das nDSG für unsere Kunden?

/in , /von

Mit der Einführung einer gesamteuropäischen Datenschutz-Grundverordnung (DSGVO; französisch Règlement général sur la protection des données RGPD, englisch General Data Protection Regulation GDPR) im Mai 2018 wurde die Verarbeitung von personenbezogenen Daten seitens privater und öffentlicher Dienstleister geregelt. Diese Harmonisierung hatte zwei Ziele: Erstens sollte der Schutz personenbezogener Daten innerhalb des Europäischen Wirtschaftsraums einheitlich geregelt werden und zweitens sollte die Möglichkeit geschaffen werden einen unterbrechungsfreien und uneingeschränkten Informationsfluss innerhalb EU zu gewährleisten. Nicht nur Europäische Unternehmen sind davon betroffen. Die folgenden Beispiele zeigen, dass auch Schweizer Unternehmungen von der DSGVO tangiert werden. Wenn zum Beispiel personenbezogene Daten im EG-Raum (EWR; Europäischer Wirtschaftsraum) teilweise oder ganz verarbeitet, Waren oder Dienstleitungen EU-Kunden angeboten oder Daten über einen Online-Shop zu Marketingzwecke gesammelt werden. Die Welt ist schon lange zu einem digitalen Dorf zusammen gewachsen.

DS01

Mit der Verabschiedung zum neuen Datenschutzgesetz (nDSG) im September 2020 und der damit voraussichtlichen Inkraftsetzung für 2022 kommt der Schweizer Gesetzgeber einer gesamtheitlich europäischen Lösung nach. Dies bedeutet nicht, dass die DSGVO übernommen wurde, sondern vielmehr dass das bestehende DSG hinsichtlich europäischer Harmonisierung revidiert und Schweizerische Eigenheiten integriert wurden. Das bedeutet, dass im Gegensatz zur DSGVO nicht nur Unternehmungen rechtlich in die Pflicht genommen, sondern auch Privatpersonen, also Angestellte einer Unternehmung, haftbar gemacht werden können. Dies zeigt, dass die Schweizer Unternehmenskultur auch in diesem Bereich mehr auf Eigenverantwortung und Pflichtbewusstsein setzt und in einem besonderen Masse zur Qualitätsverbesserung der Thematik beiträgt. Wenn Mitarbeiter zu Mitschaffende werden, zahlt sich das oft hinsichtlich Qualität und Produktivität aus. Was hat sich nun konkret geändert:

      • Kein Schutz der Daten von juristischen Personen: Es werde nur noch die Daten von natürlichen Personen als schützenswert angesehen
      • Besonders schützenswerte Daten: Die Liste der besonders schützenswerten Daten wurde u.a. um genetische und biometrische Daten erweitert
      • Profiling: Das Profiling mit hohem Risiko (Auswertung durch Verknüpfung von Daten) erfordert eine ausdrückliche Einwilligung
      • Datenschutz durch Technik: Die Grundsätze Privacy by Design und Privacy by Default müssen berücksichtigt werden
      • Ausbau Auskunftspflichten: Der Anspruch auf Auskunft ist nicht mehr auf die Mindestinformation beschränkt.

Dies sind nur einige Beispiele, die die Neuausrichtung des DSG beinhalten. Ein wichtiger Punkt sind die damit verbundenen Sanktionen, die bei Missachtung ausgesprochen werden können. So können natürliche Personen innerhalb der betroffenen Unternehmung mit einer Busse bis zu CHF 250’000 belegt werden, wenn die Auskunftspflicht oder die Sorgfaltspflicht verletzt wurde. Neu ist auch, dass der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ab in Kraft treten des nDSG eine Verfügungsgewalt zugesprochen wird. Dieser kann zukünftig zum Beispiel die Löschung von Personendaten anordneten, oder deren Verarbeitung untersagen. Vor dem nDSG hatte der EDÖB nur die Möglichkeit unverbindliche Empfehlungen auszusprechen.

Bis zum In­-kraft-­tre-­ten des neuen Datenschutzgesetzes empfehle ich die Zeit zu nutzen und eine Bestandsaufnahme ihrer personenbezogenen Daten und deren Verarbeitung hinsichtlich der bevorstehenden Änderungen durchführen. Mittels Health Check könnte eine Gap-Analyse durchgeführt werden. Die dann zu Action Points führen, welche abschliessend, nach nach Abwägung von unternehmerischem Risiko und Aufwand, zur Schliessung der festgestellten Lücken führen. Obwohl das nDSG die Rolle des Data Protection Officer (DPO) nicht explizit vorsieht lohnt es sich dennoch über diese Führungsrolle nachzudenken. Diese Rolle ist zentral für die Überwachung der umgesetzten Datenschutzstrategie verantwortlich und stellt die gesetzliche Konformität sicher. In Deutschland ist der Notebook-Versender notebook.de rechtskräftig zu zehn Millionen Euro Busse abgestraft worden, weil er seine Mitarbeiter ohne deren Einwilligung überwacht hat. Gemessen an solchen Strafen ist das Budget für die Einführung eines rechtskonformen Datenschutzes zu vernachlässigen.

DS02

Der Datenschutz der Kunden betrifft branchenweit alle Unternehmen und öffentliche Einrichtungen. Wer heute schon die Strukturen von Morgen schafft muss nicht mehr hinterher rennen. Der bei weitem wichtigste Punkt aus meiner Sicht ist die damit verbundene Reputation. Zu den Themen Glaubwürdigkeit und Seriosität muss zukünftig jedes Unternehmen gegenüber seinen Kunden Stellung beziehen. Das Beispiel WhatsApp hat sehr deutlich gezeigt, dass auch in einer virtuellen Welt der Kunde immer noch König ist und den König sollte man nicht verärgern. Damit das nicht passiert sind wir nicht nur im Bereich Agilität und Qualitätsmanagement für unsere Kunden im Einsatz, sondern stehen auch für solche Themen zur Verfügung.

Dein Kontakt

Harald Schmidt

Harald Schmidt
Email: harald.schmidt@spf-consulting.ch
Kontakt: https://www.spf-consulting.ch/kontakt/