Datenschutzrecht – revidiertes Datenschutzgesetz und die Folgen für KMUs

Datenschutzrecht – revidiertes Datenschutzgesetz und die Folgen für KMUs

Neues Datenschutzrecht – was KMU beachten sollten

Seit dem 1. September 2023 ist das neue Datenschutzrecht in Kraft. Damit sollen die persönlichen Daten von Personen besser geschützt werden, weshalb alle Unternehmen sich an die neuen Regelungen anpassen müssen. Für kleinere und mittelgrosse Unternehmungen stellt sich damit die Frage, welche Änderungen für den eigenen Betrieb relevant sind.

Zuerst muss darauf hingewiesen werden, dass die nachfolgenden Ausführungen nicht abschliessend sind und nur einen groben Überblick über das neue Datenschutzrecht geben und aufzeigen sollen, was insbesondere KMU für einen Handlungsbedarf haben.

Geltungsbereich des neuen Datenschutzrechts

Das neue Datenschutzgesetz gilt für die Bearbeitung von Personendaten natürlicher Personen. Das heisst, alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, werden geschützt, wobei besonders schützenswerte Personendaten wie beispielsweise die religiöse oder politische Ansicht, Daten über die Gesundheit, biometrische Daten oder Daten über strafrechtliche Verfolgungen einem strengeren Schutz unterliegen. Ein derartiges Bearbeiten von Personendaten dürfte aber die Ausnahme sein. Als «Bearbeiten» von persönlichen Daten wird jeder Umgang mit Personendaten verstanden, wobei insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten gemeint ist. Damit wird schnell klar, dass wir alle vom neuen Datenschutzgesetz erfasst sind und für alle Unternehmen ein Handlungsbedarf besteht.

In der Praxis haben wir bisher die Erfahrung gemacht, dass insbesondere die nachstehenden Bereiche für eine Anpassung bzw. eine allgemeine Information bei KMU sinnvoll sind:

1. Datenschutzerklärungen für die Webseite

Die Informationspflicht für Unternehmen bei der Bearbeitung von persönlichen Daten wurde stark ausgeweitet. So wird vor allem verlangt, dass die betroffene Person im Zeitpunkt der Datenbeschaffung angemessen über die Beschaffung von Personendaten informiert wird, und das selbst dann, wenn die Daten nicht bei der betroffenen Person selbst beschafft werden. Daher haben zahlreiche Webseiten bereits jetzt Datenschutzerklärungen, die automatisch angezeigt werden, wenn man die Webseite anklickt, aufgeschaltet, um diesem Erfordernis nachzukommen. Ziel dieser ausgeweiteten Informationspflicht ist, dass die betroffene Person ihr Auskunftsrecht, ob Personendaten über sie bearbeitet werden und das gesetzliche Recht auf Datenherausgabe oder -übertragung geltend machen kann. Zudem soll so jede Person selbst entscheiden können, ob sie mit der Bearbeitung ihrer Daten einverstanden ist, oder ob sie das nicht will.

In der Datenschutzerklärung muss der betroffenen Person mitgeteilt werden, wer die Daten beschafft, was der Zweck der Datenbearbeitung ist, in welche Länder die Daten exportiert werden (falls das passiert) und wer Empfänger dieser Personendaten sind. Sofern die Personendaten nicht bei der betroffenen Person selbst beschafft werden, muss zudem die Kategorie der bearbeiteten Personendaten bekanntgegeben werden und die betroffene Person muss bis spätestens einen Monat nach der Datenbeschaffung informiert werden, ausser die Information ist nicht möglich oder erfordert einen unverhältnismässig grossen Aufwand.

Es empfiehlt sich daher dringend für alle Unternehmen, eine derartige Datenschutzerklärung auf ihrer Webseite aufzunehmen, in der beschrieben wird, welche Daten erfasst und bearbeitet werden, wer Zugang zu den erfassten Daten hat, wie das Einsichtsrecht der betroffenen Personen gewährleistet wird, wer als datenschutzbeauftragte Person in Ihrer Unternehmung bestimmt wurde und wie die Datensicherheit sichergestellt wird. Eine fehlende Information kann zudem mit einer Busse bestraft werden.

2. Datenschutzerklärung in Arbeitsverhältnissen

Der Arbeitgeber ist gesetzlich dazu verpflichtet, die Persönlichkeit der Arbeitnehmenden angemessen zu schützen. Zur Bearbeitung von Personendaten wurde das Obligationenrecht mit Art. 328b OR ergänzt, in dem festgehalten wird, dass Arbeitgeber Daten über Arbeitnehmende nur bearbeiten dürfen, soweit sie deren Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind. Im Übrigen gilt das neue Datenschutzgesetz. Von dieser Bestimmung darf keinesfalls zum Nachteil der Arbeitnehmenden abgewichen werden, selbst wenn diese damit einverstanden wären.

Ausserhalb dieser Bestimmung muss der Arbeitgeber einen speziellen Rechtfertigungsgrund haben oder die Einwilligung der Arbeitnehmenden einholen, um deren Personendaten bearbeiten zu dürfen. In diesem Bereich helfen wir Ihnen sehr gerne eine passende, individuelle Datenschutzerklärung für das Verhältnis zwischen Ihnen und Ihren Arbeitnehmenden auszuarbeiten.

3. Verzeichnis der Bearbeitungstätigkeiten

Neu wird zudem die Führung eines Verzeichnisses durch die für die Datenbearbeitung verantwortliche Person obligatorisch, in dem unter anderem die Identität des Verantwortlichen, der Bearbeitungszweck, die Beschreibung der Kategorien der betroffenen Personen und der bearbeiteten Personendaten, die Empfänger der Personendaten, die Aufbewahrungsdauer, die Massnahmen zur Datensicherheit und die Exportländer für die Personendaten umschrieben werden.

Aber Achtung: KMU, die weniger als 250 Arbeitnehmende beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der Arbeitnehmenden mit sich bringt, sind von dieser Pflicht befreit.

 Fazit

Das neue Datenschutzgesetz hat durchaus gewichtige Veränderungen und neue Pflichten für Sie als Arbeitgeber mitgebracht. Insbesondere empfiehlt es sich, Datenschutzerklärungen auf der Website zu publizieren und mit den Arbeitnehmenden zu unterzeichnen, falls über Art. 328b OR hinaus Personendaten von Arbeitnehmenden bearbeitet werden. Überdies ist an die neue Pflicht zur Führung eines Verzeichnisses über die Bearbeitungstätigkeiten von Personendaten zu erinnern, wobei KMU grösstenteils davon befreit sein dürften.

Gerne unterstützten wir von bürki bolt rechtsanwälte Sie bei Ihren individuellen Anliegen zum neuen Datenschutzrecht und stehen Ihnen mit juristischem Rat zur Seite.

Die Digitalisierung der Anwaltstätigkeit / Aktuelle gesetzliche Grundlage zur elektronischen Unterschrift

Die Digitalisierung der Anwaltstätigkeit / Aktuelle gesetzliche Grundlage zur elektronischen Unterschrift

Unlängst sagte mir ein Mandant in einer Besprechung: «Ihr Anwälte und die Behörden seit doch alle noch in der digitalen Steinzeit.» Wer heute an ein Gericht oder eine Anwaltskanzlei denkt, hat nicht selten noch riesige Papierberge auf meterlangen Bürotischen im Kopf. Man kann sich den Staub geradezu vorstellen. Zugegebenermassen vermag dieses Vorurteil auch heute noch auf verschiedene Kolleginnen und Kollegen zutreffen. Es ist aber ein Fakt, dass sämtliche Schweizer Behörden (inkl. Gerichte) zusammen mit dem Schweizerischen Anwaltsverband im Rahmen des sog. Projektes «Justitia 4.0» volldigitalisiert werden. Dieses beinhaltet die vollständige und ausnahmslose elektronische Kommunikation zwischen Anwälten und Behörden inkl. Gerichten. Das Projekt geht so weit, dass ab dem Jahr 2027 Eingaben an staatliche Stellen ausnahmslos nur noch digital via einer elektronischen Plattform möglich sein werden (inkl. gesetzlichem Zwang für Anwälte). Das Projekt befindet sich aktuell in der Testphase und wird im Jahr 2024 in einigen Kantonen in einen Pilotbetrieb übergehen. Das Gesamtprojekt ist im Zeitplan, weshalb sich jede Kanzlei an den Wandel frühzeitig anpassen muss.

Einen wichtigen Schritt zur Volldigitalisierung des Rechtsverkehrs hat der Gesetzgeber bereits im Jahr 2005 mit dem Gesetz zur elektronischen Signatur vorgenommen. Die Art der rechtsgültige Unterschrift im Sinne des Gesetzes (Art. 14 OR) ist für den Geschäftsverkehr von absolut zentraler Bedeutung. Mit vernachlässigbaren Ausnahmen war die gültige Unterschrift bis anhin nur «eigenhändig» gültig. Unterzeichnungen im pdf. / als Kopie sind in der Praxis zwar weit verbreitet, jedoch ungültig (und im Übrigen auch riskant). Entsprechende Eingaben an Behörden gelten formal eigentlich als nicht erfolgt, werden kollegialiter aber oft akzeptiert.

Die elektronische Unterschrift ist gemäss Gesetz dieser eigenhändigen Unterschrift gleichgesetzt. Dabei handelt es sich um die sogenannte «qualifizierte elektronische Signatur». Für diese ist vorausgesetzt, dass das hierfür verwendete Programm von einem durch die Eidgenossenschaft zertifizierten Anbieter stammt. Aktuell gibt es in der Schweiz vier solche Anbieter, wobei die Systeme interoperabel sind. Die Hersteller ermöglichen dabei auch weitere Arten von elektronischen Signaturen, welche zwar die Glaubwürdigkeit des Absenders erhöhen / sicherstellen, jedoch nicht der eigenhändigen Unterschrift gleichkommen. Noch nicht möglich sind digitale Beurkundungen, wobei eine gesetzliche Grundlage im Jahr 2021 erarbeitet wurde.

Unsere Kanzlei ist bereits heute im Vergleich mit anderen Anwaltskanzleien überaus weit mit der Digitalisierung. Einzelne Anwälte führen ihre Falldossiers vollelektronisch und verkehren auch so mit den Behörden. Wir beabsichtigen im kommenden Jahr die vollständige Digitalisierung weiter umzusetzen und ermutigen nicht zuletzt auch unsere Partner dazu, uns die notwendigen Dokumente digital zur Verfügung zu stellen.

Karin Bürki Sonderegger ist neue Verwaltungsrätin der Bergbahnen Wildhaus AG

Karin Bürki Sonderegger ist neue Verwaltungsrätin der Bergbahnen Wildhaus AG

Am Samstag wurde ich, Karin Bürki Sonderegger, an der 85. Generalversammlung der Bergbahnen Wildhaus AG in den Verwaltungsrat gewählt. Vielen Dank an alle Aktionäre, die mich gewählt haben. Jack Rhyner wurde für seine 30 Jahre als Präsident gebührend verabschiedet. Armin Rohner übernimmt das Präsidium. Ich freue mich auf eine gute Zusammenarbeit mit Esther Friedli, Urs Gantenbein, Ueli Sturzenegger, Rolf Eggenberger, Michael B., Fritz Grob und Armin Rohner.