Datenschutzrecht – revidiertes Datenschutzgesetz und die Folgen für KMUs
Neues Datenschutzrecht – was KMU beachten sollten
Seit dem 1. September 2023 ist das neue Datenschutzrecht in Kraft. Damit sollen die persönlichen Daten von Personen besser geschützt werden, weshalb alle Unternehmen sich an die neuen Regelungen anpassen müssen. Für kleinere und mittelgrosse Unternehmungen stellt sich damit die Frage, welche Änderungen für den eigenen Betrieb relevant sind.
Zuerst muss darauf hingewiesen werden, dass die nachfolgenden Ausführungen nicht abschliessend sind und nur einen groben Überblick über das neue Datenschutzrecht geben und aufzeigen sollen, was insbesondere KMU für einen Handlungsbedarf haben.
Geltungsbereich des neuen Datenschutzrechts
Das neue Datenschutzgesetz gilt für die Bearbeitung von Personendaten natürlicher Personen. Das heisst, alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, werden geschützt, wobei besonders schützenswerte Personendaten wie beispielsweise die religiöse oder politische Ansicht, Daten über die Gesundheit, biometrische Daten oder Daten über strafrechtliche Verfolgungen einem strengeren Schutz unterliegen. Ein derartiges Bearbeiten von Personendaten dürfte aber die Ausnahme sein. Als «Bearbeiten» von persönlichen Daten wird jeder Umgang mit Personendaten verstanden, wobei insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten gemeint ist. Damit wird schnell klar, dass wir alle vom neuen Datenschutzgesetz erfasst sind und für alle Unternehmen ein Handlungsbedarf besteht.
In der Praxis haben wir bisher die Erfahrung gemacht, dass insbesondere die nachstehenden Bereiche für eine Anpassung bzw. eine allgemeine Information bei KMU sinnvoll sind:
1. Datenschutzerklärungen für die Webseite
Die Informationspflicht für Unternehmen bei der Bearbeitung von persönlichen Daten wurde stark ausgeweitet. So wird vor allem verlangt, dass die betroffene Person im Zeitpunkt der Datenbeschaffung angemessen über die Beschaffung von Personendaten informiert wird, und das selbst dann, wenn die Daten nicht bei der betroffenen Person selbst beschafft werden. Daher haben zahlreiche Webseiten bereits jetzt Datenschutzerklärungen, die automatisch angezeigt werden, wenn man die Webseite anklickt, aufgeschaltet, um diesem Erfordernis nachzukommen. Ziel dieser ausgeweiteten Informationspflicht ist, dass die betroffene Person ihr Auskunftsrecht, ob Personendaten über sie bearbeitet werden und das gesetzliche Recht auf Datenherausgabe oder -übertragung geltend machen kann. Zudem soll so jede Person selbst entscheiden können, ob sie mit der Bearbeitung ihrer Daten einverstanden ist, oder ob sie das nicht will.
In der Datenschutzerklärung muss der betroffenen Person mitgeteilt werden, wer die Daten beschafft, was der Zweck der Datenbearbeitung ist, in welche Länder die Daten exportiert werden (falls das passiert) und wer Empfänger dieser Personendaten sind. Sofern die Personendaten nicht bei der betroffenen Person selbst beschafft werden, muss zudem die Kategorie der bearbeiteten Personendaten bekanntgegeben werden und die betroffene Person muss bis spätestens einen Monat nach der Datenbeschaffung informiert werden, ausser die Information ist nicht möglich oder erfordert einen unverhältnismässig grossen Aufwand.
Es empfiehlt sich daher dringend für alle Unternehmen, eine derartige Datenschutzerklärung auf ihrer Webseite aufzunehmen, in der beschrieben wird, welche Daten erfasst und bearbeitet werden, wer Zugang zu den erfassten Daten hat, wie das Einsichtsrecht der betroffenen Personen gewährleistet wird, wer als datenschutzbeauftragte Person in Ihrer Unternehmung bestimmt wurde und wie die Datensicherheit sichergestellt wird. Eine fehlende Information kann zudem mit einer Busse bestraft werden.
2. Datenschutzerklärung in Arbeitsverhältnissen
Der Arbeitgeber ist gesetzlich dazu verpflichtet, die Persönlichkeit der Arbeitnehmenden angemessen zu schützen. Zur Bearbeitung von Personendaten wurde das Obligationenrecht mit Art. 328b OR ergänzt, in dem festgehalten wird, dass Arbeitgeber Daten über Arbeitnehmende nur bearbeiten dürfen, soweit sie deren Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind. Im Übrigen gilt das neue Datenschutzgesetz. Von dieser Bestimmung darf keinesfalls zum Nachteil der Arbeitnehmenden abgewichen werden, selbst wenn diese damit einverstanden wären.
Ausserhalb dieser Bestimmung muss der Arbeitgeber einen speziellen Rechtfertigungsgrund haben oder die Einwilligung der Arbeitnehmenden einholen, um deren Personendaten bearbeiten zu dürfen. In diesem Bereich helfen wir Ihnen sehr gerne eine passende, individuelle Datenschutzerklärung für das Verhältnis zwischen Ihnen und Ihren Arbeitnehmenden auszuarbeiten.
3. Verzeichnis der Bearbeitungstätigkeiten
Neu wird zudem die Führung eines Verzeichnisses durch die für die Datenbearbeitung verantwortliche Person obligatorisch, in dem unter anderem die Identität des Verantwortlichen, der Bearbeitungszweck, die Beschreibung der Kategorien der betroffenen Personen und der bearbeiteten Personendaten, die Empfänger der Personendaten, die Aufbewahrungsdauer, die Massnahmen zur Datensicherheit und die Exportländer für die Personendaten umschrieben werden.
Aber Achtung: KMU, die weniger als 250 Arbeitnehmende beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der Arbeitnehmenden mit sich bringt, sind von dieser Pflicht befreit.
Fazit
Das neue Datenschutzgesetz hat durchaus gewichtige Veränderungen und neue Pflichten für Sie als Arbeitgeber mitgebracht. Insbesondere empfiehlt es sich, Datenschutzerklärungen auf der Website zu publizieren und mit den Arbeitnehmenden zu unterzeichnen, falls über Art. 328b OR hinaus Personendaten von Arbeitnehmenden bearbeitet werden. Überdies ist an die neue Pflicht zur Führung eines Verzeichnisses über die Bearbeitungstätigkeiten von Personendaten zu erinnern, wobei KMU grösstenteils davon befreit sein dürften.
Gerne unterstützten wir von bürki bolt rechtsanwälte Sie bei Ihren individuellen Anliegen zum neuen Datenschutzrecht und stehen Ihnen mit juristischem Rat zur Seite.