Angenommen, ein Kunde schreibt Ihnen eine E-Mail und fragt, welche Daten Sie über ihn gespeichert haben und wer Zugriff darauf hat. Können Sie diese Frage innerhalb von 30 Tagen vollständig und korrekt beantworten?
Wenn die Antwort "nicht sicher" lautet, sind Sie in guter Gesellschaft. Die meisten kleinen und mittleren Unternehmen in der Schweiz haben mit dem revidierten Datenschutzgesetz (DSG), das seit dem 1. September 2023 in Kraft ist, noch Nachholbedarf. Dieser Artikel hilft Ihnen, die wichtigsten Punkte strukturiert anzugehen.
Wen betrifft das DSG überhaupt?
Eine verbreitete Fehlannahme ist, dass das DSG nur grosse Unternehmen mit IT-Abteilungen betrifft. Das stimmt nicht.
Das DSG gilt für jede natürliche oder juristische Person, die Personendaten bearbeitet. Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen: Name und Adresse, E-Mail-Adresse, Telefonnummer, IP-Adresse, Fotos, Zahlungsinformationen.
Praktisch jedes Unternehmen bearbeitet Personendaten. Wer ein Kontaktformular auf der Website hat, Kundendaten in Excel führt, einen Newsletter-Dienst nutzt oder Rechnungen stellt, fällt unter das DSG. Die Grösse des Unternehmens spielt dabei keine Rolle.
Was droht bei Verstössen?
Das DSG richtet Sanktionen nicht gegen das Unternehmen als juristische Person, sondern gegen verantwortliche natürliche Personen. Als Geschäftsführerin oder Geschäftsführer haften Sie persönlich.
Bei vorsätzlichen Verstössen sind Bussen von bis zu CHF 250.000 möglich. Hinzu kommen Reputationsschäden, die oft gravierender sind als die finanzielle Strafe: Der Eidgenössische Datenschutzbeauftragte (EDÖB) kann Untersuchungen einleiten und Empfehlungen öffentlich machen.
Die gute Nachricht: Wer sich ernsthaft um Compliance bemüht und nachweislich Massnahmen ergriffen hat, steht deutlich besser da als jemand, der das Thema ignoriert hat.
Die Checkliste: 8 Punkte für KMU
1. Datenschutzerklärung auf der Website
Ihre Website muss eine aktuelle, verständliche Datenschutzerklärung enthalten. Sie muss erklären, welche Daten erhoben werden, zu welchem Zweck, wie lange sie gespeichert werden, an wen sie weitergegeben werden und welche Rechte Betroffene haben.
Prüfen Sie Ihre bestehende Datenschutzerklärung konkret auf zwei Dinge: Sind alle Tools erwähnt, die Sie tatsächlich nutzen? Und fehlen Dienste, die Sie inzwischen nicht mehr einsetzen? Veraltete Angaben sind genauso problematisch wie fehlende.
2. Cookie-Einwilligung korrekt umsetzen
Falls Ihre Website Tracking-Tools einsetzt, beispielsweise Google Analytics oder Meta Pixel, brauchen Sie eine aktive Einwilligung der Nutzer. Ein Cookie-Banner, der nur informiert, aber keine echte Wahl lässt, genügt nicht.
Nutzer müssen Tracking ablehnen können, ohne dabei Nachteile zu haben. Cookie-Consent-Lösungen wie Cookiebot oder CookieYes lassen sich in die meisten CMS-Systeme integrieren und erledigen das technisch korrekt.
3. Auftragsverarbeitungsverträge abschliessen
Immer wenn Sie Personendaten an externe Dienstleister weitergeben oder diese Daten in Ihrem Auftrag verarbeiten, brauchen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag, auch DPA genannt).
Betroffene Dienstleister sind typischerweise Ihr Hosting-Anbieter, E-Mail-Marketing-Dienste, Cloud-Speicher und CRM-Systeme. Prüfen Sie für jeden Dienst, ob ein gültiger AV-Vertrag vorliegt, der mit Schweizer Recht kompatibel ist.
4. Meldepflicht bei Datenpannen
Wenn es zu einer Sicherheitsverletzung kommt, die ein hohes Risiko für betroffene Personen darstellt, müssen Sie den EDÖB unverzüglich, spätestens innerhalb von 72 Stunden, informieren.
Richten Sie intern einen klaren Prozess ein: Wer ist die verantwortliche Person? Wie wird intern kommuniziert? Wer entscheidet, ob eine Meldepflicht besteht? Dieser Prozess sollte schriftlich festgehalten sein, bevor ein Vorfall eintritt.
5. Datenübermittlung ins Ausland prüfen
Daten dürfen nicht in beliebige Länder übermittelt werden. Erlaubt ist die Übermittlung in Länder mit angemessenem Datenschutzniveau, darunter alle EU- und EWR-Staaten mit DSGVO.
Für die USA gilt: US-Unternehmen unterliegen dem CLOUD Act. Amerikanische Behörden können unter bestimmten Voraussetzungen auf Daten zugreifen, die bei US-Unternehmen gespeichert sind, unabhängig davon, ob der Server physisch in Europa steht. Wer Google Workspace, Microsoft 365 oder Dropbox nutzt, sollte prüfen, ob entsprechende Standardvertragsklauseln vorliegen.
6. Auskunftsrecht der Betroffenen gewährleisten
Jede Person kann verlangen zu wissen, welche Daten über sie gespeichert sind, und diese korrigieren oder löschen lassen. Sie müssen in der Lage sein, solche Anfragen innert angemessener Frist zu beantworten.
Beantworten Sie für Ihr Unternehmen diese Fragen: Wo sind alle Personendaten gespeichert? In welchen Systemen? Wie lange werden sie aufbewahrt? Wer hat Zugriff? Wer diese Fragen nicht beantworten kann, hat noch Hausaufgaben.
7. Technische Sicherheitsmassnahmen umsetzen
Das DSG fordert technische und organisatorische Massnahmen, um Daten zu schützen. Konkret bedeutet das für die meisten KMU: HTTPS auf der gesamten Website, regelmässige Updates aller eingesetzten Software, starke Passwörter und Zwei-Faktor-Authentifizierung für alle Systeme mit Personendaten sowie regelmässige Datensicherungen an einem sicheren, externen Ort.
8. Verzeichnis der Bearbeitungstätigkeiten führen
Unternehmen, die regelmässig und systematisch Personendaten bearbeiten oder besonders schützenswerte Daten verarbeiten, müssen ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Dieses dokumentiert, welche Daten zu welchem Zweck bearbeitet werden.
Für viele kleine KMU reicht eine einfache Tabelle: Welche Personendaten, für welchen Zweck, wo gespeichert, wie lange aufbewahrt, an wen weitergegeben.
Der einfachste Hebel: Die Wahl des Hosting-Anbieters
Viele der genannten Punkte hängen direkt mit dem Hosting zusammen. Ein Schweizer Anbieter mit Serverstandort Schweiz vereinfacht die Compliance erheblich: Die Daten bleiben unter Schweizer Datenschutzrecht, es gibt kein CLOUD-Act-Risiko, AV-Verträge sind unkompliziert und Schweizer-recht-konform, und die technische Sicherheitsinfrastruktur liegt beim Anbieter.
Das löst nicht alle Compliance-Aufgaben, nimmt Ihnen aber einen wesentlichen Teil der Last ab.
Der nächste Schritt
DSG-Compliance ist kein Projekt, das einmal abgehakt wird. Es ist ein fortlaufender Prozess, der sich aber in überschaubare Schritte aufteilen lässt.
Beginnen Sie mit dem Einfachsten: Rufen Sie Ihre eigene Datenschutzerklärung auf und prüfen Sie, ob sie noch aktuell ist. Das dauert 15 Minuten und gibt Ihnen sofort ein klares Bild, wie weit Sie noch vom Ziel entfernt sind.
