revDSG für KMU, was 2023 in Kraft trat und was jetzt wirklich nötig ist

Kurzversion

Seit 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Für die meisten KMU bedeutet das:

• Datenschutzerklärung aktualisieren (öffentlich, präzise)
• Verarbeitungsverzeichnis führen (intern, dokumentieren was Sie mit Personendaten machen)
• Auftragsverarbeiter-Liste (wer bekommt Daten zur Verarbeitung)
• Meldepflicht bei Datenpannen (innert „baldmöglichst" an EDÖB)
• Höhere Bussen (bis CHF 250'000, persönlich!)

Das klingt viel, ist mit einem halben Tag Arbeit aber gut abgefrühstückt.

Was ist neu vs. altem DSG (2020)

Bei EU-Bezug (EU-Kunden, EU-Dienstleister) gilt zusätzlich die DSGVO, die ist strenger.

Die fünf konkreten Aufgaben

1. Datenschutzerklärung überarbeiten

Pflicht-Inhalte:

• Wer Sie sind (Verantwortliche Person)
• Welche Daten Sie bearbeiten
• Zwecke der Bearbeitung
• An wen Daten weitergegeben werden (Auftragsverarbeiter, evtl. Ausland)
• Rechte der Betroffenen (Auskunft, Berichtigung, Löschung)
• Kontakt für Datenschutzanfragen

Nicht mehr reichend: „Wir nehmen Datenschutz ernst" + 3 Sätze. Seriös sind 1-2 A4- Seiten. Unsere Vorlage unter /legal/datenschutz zeigt das in Produktion.

2. Verarbeitungsverzeichnis führen

Ab 250 Mitarbeitenden oder bei „besonders schützenswerten Personendaten" (Gesundheit, Religion, biometrische Daten) oder „Profiling mit hohem Risiko" ist es Pflicht. Für kleinere Firmen empfehlen wir es trotzdem, es ist simpel und spart im Ernstfall massiv Zeit.

Inhalt pro Bearbeitung:

• Zweck
• Kategorien von Daten
• Kategorien von Personen (Kunden, Mitarbeitende, Lieferanten)
• Empfänger (intern, Auftragsverarbeiter)
• Speicherdauer
• Technisch-organisatorische Massnahmen

Format: Excel-Tabelle oder Notion/Confluence reicht. Muss nicht ans EDÖB gemeldet werden, aber auf Anfrage vorzulegen.

3. Auftragsverarbeiter-Liste

Typische Verarbeiter in einem KMU:

• Microsoft (M365, wenn Cloud)
• Hetzner (Hosting)
• Buchhaltungs-Software-Anbieter
• Newsletter-Tool (Mailchimp, Brevo)
• Payroll-Provider

Pro Anbieter: AV-Vertrag (Auftragsverarbeitungsvertrag) vorhanden? Ist der Anbieter im EU-Raum oder braucht es Standard Contractual Clauses + Transfer Impact Assessment?

4. Melde-Prozess für Datenpannen

Definiert vor dem Ernstfall:

• Wer erkennt (IT, Mitarbeiter, Kunde)?
• An wen wird gemeldet (intern, extern Anwalt, EDÖB)?
• Welche Frist (baldmöglichst = je nach Risiko innert 72 h)?
• Wie dokumentiert?

Vorlage: Ein internes Incident-Formular (Notion/SharePoint) mit den Pflicht-Feldern (Art des Vorfalls, Daten betroffen, Zeitpunkt, Massnahmen).

5. Rechte der Betroffenen operationalisieren

Typische Anfragen die reinkommen können:

• „Welche Daten haben Sie über mich?" (Auskunftsrecht)
• „Bitte löschen Sie alles" (Löschrecht, mit Ausnahmen wegen OR-Aufbewahrungspflicht)
• „Bitte korrigieren Sie X" (Berichtigungsrecht)

Prozess: Anfrage an datenschutz@<firma>.ch, Antwort innert 30 Tagen, Auskunft kostenlos bei erstem Mal.

Häufige Missverständnisse

• „Wir sind so klein, das betrifft uns nicht": Doch. Alles was Personendaten bearbeitet fällt unter das Gesetz. Nur die Dokumentationspflicht ist ab 250 MA.
• „Das ist doch wie DSGVO": Sehr ähnlich, aber nicht identisch. DSG fokussiert mehr auf Verantwortlichkeit der Firma, DSGVO auf Rechte der Betroffenen.
• „Wir brauchen einen DSB": Nein, nur bei besonders risikoreicher Bearbeitung. Für die meisten KMU reicht eine verantwortliche Person.
• „US-Cloud darf gar nicht mehr": Doch, aber mit zusätzlichen Vorkehrungen (TIA, SCCs). Praktisch arbeiten fast alle Schweizer KMU mit US-Tools (M365, Google), das ist legal, muss aber dokumentiert sein.

Weiterführend

• EDÖB-Website: https://www.edoeb.admin.ch
• /wissen/cookie-banner-dsg-entscheidungsbaum, spezifisch zu Website-Tracking
• Unser Web-&-Commerce-Angebot deckt revDSG-konforme Formulare und Analytics ab

Dieser Artikel ersetzt keine rechtliche Beratung. Bei komplexen Fragen einen Schweizer Datenschutz-Anwalt beiziehen.