Bald ist es zwei Jahre her, seit das revidierte Schweizer Datenschutzgesetz in Kraft getreten ist. Ein Meilenstein, der den Schutz persönlicher Daten in der digitalen Ära stärken sollte. Doch wie so oft klaffen Anspruch und Wirklichkeit auseinander. Während das Gesetz auf dem Papier scheinbar klare Richtlinien vorgibt, hat die Umsetzung in der Praxis zahlreiche Fragen aufgeworfen, von denen für die Umsetzenden zu viele noch nicht vollständig geklärt sind. In diesem Blogpost werfen wir einen kritischen Blick auf den Datenschutz in der Schweiz und zeigen auf, weshalb ein Umdenken notwendig ist und welche Fragen Sie sich wirklich stellen sollten.

Datenschutz in der Schweiz: Zwischen Gesetz und gelebter Praxis

Die Vorbereitung auf das Gesetz — Ein Flickenteppich

In den vergangenen Jahren haben sich viele Unternehmen in der Schweiz intensiv mit den neuen gesetzlichen Anforderungen auseinandergesetzt. Die Vorbereitungsphase war geprägt von Gap-Analysen und der Erstellung umfangreicher Dokumentationen. Datenschutzrichtlinien, Prozesse zur Behandlung von Betroffenengesuchen, Verträge zur Auftragsdatenbearbeitung und Datenschutzerklärungen wurden in vielen Unternehmen akribisch erarbeitet. Es entstand eine regelrechte Flut an Dokumenten, um den Nachweispflichten des revidierten Datenschutzgesetzes gerecht zu werden.

Um die komplexen Anforderungen des Gesetzes zu verstehen oder mindestens korrekt umzusetzen, haben einige Unternehmen auf externe Beratung gesetzt, während andere interne Stellen geschaffen und diese ausgebildet haben. Wer mit Ressourcenmangel auf finanzieller oder personeller Ebene zu kämpfen hat, musste sich dagegen häufig mit einer halbherzigen und schleppenden Umsetzung der recht umfangreichen und komplexen Anforderungen zufriedengeben. Verschärft wurde dies zudem dadurch, dass die Auslegung einzelner Bestimmungen des Gesetzes zu unterschiedlichen Interpretationen in der Praxis und damit zu Unsicherheiten bei vielen geführt hat.

Die Hauptlast dieser uneinheitlichen und teils mangelhaften Umsetzung trugen am Ende häufig die Mitarbeitenden. Sie sahen sich plötzlich mit neuen, oft unklaren und unzureichend kommunizierten Vorgaben konfrontiert und mussten die daraus resultierenden Herausforderungen im operativen Geschäft bewältigen.

Das Gesetz ist da — Das Interesse schwindet

Seit dem Inkrafttreten des revidierten Datenschutzgesetzes vor gut zwei Jahren ist es ruhiger geworden. Gespannt haben viele darauf gewartet, dass Bussen ausgesprochen oder vermehrt Gesuche von Betroffenen eingehen. Auch wenn mindestens eine Busse unter dem neuen Gesetz ausgesprochen wurde, blieb die grosse Welle aus, die die Verantwortlichen erschüttert hätte. Stattdessen verliert der Datenschutz aufgrund von Themen wie künstlicher Intelligenz und Data Governance weiter an Aufmerksamkeit.

Die Unterschiede der grossen, teilweise internationalen Unternehmen mit weitreichenden Ressourcen und eigenen Datenschutzberatern und -beauftragten gegenüber den vielen KMU in der Schweiz werden deutlicher. Vor allem, was die Nachhaltigkeit betrifft.

Die Komplexität des Gesetzes, begrenzte finanzielle und personelle Ressourcen sowie mangelnde Fachkenntnisse der internen Datenschutzberater führen dazu, dass der Datenschutz im Alltag von KMU rasch wieder an Bedeutung verliert. Es fällt kleineren und mittleren Unternehmen schwer, Prozesse nachhaltig zu etablieren und die Sensibilisierung dauerhaft zu sichern. Das hängt sicherlich auch damit zusammen, dass die erarbeiteten Dokumentationen oft zu allgemein oder oberflächlich formuliert sind und dass Prozesse nicht in die Prozesslandschaft der Unternehmen integriert oder nicht spezifisch genug sind. Für die Mitarbeitenden fehlen dadurch klare Anweisungen oder Handlungsempfehlungen, die sie in ihrem täglichen Geschäft umsetzen könnten. Nimmt zudem niemand langfristig eine Vorbild-Rolle ein, vernachlässigen die Mitarbeitenden neue Vorgaben nach und nach.

Herausforderungen in der Praxis — Dem Stillstand entgegenwirken

Damit der Datenschutz wieder an Bedeutung gewinnen kann, ist es wichtig, ihn nicht nur als Gesetz zu verstehen. Die Verantwortlichen müssen sich bewusst werden, dass die Persönlichkeit und Sicherheit von Personen im Fokus stehen, deren Daten bearbeitet werden.

Für eine nachhaltige Integration des Datenschutzes in den Alltag sollte der Datenschutz nicht als lästiges Übel oder gar als Verhinderer gesehen werden. Vielmehr braucht es ein ehrliches Interesse an Kunden, Klienten, Patienten, Versicherten, Interessenten, Mitarbeitenden, Geschäftspartnern und allen Personen, mit denen man in Kontakt steht.

Unternehmen sollten nicht versuchen, das Datenschutzgesetz zu verstehen, sondern ihre Daten. Helfen dabei können Fragen wie die nachfolgenden (nicht abschliessend). Mit diesen sollte man sich befassen, mindestens dann, wenn man ein Geschäftsmodell anpasst, ein neues Tool beschafft, neue Prozesse einführt oder bestehende Prozesse ändert.

• Werden Daten bearbeitet, die im Zusammenhang mit klar identifizierbaren Personen stehen?
• Ist erkennbar oder bekannt, welche Daten mit diesen identifizierten Personen in Verbindung stehen und wo diese Daten zu finden sind?
• Was ist das Ziel dieser Bearbeitung aus Sicht des Unternehmens?
  • Ist die Bearbeitung notwendig?
  • Könnten auch weniger oder andere Daten bearbeitet werden?
  • Können wir das Ziel vielleicht auch anders - ohne Personendaten - erreichen?
• Was bedeutet die Bearbeitung dieser Daten für die betroffenen Personen?
• Wissen betroffene Personen, dass ihre Daten bearbeitet werden?
  • Wenn nicht, was wäre der einfachste Weg, die Personen zu erreichen?
• Was wären die Auswirkungen auf die betroffenen Personen, wenn diese Daten
  • an die Öffentlichkeit gelangen oder in fremde Hände geraten würden?
  • nicht korrekt sind?
  • nicht mehr verfügbar sind?

Fehlen Antworten auf diese Fragen, sollte man sich fragen: Habe ich meine Daten unter Kontrolle und wenn nein, was kann ich tun, um das zu ändern? Mit Sicherheit bewegt man sich damit in eine positive Richtung — ganz ohne Gesetz als Leitfaden.

Wichtig für die Unternehmen ist, dass sie dranbleiben und das Thema Datenschutz nicht als unwichtig abtun, nur weil es bisher kaum Bussen gab. Denn die weiter voranschreitende Digitalisierung ohne Landesgrenzen, ausländische Rechtsgebilde und neue Technologien wie künstliche Intelligenz machen die Zukunft und ihre Auswirkungen schwer abschätzbar.

Sind Sie sicher, noch längst nicht alle relevanten Fragen gefunden oder beantwortet zu haben? Unsere Spezialistinnen im Datenschutz unterstützen Sie gerne praxisnah und pragmatisch mit aktuellem Datenschutz-Wissen und zugleich unternehmerischem Denken. Werden Sie mit uns zum Vorbild und fördern Sie Ihre Datenschutz-Kultur.

Haben Sie Fragen oder benötigen Sie Unterstützung bei einem Projekt, einer Massnahme oder begleitend im Alltag? Informationen zu unseren Dienstleistungen im Bereich Datenschutz finden Sie hier. Gerne beraten wir Sie unverbindlich.