Datenschutz für kleine Unternehmen

In der Schweiz gilt das neue Datenschutzgesetz (revidiertes DSG / revDSG) seit dem 1. September 2023. Es regelt unter anderem, wie Unternehmen mit personenbezogenen Daten umgehen müssen. Diese umfassen zum Beispiel:

• Name, Adresse, Telefonnummer
• E-Mail-Adresse
• IP-Adresse (Online-Adresse eines Computers)
• Gesundheitsdaten oder Geburtsdatum

Das revDSG betrifft alle Unternehmen mit Sitz in der Schweiz. Wenn Sie jedoch auch Daten von Personen aus der EU bearbeiten, beispielsweise über einen Online-Shop oder weil Sie Newsletter an Kund:innen in Deutschland, Frankreich oder Italien versenden, müssen Sie zusätzlich die Datenschutz-Grundverordnung (DSGVO) der EU einhalten.

Umgekehrt gilt das revDSG ebenso für Sachverhalte, die im Ausland veranlasst werden, sofern sie sich in der Schweiz auswirken.

Das Schweizer Datenschutzgesetz und die EU Datenschutz-Grundverordnung verfolgen grundsätzlich das gleiche Ziel: den Schutz der Persönlichkeit. Dennoch unterscheiden sich die beiden Gesetze in mehreren Punkten. Eine (nicht abschliessende) Übersicht:

1. Einwilligung
   In der Schweiz ist die Bearbeitung von personenbezogenen Daten in den meisten Fällen ohne ausdrückliche Einwilligung zulässig, solange die rechtlichen Vorgaben eingehalten werden. Dies kann etwa dann der Fall sein, wenn die Datenbearbeitung für die Erfüllung eines Vertrages notwendig ist und dies den betroffenen Personen auch so mitgeteilt wird. In der EU ist die Hürde höher: Für eine Datenbearbeitung gilt dort der Grundsatz, dass eine Einwilligung vorliegen muss.
    

2. Informationspflicht
   Gemäss der DSGVO müssen Sie Ihre Kund:innen im Zeitpunkt der Datenerhebung insbesondere darüber informieren, welche Daten Sie erheben, wofür Sie diese benötigen, wie lange Sie diese speichern und an wen Sie diese weitergeben. Die Informationspflicht gemäss der DSGVO ist umfassender als diejenige gemäss DSG, ausser im Bereich der Datenbekanntgabe ins Ausland – dort geht die Informationspflicht des Schweizer Gesetzes weiter. In der Schweiz bestehen Mindestangaben, welche den betroffenen Personen zu machen sind: Identität und Kontaktdaten des Datenbearbeiters, Bearbeitungszweck sowie Empfänger oder die Kategorie von Empfängern, denen die Personendaten bekannt gegeben werden.

   Die Informationspflicht wird oftmals mittels einer Datenschutzerklärung (siehe Abschnitt «Datenschutzerklärung und Impressum korrekt formulieren») erfüllt.

3. Meldung von Datensicherheitsverletzungen
   In der Schweiz gilt: Sie müssen eine Verletzung der Datensicherheit «so rasch wie möglich» melden – aber nur, wenn ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person(en) besteht. In der EU sind solche Meldungen umgehend nach Entdecken, jedoch spätestens innerhalb von 72 Stunden verpflichtend, und zwar unabhängig vom Risiko für die betroffene Person.
    
4. Strafen
   Das Schweizer Gesetz sieht Bussen bis maximal 250'000 Franken vor – und richtet diese gegen verantwortliche Einzelpersonen im Unternehmen (z. B. Geschäftsleitung). Die DSGVO ist deutlich strenger: Hier drohen Geldstrafen von bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr (je nachdem, welcher Betrag höher ist). Und: Die Firma selbst wird gebüsst, nicht Einzelpersonen.
    
5. Ausländische Vertretung
   Schweizer Firmen mit Kund:innen in der EU brauchen eine Datenschutz-Vertretung in einem EU-Land. Umgekehrt müssen ausländische Firmen mit Datenbezug zur Schweiz eine Vertretung in der Schweiz benennen.

Auch KMU sind verpflichtet, sich an das Schweizer Datenschutzgesetz zu halten. Wenn Sie Rechnungen schreiben, Newsletter versenden oder eine Website mit Kontaktformular betreiben, bearbeiten Sie dabei personenbezogene Daten. Und das bringt Pflichten mit sich. So schreibt das Datenschutzgesetz der Schweiz beispielsweise vor, dass die Datenbearbeitung grundsätzlich erlaubt ist, solange sie nicht zu einer widerrechtlichen Persönlichkeitsverletzung der betroffenen Person führt. Das heisst, es müssen stets die Bearbeitungsgrundsätze gemäss Schweizer Datenschutzgesetz eingehalten werden (Art. 6 DSG).

Die wichtigsten Grundsätze sind:

• Zweckbindung: Sie dürfen Daten nur für den Zweck verwenden, für den sie ursprünglich erhoben wurden. Beispiel: Wenn jemand seine Adresse für eine Lieferung angibt, dürfen Sie diese nicht automatisch für Werbung verwenden.
   

• Treu und Glauben und Verhältnismässigkeit: Es wird ein loyales und vertrauenswürdiges Verhalten im Geschäftsverkehr verlangt. So würde beispielsweise eine heimliche Beschaffung der Personendaten diesem Grundsatz widersprechen. Bei der Verhältnismässigkeit geht es darum, dass die Datenbearbeitung für die Erreichung des beabsichtigten Bearbeitungszwecks geeignet, erforderlich und zumutbar sein muss.

  Ein Beispiel: Sie dürfen nur so viele Daten erheben, wie wirklich nötig sind. Beispiel: Für eine Offertanfrage reichen Name und E-Mail. Das Geburtsdatum wäre überflüssig.

• Rechtmässigkeitsprinzip: Personendaten dürfen nicht in Verletzung einer anderen Norm des Schweizer Rechts bearbeitet werden, welche direkt oder indirekt dem Schutz der Persönlichkeit dient (z.B. das Recht am eigenen Bild).
   
• Löschpflicht: Daten, die nicht mehr benötigt werden, das heisst, wenn der Bearbeitungszweck erreicht worden ist, müssen gelöscht oder anonymisiert werden – ausser es besteht eine gesetzliche Aufbewahrungspflicht.
   
• Richtigkeit: Wer Personendaten bearbeitet, muss sicherstellen, dass diese im Hinblick auf den Bearbeitungszweck korrekt sind.
   
• Ausdrückliche Einwilligung: In gewissen Fällen, in denen eine Einwilligung erforderlich ist, muss diese ausdrücklich ergehen (z.B. durch geschriebene Worte). In solchen Fällen muss die Einwilligung auch freiwillig ergehen.

Viele KMU nutzen Dienste von Anbietern mit Sitz im Ausland, beispielsweise Cloud-Speicher, Newsletter-Tools, Bezahldienste oder CRM-Systeme. Dabei müssen sie sicherstellen, dass das Zielland ein ausreichendes Niveau an Datenschutz bietet.

Die Datenübermittlung ist erlaubt, wenn:

• Der Datenschutz des Ziellandes vom Schweizer Bundesrat als ausreichend eingestuft wurde. Die offizielle Länderliste finden Sie in der Datenschutzverordnung. Fehlt das Zielland auf der Länderliste, d. h. es liegt kein Entscheid des Bundesrates vor, müssen weitere Voraussetzungen erfüllt sein, damit eine Bekanntgabe ins Ausland erlaubt ist.
   

• Beispielsweise: Durch mit dem Dienstleister abgeschlossene Standarddatenschutzklauseln, welche vorgängig vom EDÖB (Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten) genehmigt, ausgestellt oder anerkannt worden sind. Diese sichern vertraglich ein vergleichbares Datenschutzniveau.

  Hat die betroffene Person ausdrücklich in die Bekanntgabe ins Ausland eingewilligt, so muss weder der Bundesrat das Datenschutzniveau dieses Landes als für ausreichend erklärt haben, noch braucht es eine zusätzliche Voraussetzung. 

• Beispiel: Sie nutzen ein CRM-System aus den USA. Da die USA kein «sicheres Drittland» sind, brauchen Sie zusätzliche Vertragsklauseln oder die ausdrückliche Einwilligung Ihrer Kund:innen.

Ein Datenleck, ein verlorener Laptop oder ein Hackerangriff – all das kann zu einer Datensicherheitsverletzung führen. Wenn personenbezogene Daten dabei verloren gehen oder unbefugt zugänglich gemacht werden, besteht Handlungsbedarf.

In der Schweiz gilt:

• Melden Sie den Vorfall so schnell wie möglich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), wenn ein hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen besteht.
   
• Informieren Sie auch die betroffenen Personen, wenn deren Rechte gefährdet sind (z. B. bei Identitätsdiebstahl, Passwortleaks).

Wenn personenbezogene Daten aus der EU betroffen sind, müssen Sie gemäss der DSGVO umgehend, spätestens jedoch innert 72 Stunden handeln – das heisst, eine Meldung an die zuständige Aufsichtsbehörde machen.

Wenn Sie externe Dienstleister, etwa für IT, Buchhaltung oder Newsletter, nutzen, gelten diese als Auftragsbearbeiter. Das bedeutet, dass sie personenbezogene Daten in Ihrem Auftrag bearbeiten.

Sie müssen mit diesen Dienstleistern einen schriftlichen Vertrag abschliessen, der insbesondere klar regelt:

• Welche Daten verarbeitet werden
• Zu welchem Zweck
• Dass die Datensicherheit gewährleistet werden kann und eingehalten wird
• Wer im Fall einer Datenschutzverletzung benachrichtigt werden muss
• Ob der Dienstleister Unteraufträge vergeben darf

Dieser Vertrag ist gesetzlich vorgeschrieben – sowohl im Schweizer Datenschutzgesetz (Art. 9 DSG) als auch in der DSGVO (Art. 28).

Personenbezogene Daten sind Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Sie müssen sich einer Person zuordnen lassen (Personenbezug). Damit ein Personenbezug vorliegt, muss die in Frage stehende Angabe folglich in ihrem Bedeutungsgehalt inhaltlich einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Dazu gehören etwa Name, Adresse, Telefonnummer, E-Mail-Adresse und Geburtsdatum.

Sobald Ihr Unternehmen personenbezogene Daten erhebt – sei es über ein Kontaktformular, eine Offertanfrage oder im Rahmen eines Verkaufs –, gelten gesetzliche Regeln zur Speicherung, Nutzung und Löschung.

Grundsatz: So wenig wie möglich, so lange wie nötig.

Sie dürfen nur Daten erfassen, wenn ein klarer Zweck besteht, und nur so viele, wie wirklich notwendig sind (Prinzip der Verhältnismässigkeit). Sobald die Daten nicht mehr gebraucht werden, müssen sie gelöscht oder anonymisiert werden – es sei denn, gesetzliche Vorschriften verlangen eine längere Aufbewahrung (zum Beispiel bei Buchhaltungsunterlagen).

Die betroffene natürliche Person ist bestimmt, soweit sich ohne Weiteres aus der Information selbst ergibt, dass es sich genau um die konkrete, betroffene Person handelt. Bestimmbar ist die betroffene natürliche Person, wenn grundsätzlich die Möglichkeit besteht, ihre Identität festzustellen.

Das Schweizer Datenschutzgesetz gibt betroffenen Personen (also Ihren Kund:innen) klare Rechte. Zwei davon sind für KMU besonders relevant:

• Auskunftsrecht: Jede Person hat das Recht zu erfahren, ob und welche ihrer Personendaten ein Unternehmen bearbeitet (z.B. gespeichert hat). Wenn jemand ein Auskunftsbegehren stellt, müssen Sie innert 30 Tagen Folgendes offenlegen: die Identität und die Kontaktdaten des Verantwortlichen für die Datenbearbeitung, welche Daten gespeichert sind (bearbeitet werden), erklären, woher die Daten stammen, angeben, zu welchem Zweck sie verwendet werden, ob sie an Dritte weitergegeben wurden (z. B. externe Dienstleister) und die Aufbewahrungsdauer. Diese Auskunft muss grundsätzlich schriftlich, kostenlos und vollständig erfolgen.
   
• Recht auf Löschung: Kund:innen dürfen verlangen, dass ihre Daten gelöscht werden – vor allem, wenn: die Daten nicht mehr gebraucht werden – d.h. ihren Bearbeitungszweck erfüllt worden ist, die Person ihre Einwilligung widerruft oder die Bearbeitung unrechtmässig war. In diesem Fall sind Sie verpflichtet, die Daten zeitnah und vollständig zu löschen – es sei denn, gesetzliche Vorschriften (z. B. Archivierungspflicht bei Rechnungen) verlangen die weitere Aufbewahrung.

Fast jedes Unternehmen bearbeitet heute personenbezogene Daten – zum Beispiel durch eine Website, ein Kontaktformular, eine Offertanfrage oder einen Newsletter. Deshalb ist eine Datenschutzerklärung in der Schweiz Standard, um die betroffenen Personen über die Datenbearbeitungen zu informieren.

Die Datenschutzerklärung ist gesetzlich nicht vorgeschrieben. Es ist jedoch in vielen Fällen die gewählte Form, um die Informationspflicht zu erfüllen. Sie zeigt Ihren Kund:innen, wie Sie mit Daten umgehen.

Die Datenschutzerklärung sollte leicht zugänglich und gut sichtbar sein – am besten dort, wo die betroffenen Personen mit Ihrem Unternehmen in Kontakt treten. Das bedeutet:

• Auf der Website: als klar gekennzeichneter Link im Footer (Seitenende), z. B. mit dem Titel «Datenschutzerklärung» oder «Datenschutz».
   
• In Online-Formularen (Kontakt, Newsletter, Bestellungen): mit einem kurzen Hinweistext und einem Link zur vollständigen Datenschutzerklärung.
   
• In E-Mails oder Offerten: bei Erstkontakt mit Kund:innen kann ein kurzer Hinweis mit Link oder PDF sinnvoll sein.
   
• In Newslettern: am besten im Footer des E-Mails oder als Hinweis beim Anmeldeformular

Viele verwechseln die Datenschutzerklärung mit einem Datenschutzhinweis – doch es handelt sich um zwei unterschiedliche Dinge:

• Die Datenschutzerklärung ist eine vollständige, umfassende Information über alle relevanten Datenbearbeitungen in Ihrem Unternehmen. Sie ist für alle sichtbar, meist auf der Website oder als Anhang in Dokumenten.
   
• Ein Datenschutzhinweis ist ein kurzer Text, der direkt dort erscheint, wo gerade Daten erhoben werden – z. B. im Kontaktformular oder bei der Anmeldung zu einem Newsletter. Er weist auf die Datenschutzerklärung hin und erklärt in einem Satz, dass Daten bearbeitet werden. Beispiel: «Ihre Angaben werden zur Bearbeitung Ihrer Anfrage verwendet. Weitere Informationen finden sie in unserer Datenschutzerklärung.»

Datenschutz heisst für KMU nicht nur, Daten korrekt zu erfassen – sondern auch, sie sicher aufzubewahren. Denn ein Verlust, Diebstahl oder Missbrauch von Daten kann rechtliche und finanzielle Folgen haben. Das revDSG verpflichtet Unternehmen dazu, die nötigen technischen und organisatorischen Massnahmen (TOM) zu treffen, um personenbezogene Daten zu schützen.

Welche Massnahmen notwendig sind, hängt vom Risiko ab: Je sensibler die Daten, desto höher die Anforderungen. Auch kleine Unternehmen müssen nachweisen können, dass sie grundlegende Schutzvorkehrungen getroffen haben.

Klar ist, dass die gewählten Massnahmen es ermöglichen müssen, Verletzungen der Datensicherheit zu vermeiden.

Diese betreffen die IT-Systeme, mit denen Sie arbeiten und auch die Organisation per se. Sie sorgen dafür, dass die Daten nur Berechtigten zugänglich sind, verfügbar sind, wenn sie benötigt werden, nicht unberechtigt oder unbeabsichtigt verändert werden und nachvollziehbar bearbeitet werden. Massnahmen, damit diese Ziele erreicht werden, können sein:

• Starke Passwörter für Geräte, Programme und E-Mails festlegen
• Verschlüsselung sensibler Daten (z. B. bei E-Mail-Anhängen, Cloud-Lösungen)
• Automatische Software-Updates und Virenschutz
• Firewall und sichere WLAN-Verbindungen
• HTTPS-Verschlüsselung für Ihre Website
• Regelmässige Backups, die vor Verlust schützen

Detaillierte Ausführungen finden sich in Art. 3 der DSV.

Diese betreffen Prozesse, Zuständigkeiten und das Verhalten im Arbeitsalltag. Ziel ist, dass der Datenschutz im Unternehmen konsequent gelebt wird – auch ohne grosse IT-Abteilung.

Typische organisatorische Vorkehrungen:

• Klare Zuständigkeit für Datenschutz im Unternehmen
• Schulung der Mitarbeitenden im sicheren Umgang mit Daten
• Interne Regeln: z. B. zur Aufbewahrung und Löschung von Kundendaten
• Vertraulicher Umgang mit Papierdokumenten (z. B. keine Kundendaten offen liegen lassen)
• Verträge mit externen Dienstleistern, die Daten für Sie bearbeiten (z. B. IT-Partner, Treuhänder)

Künstliche Intelligenz findet heute auch in KMU immer häufiger Anwendung, beispielsweise bei automatischen Antworten im Kundenservice, bei Auswertungen im Marketing oder bei Tools zur Generierung von Texten oder Bildern.

Was viele nicht wissen: KI-Systeme bearbeiten oft grosse Mengen personenbezogener Daten, etwa Kundendaten, E-Mail-Adressen, Nutzungsverhalten oder Gesprächsinhalte. Und sobald solche Daten bearbeitet werden, gilt das Schweizer Datenschutzgesetz.

Sie sind dann verpflichtet, sicherzustellen, dass die Bearbeitungsgrundsätze eingehalten werden (vgl. oben).

Werden in Ihrem KMU Entscheidungen getroffen, die ausschliesslich auf einer automatisierten Bearbeitung beruhen und diese Entscheidungen sind mit Rechtsfolgen verbunden oder sie beeinträchtigen die betroffene Person erheblich, so bestehen weitergehende Pflichten (sogenannte automatisierte Einzelentscheidungen):

In bestimmten Fällen schreibt das Gesetz eine Datenschutzfolgenabschätzung (DSFA) vor. Diese ist Pflicht, wenn eine Datenbearbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen mit sich bringt, beispielsweise durch umfangreiche Bearbeitung besonders schützenswerter Personendaten.

Einfach erklärt: Sie müssen vor dem Einsatz einer risikoreichen Technologie (z. B. ein KI-Tool) prüfen (und dokumentieren), ob und wie die Rechte der betroffenen Personen gefährdet werden könnten, dieses Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person bewerten und aufzeigen, mit welchen Massnahmen sich diese Risiken verringern lassen.

Ein hohes Risiko kann sich aus der Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung ergeben.

Wir möchten Sie darauf hinweisen, dass dieser Inhalt und die zur Verfügung gestellten Unterlagen als allgemeine Rechtsauskunft zu werten sind. Sie ersetzen keine Rechtsberatung im Einzelfall. Die Mobiliar und die Protekta lehnen jegliche Haftung im Zusammenhang mit dem Inhalt dieses Beitrags ab.