Das neue Schweizer Datenschutzgesetz und seine Auswirkungen auf Unternehmen

Der Schutz personenbezogener Daten hat in der heutigen digitalen Welt eine enorme Bedeutung erlangt. Unternehmen sammeln, verarbeiten und nutzen eine Vielzahl von personenbezogenen Daten, um ihre Geschäftsprozesse zu unterstützen und ihre Kunden besser zu verstehen. Daten sind die wertvollste Währung im digitalen Zeitalter.

Angesichts der zunehmenden Datenschutzbedenken, der steigenden Cyber-Kriminalität und der wachsenden Anzahl von Datenverstössen ist es unerlässlich, dass Unternehmen angemessene Sicherheitsmassnahmen ergreifen, um die Vertraulichkeit und Integrität dieser sensiblen Informationen zu gewährleisten.

Wir stellen die versicherungsrelevanten Auswirkungen und die wichtigsten Anpassungen des neuen Datenschutzgesetzes vor, das im September 2023 in der Schweiz in Kraft tritt.

Das neue Datenschutzgesetz der Schweiz ist eine Annäherung an den Datenschutz der europäischen Union und bringt einige wesentliche Änderungen mit sich, die Unternehmen dazu verpflichten, ihre Datenschutzpraktiken zu überprüfen und anzupassen. Die vier Schlüsselaspekte sind:

1. Das revDSG regelt einen besseren Schutz der Daten der betroffenen Personen. Alle hiesigen Unternehmen – inkl. Vereine, Stiftungen, Einzelfirmen – müssen ab dem 1. September 2023 (ohne Übergangsfrist) die neuen Regeln umsetzen. Ausnahme sind Institutionen mit kantonalem Auftrag (bspw. Gemeinden oder Kantone ggf. auch Heime). Diese unterstehen den kantonalen Datenschutzgesetzgebungen. Ferner gilt das revDSG nur noch für Daten von natürlichen Personen. Daten von juristischen Personen sind nicht mehr im Geltungsbereich des DSG.

2. Unternehmen sind in der Pflicht, organisatorische und technische Massnahmen zur Sicherstellung der Datensicherheit und zur Verhinderung des Datenmissbrauchs zu ergreifen. Diese Pflicht betrifft den Verwaltungsrat, die Geschäftsleitung, Datenschutzverantwortliche wie auch alle Mitarbeitenden. Für die verantwortlichen Personen (privatrechtlich) werden bei Nichteinhaltung hohe Bussen bis CHF 250’000 erwartet. Neu kann das Unternehmen selbst mit bis zu CHF 50’000 gebüsst werden.

3. Eine vertiefte Auseinandersetzung der Unternehmen mit dem Umgang von Daten ist notwendig. Die Datenschutzrichtlinien müssen aktualisiert werden, damit sie den rechtlichen Anforderungen entsprechen. Es ist wichtig, klare Verfahren und Richtlinien für die Erfassung, Verarbeitung und Speicherung personenbezogener Daten zu etablieren, um die Einhaltung der gesetzlichen Bestimmungen sicherzustellen. Für die Anpassung und Definition von internen Prozessen und IT-Strukturen empfehlen wir den Einbezug von juristischen Fachpersonen und IT-Sicherheitspartnern.

4. Datenschutz ist in Ihrer Unternehmensverantwortung und muss organisiert und geschult werden. Legen Sie Empfehlungen, Verantwortungen und Funktionen fest. Sensibilisieren und schulen Sie Ihre Mitarbeitenden. Sie müssen sicherstellen, dass Schulungsprogramme implementiert werden, um das Bewusstsein für den Schutz personenbezogener Daten zu schärfen und die Mitarbeitenden über ihre Pflichten und Verantwortlichkeiten informiert werden.

Vorweg lässt sich sagen, dass keine Möglichkeit besteht, sich umfassend gegen alle Risiken zum Datenschutz zu versichern. Zudem muss individuell geprüft werden, welche Versicherungslösungen bei Ihrem Risikoprofil möglich sind und was Ihre aktuellen Versicherungen beinhalten. Wir empfehlen Ihnen folgendes:

Ein Versicherungsschutz aus einem Zusammenspiel von Haftpflicht-, Cyber-, Organhaftpflicht- und Rechtsschutzversicherung.

Grundsätzlich steht eine Haftpflichtversicherung für gesetzliche Ansprüche aus Verletzung von Datenschutzrichtlinien (Persönlichkeitsverletzung) ein, jedoch gilt oft der Ausschluss für Vorfälle mit elektronischen Daten. Eine Ergänzung via Cyberversicherung ist hier die Lösung.

Kosten zu Rechtsstreitigkeiten im Zusammenhang mit dem Datenschutzgesetz und Verteidigung in Verfahren werden mit Leistungen aus Rechtsschutzversicherungen abgegolten.

Bei Datenschutzverstössen kommt auch die Frage nach einer Pflichtverletzung der Organe auf, weswegen eine Prüfung einer Organhaftpflichtversicherung (D&O) empfohlen wird.

Beachten Sie, dass unsere Rechtsordnung im Grundsatz die Versicherung von Bussen nicht zulässt. Normalerweise sind auch Kosten im Zusammenhang mit Auskünften, Berichtigungen, Sperrungen und Löschungen von Daten, wie auch die damit zusammenhängenden Verfahrenskosten nicht versichert. Das sind Aspekte, die finanziell grosse Auswirkungen haben können, weshalb ein solides Risikomanagement zur Umsetzung der Datenschutzanforderungen sehr zu empfehlen ist – unabhängig von und auch trotz Versicherungslösungen.

Die Einführung des neuen Datenschutzgesetzes in der Schweiz im September 2023 stellt Unternehmen vor die Herausforderung, ihre Datenschutzpraktiken anzupassen und den Schutz personenbezogener Daten zu stärken.

Als verantwortliche Person ist es von entscheidender Bedeutung, die finanziellen Auswirkungen dieser Anpassungen zu berücksichtigen und sicherzustellen, dass die erforderlichen Ressourcen im Unternehmen für die Implementierung benötigter Datenschutzmassnahmen bereitgestellt werden, um den gesetzlichen Anforderungen gerecht zu werden.

Risiken aus dem Datenschutz können nicht mit Versicherungslösungen umfassend abgedeckt werden. So sind beispielsweise Bussen nicht versicherbar und auch Kosten im Zusammenhang mit Verfahren oder Datenschutzoptimierungen sind nicht gedeckt. Nichtsdestotrotz lässt sich mit entsprechenden Haftpflicht-, Cyber-, Organhaftpflicht-, und Rechtsschutzversicherungen ein guter Basisschutz legen. Um die Implementierung der Datenschutzanforderungen kommt man aber nicht umhin.

Kontaktieren Sie uns zur Beratung Ihres geeigneten Versicherungsschutzes und eines ganzheitlichen Risikomanagements. Gerne vermitteln wir zudem den Kontakt zu speziell erfahrenen Anwalts- und IT-Firmen, mit denen wir erfolgreich zusammenarbeiten.