Datenschutz & DSGVO: Was Schweizer Unternehmen beachten müssen

Datenschutz und DSGVO: Was Schweizer Unternehmen beachten müssen Datenschutz ist für KMU in der Ostschweiz, im Rheintal, in St. Gallen, Liechtenstein und der Bodenseeregion längst kein Nischenthema mehr. Kunden erwarten Schutz ihrer Personendaten, Behörden kontrollieren die Einhaltung von Vorschriften, und internationale Datenflüsse machen technische und vertragliche Massnahmen notwendig. In diesem Beitrag erklären wir die wichtigsten Punkte, die Schweizer Unternehmen kennen müssen — praxisnah und umsetzbar. Warum Datenschutz relevant ist Datenschutz betrifft alle Prozesse, in denen Personendaten verarbeitet werden: Kundendatenbanken, Mitarbeitendenakten, Marketing-Tools, Videoüberwachung oder die Nutzung von Cloud-Anbietern. Verstösse können zu Reputationsverlust, administrativen Massnahmen oder Bussen führen. Seit der Revision des Schweizer Datenschutzgesetzes neues DSG, in Kraft 2023 sind die Anforderungen stärker an die europäische DSGVO angelehnt — das betrifft insbesondere Informationspflichten, Dokumentation und Datenschutz-Folgenabschätzungen. Wichtige Unterschiede: Schweizer DSG vs. EU-DSGVO - Geltungsbereich: Die DSGVO gilt primär für Unternehmen, die Waren/Dienstleistungen an EU-Bürger anbieten oder Verhalten in der EU beobachten. Schweizer Unternehmen sind betroffen, wenn sie Kundendaten aus der EU verarbeiten. - Harmonisierung: Das revidierte Schweizer DSG ist stärker an die DSGVO angelehnt, bleibt aber eigenständig. Trotzdem sind viele Bestimmungen z. B. Rechte der betroffenen Person, Meldepflichten ähnlich. - Datenübermittlungen: Für Transfers in die EU/EEA bestehen grundsätzlich weniger Hürden, da die EU der Schweiz eine Angemessenheitsentscheidung erteilt hat. Transfers in Drittstaaten z. B. USA erfordern jedoch besondere Prüfungen z. B. Standardvertragsklauseln oder zusätzliche technische/vertragliche Schutzmassnahmen. Konkrete Pflichten für Schweizer Unternehmen 1. Rechtsgrundlagen festlegen Jede Verarbeitung von Personendaten benötigt eine Rechtsgrundlage: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtiges Interesse, öffentliche Aufgabe oder berechtigtes Interesse. Für Marketing und Tracking ist oft eine ausdrückliche Einwilligung nötig. 2. Transparenz und Informationspflichten Betroffene Personen müssen klar und verständlich informiert werden, welche Daten zu welchem Zweck verarbeitet werden. Diese Informationen gehören in Datenschutzerklärungen, auf Websites und in Kundenformularen. 3. Aufzeichnungen führen KMU sollten ein Verzeichnis von Verarbeitungstätigkeiten führen auch wenn kleine Betriebe weniger umfangsrechtlich betroffen sind — dies hilft bei internen Prüfungen und im Falle einer Anfrage durch die Aufsichtsbehörde. 4. Technische und organisatorische Massnahmen Schutz durch «Privacy by Design» und «Privacy by Default»: Verschlüsselung, Zugriffskontrollen, Backups, regelmäßige Updates und Schulungen der Mitarbeitenden sind Basisanforderungen. 5. Auftragsverarbeitung rege