Datenschutz – Unternehmen sind fit für den neuen Datenschutz

Für die Unternehmen des Verbandes Swissmem, der Unternehmen aus der Maschinen-, Metall- und Elektroindustrie vereint, ist das neue Datenschutzgesetz kein völliges Neuland. Diese Unternehmen haben oft internationale Beziehungen, da sie nach Deutschland und damit in die EU exportieren. «Viele Unternehmen mussten ab 2018 bereits die Bestimmungen der DSGVO (Datenschutz-Grundverordnung der EU, d. Red.) beachten und ihre internen Prozesse darauf ausrichten», sagt Ivo Zimmermann, Sprecher von Swissmem.

Kein völliges Neuland

Da sich das neue Schweizer Datenschutzgesetz stark an die DSGVO anlehnt, haben diese Unternehmen in der Regel nur noch einen geringen Anpassungsbedarf. Deshalb kann man davon ausgehen, dass die Implementierung der neuen Schweizer Datenschutzregeln bei den Swissmem-Unternehmen auf gutem Weg ist. Die Unternehmen beschäftigen sich laut Zimmermann intensiv damit, welche Vorkehrungen sie nun treffen müssen, um das neue Datenschutzgesetz korrekt umzusetzen, und welche Massnahmen neu ergriffen werden müssen, um die gesetzlichen Bestimmungen einzuhalten.

Bewusstsein für den Datenschutz

Zuversichtlich klingt es auch beim Schweizerischen Gewerbeverband. Dieser hat, ebenso wie die zahlreichen angeschlossenen Branchenverbände, Musterunterlagen zur Umsetzung der neuen Vorgaben erarbeitet, von denen laut Verbandssprecherin Corinne Aeberhard rege Gebrauch gemacht wird. «Die Unterlagen des SGV sind branchenneutral und können überall angewendet werden», sagt sie. Es sei vor allem wichtig, dass sich die vielen KMU bewusst werden, welche Daten sie haben und wie sie diese gesetzeskonform bearbeiten müssen.

Schützenswerte Personendaten

Swissmem-Sprecher Zimmermann betont, dass vor allem der Vergleich mit den früheren Anforderungen für Unternehmen hilfreich ist. Laut seinen Ausführungen sind insbesondere die Anforderungen an die Informationspflichten, wie beispielsweise Datenschutzerklärungen, gestiegen. Sensibler wird auch der Umgang mit besonders schützenswerten Personendaten behandelt, der nun auch biometrische und genetische Personendaten sowie das Profiling erfasst. Hinzu kommen veränderte Bestimmungen beim Transfer von Personendaten ins Ausland.

Gastrogruppe ist schon bereit

Das Beispiel der auf Gastronomiedienstleistungen und Hotelmanagement spezialisierten SV Group aus Dübendorf bei Zürich zeigt, wie die Praxis aussieht. Dort hat man bereits vor mehr als einem Jahr mit dem Projekt zur Umsetzung der neuen Datenschutzvorgaben begonnen, lässt Gabriela Andris, Direktorin Legal & Compliance der SV Group, wissen. Die während des Projekts identifizierten notwendigen Schritte wurden Anfang September umgesetzt. Die SV Group ist auch im deutschsprachigen Ausland, also in Österreich und Deutschland, aktiv. «Deshalb hatten wir bereits viele Anforderungen der DSGVO auch in der Schweiz umgesetzt oder in die Wege geleitet», berichtet Andris.

Mitarbeitende sensibilisieren

Um die für die gesetzeskonforme Umstellung nötigen Maßnahmen zu identifizieren, erfolgte zunächst eine Bestandsaufnahme. Darauf gestützt wurden die weiteren notwendigen Schritte definiert, priorisiert und umgesetzt. Dazu gehörten beispielsweise die Erstellung eines Verarbeitungsverzeichnisses von Datenbeständen und die Überarbeitung diverser Dokumente. Mitarbeitende wurden zu den neuen Vorgaben sensibilisiert und geschult, außerdem wurden mehrere interne Ansprechpersonen definiert. Zudem mandatierte die SV Group einen externen Datenschutzbeauftragten.

Mehrwert dank Compliance

«Durch die höheren Anforderungen der Datenschutzgesetzgebung entsteht im Geschäftsalltag ein erheblicher Mehraufwand», hält Andris fest. Dieser verursache zusätzliche Kosten und verlange eigene Ressourcen. Obwohl die SV Group den entsprechenden Aufwand betrieben hat, bleibt die Einhaltung der Compliance im Bereich des Datenschutzes eine stetige Herausforderung. Das liegt laut Andris auch daran, dass nach wie vor viele Rechtsfragen im Bereich Datenschutz nicht vollständig geklärt sind.

Generell werden Compliance-Themen immer wichtiger – sei es im Datenschutz oder in den Bereichen Nachhaltigkeit und Lieferkette. Das stellt Unternehmen zwar vor Herausforderungen, allerdings können sie aus regelkonformem Verhalten in diesen Bereichen durchaus auch einen Mehrwert generieren.