Neues Datenschutzrecht: Das wird schwierig

Es sind nur noch wenige Tage, bis die Umstellung auf das neue Datenschutzgesetz kommt. Betroffen sind auch kleine und mittlere Unternehmen, die neu grössere Verantwortung für den Schutz persönlicher Daten übernehmen müssen, die sie von Dritten erheben. Zudem unterliegen die Firmen einer Informations- und Auskunftspflicht. Wenn man bei dem einen oder anderen Unternehmer nachfragt, fallen die Antworten sorgenvoll oder gar verdutzt aus: Manchen ist die Umstellung gar nicht präsent, andere erklären immerhin, dass sie vom Gewerbeverband oder von anderer Stelle informiert worden seien.

Marcel Fringer, Präsident des Kantonalen Gewerbeverbands (KGV), sagt auf Anfrage, dass sich der KGV an die Richtlinien des SGV, der Dachorganisation der Schweizer KMU, halte. Dieser hat ein frei zugängliches Dossier mit Merkblatt und verschiedenen Vorlagen erstellt (siehe Box). Heute Freitag verschickte der KGV zudem ein Mailing, in dem er das Thema noch einmal aufgegriffen hat. Das hilft, aber die Probleme lösen sich nicht von alleine.

Mühsame Umstellungen

Was grössere oder international tätige Unternehmen aufgrund der verschärften Regeln der EU bereits vor ein paar Jahren durchexerziert haben, müssen nun alle Schweizer Betriebe nachvollziehen. Ob mit Kunden kommuniziert, Rechnungen ausgestellt oder mit angehenden Lernenden ein Schnuppertag absolviert wird: Personendaten werden im Betriebsalltag in grosser Zahl erfasst. Und genau diese Daten wie beispielsweise Name, E-Mail-Adresse, Wohnadresse oder Geburtsdatum stehen nun im Visier der Gesetzeshüter. Der Datenschutz und damit der Schutz der Privatsphäre sollen verbessert werden.

Dazu gehören auch Deklarationspflichten und vom Nutzer individuell anwählbare Datenschutzeinstellungen auf Internetseiten – die Nachfrage etwa nach zu akzeptierenden Cookies kennt jeder, der sich im Web bewegt. Ins gleiche Kapitel gehören Kontaktformulare und Firmennewsletter. Kurzum: Die Umstellungen sind umfassend. Und mühsam, braucht es doch erhebliche Ressourcen, um all die Regeln abbilden zu können.

Das Internet – und das daneben

Philipp Honegger ist Datenschutzbeauftragter der Meier + Cie AG, zu der unter anderem der Wirtschaftsnewsletter Zahltag und die «Schaffhauser Nachrichten» gehören. Zudem leitet er die Webentwicklungsagentur Meier AG. Er stellt fest: Viele seiner Kunden wissen von den Veränderungen, konzentrieren sich aber stark auf ihr Internetangebot. Dabei sieht er in anderen Bereichen ebenso dringenden Handlungsbedarf. So ist beispielsweise auch der lokale Bäcker dem Gesetz unterstellt, falls er Adressen oder Telefonnummern seiner Kunden für eine Bestellung erfasst. Will ein Kunde wissen, welche Daten von ihm gespeichert sind und wofür diese verwendet werden, muss die Firma zudem innerhalb von 30 Tagen Auskunft geben. Und die Auskunft fordernde Person hat das Recht, Daten löschen oder korrigieren zu lassen.

Datenschutzverantwortlichen bestimmen

Aus diesem Grund rät Philipp Honegger dazu, im Betrieb eine Person zu bestimmen, die über ausreichendes Wissen verfügt und mit den nötigen Befugnissen ausgerüstet ist, um die vom Gesetz geforderten Anordnungen auch durchzusetzen. Dass kurz vor der Einführung noch immer derart viel Unwissenheit rund um das Thema herrscht, führt er auf die seiner Meinung nach mangelnde Kommunikation des Gesetzgebers zurück. So seien die Betroffenen in weiten Teilen sich selbst überlassen worden.

Happige Sanktionen drohen

Einfach ignorieren oder aussitzen lässt sich das neue Gesetz übrigens nicht. Denn die angedrohten Sanktionen sind happig: Wird grobe Fahrlässigkeit attestiert, können Vergehen mit bis zu 250'000 Franken gebüsst werden und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kann gar die Einstellung sämtlicher Geschäftstätigkeiten durchsetzen.