Seit dem 1. September 2023 gilt in der Schweiz das neue Schweizer Datenschutzgesetz (nDSG). Durch die Revision wird das Schutzniveau der Schweiz für Personendaten demjenigen der DSGVO angeglichen, um die Erneuerung des Angemessenheitsbeschlusses der EU-Kommission zu gewährleisten. Unternehmen aus der Schweiz und dem EWR können damit weiterhin rechtssicher Daten untereinander austauschen und bearbeiten.
Auf der einen Seite profitieren durch das nDSG Personen in der Schweiz von erhöhter Kontrolle über ihre Personendaten, insbesondere durch die Stärkung des Auskunftsrechts und die Verschärfung der Informationspflichten. Auf der anderen Seite werden Schweizer Unternehmen insgesamt stärker in die Pflicht genommen, was den Datenschutz ihrer Kunden, Partner und Mitarbeiter angeht: Sie sind gefordert, transparent, umfassend und verständlich über die Bearbeitung von Personendaten zu informieren.
Viele Unternehmen erbringen bestimmte Leistungen im Rahmen ihrer Geschäftstätigkeit nicht selbst, sondern beauftragen dafür Dritte (Outsourcing). Ob Lohnbuchhaltung, Cloud-Speicher, Marketinganalyse oder Instant Messaging: Unternehmen übergeben zwar die Bearbeitung von Personendaten, bleiben aber nach dem nDSG für sie in der Verantwortung. Das Outsourcing muss deshalb durch Auftragsbearbeitungsverträge abgesichert werden, welche die Kontrolle des Unternehmens über die Bearbeitung der Personendaten aufrechterhalten und die Datensicherheit beim Dritten gewährleisten. Besondere Herausforderungen stellen sich beim Outsourcing an ausländische Anbieter, weil Unternehmen auch bei diesen Anbietern einen angemessenen Datenschutz gewährleisten müssen.
Nutzung von Instant Messaging zu Berufszwecken
Bis anhin zog der unbedachte Einsatz von Instant-Messaging-Diensten zu geschäftlichen Zwecken in der Schweiz schlimmstenfalls eine Empfehlung zur Unterlassung durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nach sich. Mit dem nDSG wird die Kompetenz des EDÖB nun deutlich ausgeweitet: Wer Personendaten in Staaten überführt, für die kein Angemessenheitsbeschluss des Bundesrates existiert, muss durch andere Massnahmen adäquaten Datenschutz sicherstellen. Andernfalls ist mit einer Untersuchung und ggf. einem Verbot dieser Datenbearbeitung zu rechnen. Durch Strafanträge betroffener Personen oder bei Widerhandlung gegen strafbewehrte Verfügungen des EDÖB drohen Bussen bis zu 250’000 CHF.
Anders als bei der DSGVO richten sich die Bussen in erster Linie gegen die im Unternehmen verantwortlichen Personen wie Geschäftsführer, und nicht gegen das Unternehmen selbst. Die Nutzung von Instant-Messaging-Diensten für geschäftliche Zwecke ohne Auftragsbearbeitungsverträge und allenfalls zusätzliche Garantien bei ausländischen Anbietern kann somit unter Umständen auch einzelne natürliche Personen teuer zu stehen kommen.
Bei Threema Work finden alle wesentlichen Datenbearbeitungen auf Threemas eigener Hardware in der Schweiz statt. Eine Bekanntgabe von Personendaten in Staaten ohne Angemessenheitsbeschluss findet nicht statt, und Threema Work lässt sich guten Gewissens einsetzen.
Um Ihrem Unternehmen langwierige Abklärungen wie Data Transfer Impact Assessments, aufwendige regulatorische Massnahmen oder gar Bussen zu ersparen, lohnt es sich also, direkt einen datenschutzkonformen Business-Messenger wie Threema Work einzuführen und in jeder Beziehung auf der sicheren Seite zu stehen.
Threema Work jetzt unverbindlich testen
Webinar zum Thema
Was Schweizer Unternehmen beachten müssen, um den Anforderungen des nDSG nachzukommen, erfahren Sie im kostenlosen On-Demand Webinar mit Kathrin Schmid, CISO bei Friendly, und Peter Szabó, Legal Counsel bei Threema.
Jetzt anschauen