revDSG umsetzen: Praktischer Leitfaden für Unternehmen

Das revDSG gilt nicht nur für klassische Schweizer Unternehmen. Es kann auch für ausländische Unternehmen relevant sein, wenn sie Personendaten mit Bezug zur Schweiz bearbeiten.

Relevant wird das zum Beispiel, wenn dein Unternehmen:

• Kund:innen in der Schweiz hat,
• Bewerbungen aus der Schweiz erhält,
• eine Website oder App für Schweizer Nutzer:innen anbietet,
• Newsletter an Personen in der Schweiz verschickt,
• Schweizer Mitarbeitende beschäftigt,
• Schweizer Geschäftspartner oder Lieferanten verwaltet,
• oder Datenverarbeitungen mit Schweizer Marktbezug durchführt.

Wichtig ist: Das Schweizer Datenschutzrecht spricht von Personendaten und Bearbeitung. Gemeint sind Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, sowie der Umgang mit diesen Daten - etwa Erheben, Speichern, Verwenden, Bekanntgeben, Archivieren oder Löschen.

Für Unternehmen bedeutet das: Wenn ihr personenbezogene Daten mit Schweiz-Bezug verarbeitet, solltet ihr prüfen, ob und welche Pflichten aus dem revDSG gelten.

Das revDSG orientiert sich in vielen Punkten an modernen Datenschutzstandards wie der DSGVO. Trotzdem sind beide Gesetze nicht identisch.

Die wichtigste Erkenntnis: DSGVO-Prozesse sind eine gute Grundlage, sollten aber nicht ungeprüft übernommen werden.

Transparenzpflichten

Betroffene Personen müssen verstehen können, welche Daten über sie bearbeitet werden, zu welchem Zweck das geschieht und wer dafür verantwortlich ist. Das betrifft vor allem:

• Datenschutzerklärungen,
• Kontaktformulare,
• Bewerbungsprozesse,
• Newsletter,
• Kundenkommunikation,
• interne Hinweise für Mitarbeitende.

Gute Datenschutzhinweise sind klar, konkret und verständlich. Lange Rechtstexte helfen wenig, wenn sie die tatsächliche Datenbearbeitung nicht erklären.

Betroffenenrechte

Personen haben Rechte in Bezug auf ihre Daten, etwa Auskunft, Berichtigung oder unter bestimmten Voraussetzungen Löschung. Unternehmen sollten deshalb festlegen:

• Wer nimmt Anfragen entgegen?
• Wie wird die Identität geprüft?
• Welche Systeme müssen durchsucht werden?
• Wie wird die Antwort dokumentiert?

Ohne klare Zuständigkeiten werden Betroffenenanfragen schnell zum Risiko.

Datensicherheit

Unternehmen müssen Personendaten angemessen schützen. Dazu gehören technische und organisatorische Maßnahmen wie:

• Zugriffsbeschränkungen,
• Zwei-Faktor-Authentifizierung,
• Verschlüsselung,
• Backups,
• Rechte- und Rollenkonzepte,
• sichere Löschprozesse,
• Mitarbeiterschulungen.

Die Maßnahmen müssen zum Risiko passen. Je sensibler die Daten, desto höher die Anforderungen.

Privacy by Design und Privacy by Default

Datenschutz sollte von Anfang an in Systeme und Prozesse eingebaut werden. Das bedeutet zum Beispiel:

• nur notwendige Daten abfragen,
• datenschutzfreundliche Standardeinstellungen wählen,
• Zugriffe begrenzen,
• Löschfristen mitdenken,
• neue Tools vor Einführung prüfen.

Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn eine Bearbeitung voraussichtlich ein hohes Risiko für betroffene Personen mit sich bringt. Das kann relevant sein bei:

• sensiblen Daten,
• umfangreichem Profiling,
• KI-gestützten Entscheidungen,
• Überwachungssystemen,
• großen HR-Datenbanken.

Meldung von Datensicherheitsverletzungen

Wenn eine Datensicherheitsverletzung voraussichtlich ein hohes Risiko für betroffene Personen darstellt, muss sie dem EDÖB so rasch wie möglich gemeldet werden. Dafür braucht es einen klaren Incident-Response-Prozess:

• Wer meldet intern?
• Wer bewertet das Risiko?
• Wer entscheidet über die Meldung?
• Wer informiert Betroffene?
• Wie wird der Vorfall dokumentiert?

Schritt 1: Datenflüsse erfassen

Prüfe, welche Personendaten dein Unternehmen bearbeitet, wo sie gespeichert werden, wer Zugriff hat und mit welchen Dienstleistern sie geteilt werden. Ohne diese Übersicht ist keine saubere Compliance möglich.

Schritt 2: Datenschutzerklärung aktualisieren

Die Datenschutzerklärung sollte erklären:

• wer verantwortlich ist,
• welche Daten bearbeitet werden,
• zu welchen Zwecken,
• welche Dienstleister eingebunden sind,
• ob Daten ins Ausland übermittelt werden,
• wie lange Daten gespeichert werden,
• welche Rechte betroffene Personen haben.

Wichtig: Nicht einfach DSGVO-Texte kopieren. Die Erklärung muss zum Schweizer Recht und zu euren tatsächlichen Prozessen passen.

Schritt 3: Zwecke prüfen

Jede Datenbearbeitung sollte einem klaren Zweck dienen. Typische Zwecke sind:

• Vertragserfüllung,
• Kundenbetreuung,
• Bewerbungsmanagement,
• Marketing,
• IT-Sicherheit,
• gesetzliche Pflichten.

Wenn Daten für neue Zwecke genutzt werden, sollte geprüft werden, ob das zulässig ist.

Schritt 4: Dienstleister und Verträge prüfen

Viele Unternehmen nutzen externe Tools für Hosting, CRM, Newsletter, HR, Support oder Analytics. Prüfe:

• Welche Anbieter bearbeiten Personendaten?
• Gibt es passende Verträge?
• Wo sitzen die Anbieter?
• Werden Daten ins Ausland übermittelt?
• Welche Sicherheitsmaßnahmen bestehen?

Schritt 5: Sicherheitsmaßnahmen überprüfen

Datensicherheit ist ein Kernpunkt des revDSG. Wichtige Maßnahmen sind:

• Zugriffskontrollen,
• Passwortrichtlinien,
• 2FA,
• Verschlüsselung,
• Backups,
• Löschroutinen,
• Protokollierung,
• Schulungen.

Schritt 6: Prozesse für Anfragen und Vorfälle einrichten

Unternehmen brauchen klare Abläufe für Betroffenenanfragen und Datenschutzvorfälle. Wer erst im Ernstfall Zuständigkeiten klärt, verliert wertvolle Zeit.

Schritt 7: Mitarbeitende schulen

Datenschutz funktioniert nur, wenn Mitarbeitende wissen, was im Alltag zu tun ist. Schulungen sollten konkrete Fragen beantworten:

• Welche Daten darf ich per E-Mail teilen?
• Wann muss ich einen Vorfall melden?
• Welche Tools darf ich nutzen?
• Wie gehe ich mit Auskunftsanfragen um?

• DSGVO-Prozesse ungeprüft übernehmen - DSGVO-Strukturen helfen, ersetzen aber keine Prüfung der Schweizer Besonderheiten.
• Datenschutzerklärung nur oberflächlich anpassen - Ein paar neue Begriffe reichen nicht aus. Die Datenschutzerklärung muss zur tatsächlichen Datenbearbeitung passen.
• Datenflüsse nicht dokumentieren - Ohne Übersicht über Systeme, Daten und Dienstleister werden Anfragen, Audits und Vorfälle schwer beherrschbar.
• Kein Meldeprozess für Sicherheitsvorfälle - Datensicherheitsverletzungen können jederzeit passieren. Unternehmen sollten vorher wissen, wer entscheidet und wie eskaliert wird.
• Zu viel Bürokratie statt risikobasierter Umsetzung - Nicht jedes Unternehmen braucht denselben Aufwand. Gute revDSG-Compliance ist risikobasiert: so viel wie nötig, so pragmatisch wie möglich.

Seit Inkrafttreten des revDSG nutzen Unternehmen immer häufiger KI-Systeme, Chatbots, Scoring, automatisierte Analysen oder datengetriebene Personalisierung.Das revDSG ist deshalb auch für KI-Governance relevant.

Besonders wichtig sind:

• Transparenz über automatisierte Systeme,
• klare Zwecke der Datenbearbeitung,
• Datenminimierung,
• Prüfung von Profiling-Risiken,
• menschliche Kontrolle bei relevanten Entscheidungen,
• Dokumentation risikoreicher Prozesse.

Wenn automatisierte Entscheidungen rechtliche Folgen für Personen haben oder sie erheblich beeinträchtigen können, sollten Unternehmen besonders genau prüfen, welche Informationspflichten und Schutzmaßnahmen gelten.

Für Unternehmen, die zusätzlich in der EU tätig sind, kann außerdem der EU AI Act relevant werden. Dann sollten Datenschutz- und KI-Compliance gemeinsam betrachtet werden.

revDSG-Compliance wird einfacher, wenn Datenschutzprozesse zentral organisiert und regelmäßig aktualisiert werden.

heyData unterstützt Unternehmen unter anderem bei:

• Datenschutz-Dokumentation,
• Verzeichnis von Bearbeitungstätigkeiten,
• Datenschutzhinweisen,
• technischen und organisatorischen Maßnahmen,
• Datenschutz-Folgenabschätzungen,
• Schulungen,
• Incident-Response-Prozessen,
• Dienstleisterprüfung,
• und laufender Aktualisierung rechtlicher Anforderungen.

So wird Datenschutz nicht jedes Mal neu improvisiert, sondern als klarer Prozess im Unternehmen verankert.

Das revDSG gilt seit 2023 und sollte heute fester Bestandteil der Datenschutzorganisation sein. Für Unternehmen geht es nicht mehr nur darum, das Gesetz zu kennen, sondern die Anforderungen zuverlässig in Prozesse, Systeme und Verantwortlichkeiten zu übersetzen. Wer bereits DSGVO-konform arbeitet, hat eine gute Grundlage. Trotzdem sollten Datenschutzhinweise, Verträge, Datenflüsse, Sicherheitsmaßnahmen und Meldeprozesse gezielt auf Schweizer Anforderungen geprüft werden.

Der beste Ansatz ist pragmatisch und risikobasiert: Datenflüsse kennen, Verantwortlichkeiten klären, Risiken bewerten, Mitarbeitende schulen und Prozesse regelmäßig aktualisieren. So wird revDSG-Compliance nicht zur Pflichtübung, sondern zu einem Vertrauensfaktor gegenüber Kund:innen, Mitarbeitenden und Geschäftspartnern.

Gilt das revDSG nur für Schweizer Unternehmen?

Nein. Auch Unternehmen außerhalb der Schweiz können betroffen sein, wenn sie Personendaten mit Bezug zur Schweiz bearbeiten oder gezielt Leistungen für Personen in der Schweiz anbieten.

Reicht DSGVO-Compliance für das revDSG aus?

Nicht automatisch. DSGVO-Compliance ist eine gute Grundlage, aber Schweizer Besonderheiten sollten separat geprüft und dokumentiert werden.

Wann ist eine Datenschutz-Folgenabschätzung nötig?

Wenn eine Datenbearbeitung voraussichtlich ein hohes Risiko für betroffene Personen mit sich bringt, zum Beispiel bei sensiblen Daten, umfangreichem Profiling oder neuen Technologien.

Was muss bei einer Datensicherheitsverletzung passieren?

Der Vorfall sollte sofort intern bewertet werden. Wenn voraussichtlich ein hohes Risiko für betroffene Personen besteht, muss der EDÖB so rasch wie möglich informiert werden.