Datenschutzgrundverordnung  (DSGVO/GDPR): Das müssen Schweizer Unternehmen tun

Am 25. Mai 2018 wurde in der EU das alte Datenschutzgesetz von 1995 abgelöst mit der neuen Datenschutzgrundverordnung (DSGVO). Mit der neuen gesetzlichen Grundlage werden die Rechte und die Privatsphäre von Internetnutzern in den EU-Ländern in Zukunft besser geschützt. Auch Schweizer Unternehmen sind betroffen wenn sie beispielsweise:

• In der EU personenbezogene Daten (in einer Zweigstelle oder als Auftragsbearbeiter) verarbeiten.

• Für Waren- und Dienstleistungsangebote oder zur Beobachtung des Personenverhaltens personenbezogene Daten von Personen mit Aufenthalt in der EU bearbeiten.

Zentral dabei ist, dass die Datenverarbeitung nur mit der Einwilligung der betroffenen Person erlaubt ist. Ausserdem sind die Unternehmen verpflichtet, dass sie die Einhaltung der Datenschutzgrundsätze nachweisen können - bei einer Verletzung unterliegen sie der Meldepflicht.

Totalrevision des Schweizer Bundesgesetzes über den Datenschutz (BDS)

Die Revision des Schweizer Datenschutzgesetzes ist seit Langem ein Thema. Nun hat der Nationalrat sich am 11. März 2020 für die Ratifizierung der modernisierten Datenschutzkonvention des Europarates ausgesprochen. In dieser sind neben dem erweiterten Schutz für betroffene Personen auch erweiterte Pflichten für Datenschutz-Verantwortliche vorgesehen. Aktuell haben 30 Staaten das Übereinkommen unterzeichnet und verpflichten sich damit zu einem Sanktionensystem und der Einführung von Rechtsmitteln. Der Nationalrat stimmte dem Übereinkommen mit 185 zu 0 Stimmen (6 Enthaltungen) zu.

Die EU überprüft bis Mai 2020, ob der Datenschutz in der Schweiz angemessen ist, wobei das absehbare Inkrafttreten des aktualisierten Schweizer Datenschutzgesetzes per Anfang 2021 von Vorteil sein wird. Verliert die Schweiz die bisherige Anerkennung der Gleichwertigkeit hätte dies gravierende negative Folgen für die Wirtschaft, da diese auf einen einfachen Datenaustausch mit dem EU-Raum angewiesen ist.

Es ist anzunehmen, dass das revidierte Datenschutzgesetz Anfang 2021 in Kraft treten wird. Unternehmen sollten daher das laufende Jahr nutzen, um sich bestmöglich auf die sich ändernden Umstände vorzubereiten. Dieser Prozess kann erheblichen Aufwand in allen Unternehmensbereichen verursachen. Grund sind die zahlreichen Abweichungen zur DSGVO selbst für Unternehmen, die sich bisher nach europäischem Datenschutzrecht ausgerichtet haben. Hat eine solche Orientierung bisher nicht stattgefunden, werden ohnehin zahlreiche neue Anforderungen umzusetzen sein.

Beispiele und technische Massnahmen

Die neuen rechtlichen Grundlagen verpflichten die Unternehmen dazu, Daten von aktiven oder ausgetretenen Mitarbeiterinnen und Mitarbeitern flexibel verarbeiten zu können. Um dies zu veranschaulichen, haben wir hier einige mögliche Beispiele aufgeführt:

• Mitarbeiterinnen und Mitarbeiter können Auskunft darüber verlangen, welche personenbezogenen Daten bei ihrem Arbeitgeber gespeichert sind und verarbeitet werden.
• Die Daten einer austretenden Person sollen nur noch jenen Mitarbeitenden angezeigt werden, welche die Daten zweckgebunden verarbeiten müssen; der Sachbearbeiter soll keinen Einblick in die Daten mehr haben.
• Ist bei einem ausgetretenen Mitarbeitenden die Zeit der Aufbewahrungspflicht der Unterlagen abgelaufen, müssen diese gelöscht werden.

Die Unternehmen sind verpflichtet, diesen Forderungen innert bestimmter Fristen nachzukommen.

SAP Information Lifecycle Management (ILM)

Mit SAP ILM stellt SAP eine Lösung zur Verfügung, die das Verwalten von Daten über ihre gesamte Lebensdauer hinweg ermöglicht: vom Zeitpunkt ihrer Entstehung im System über ihre langfristige Aufbewahrung in einem Archivsystem bis zur Vernichtung nach Ablauf der Aufbewahrungsfristen. Wenn Sie SAP bereits im Einsatz haben und die Umsetzung der Datenschutzvorgaben vorbereiten, empfehlen wir Ihnen, in vier Phasen vorzugehen:

1. Analyse aller HR-Prozesse
2. Anpassung der betroffenen Dokumente, Konzepte und Schulungsunterlagen
3. Implementierung von Systemen/Systemanpassungen
4. Controlling über Einhaltung der Regelungen

Unternehmen, die das Thema Datenschutz frühzeitig und proaktiv angehen, profitieren einerseits von einer massgeschneiderten Umsetzung ohne Zeitdruck und werden sich bei künftigen Systeminvestitionen im HR-Bereich keine weiteren Gedanken zum Datenschutz mehr machen müssen.