Welchen Pflichten müssen IT-Systemintegratoren nachkommen, um dem neuen Schweizer Datenschutzgesetz zu entsprechen und sich nicht strafbar zu machen? Darüber haben wir uns mit der Anwältin Nicole Beranek Zanon unterhalten.

.

Interview mit Nicole Beranek Zanon

Nicole Beranek Zanon

Nicole Beranek Zanon

Frau Beranek Zanon, das neue Datenschutzgesetz wurde ja per 1. September in der Schweiz eingeführt. Waren Ihrer Meinung nach KMUs dafür bereit und entsprechen den Richtlinien?

Nicole Beranek Zanon: Die meisten KMUs haben Datenschutz bis heute nicht auf dem Radar und nur wenige haben sich rechtzeitig vorbereitet. Es gibt hier noch viel Handlungsbedarf. Derzeit haben wir im KMU-Bereich v.a. Kunden mit besonders schützenswerten Personendaten wie Arztpraxen, Krankheitsregisterbetreiber, Anwaltskanzleien, kleinere Pharmaunternehmen oder andere Unternehmen, die insbesondere auch einem Berufsgeheimnis unterstehen.

Wie relevant ist die neue Gesetzgebung für IT-Dienstleister, die im Auftragsverhältnis zu ihren Kunden stehen?

In der Schweiz treffen auch den Auftragsverarbeiter Pflichten. Dazu gehören die Informationspflichten gegenüber betroffenen Personen, die Datenschutzfolgenabschätzungen und die Einhaltung der Minimalstandards der Datensicherheit. Er kann sich folglich auch strafbar machen, wer seinen Pflichten nicht nachkommt.

Nach dem Motto «wo kein Kläger – da kein Richter» werden vor allem KMUs relativ locker mit dem Datenschutzgesetz umgehen. Wo sehen Sie da in der Praxis mögliche Konsequenzen?

Das ist natürlich schon zutreffend. Kritisch wird es, wenn eine Datenschutzverletzung vorliegt und die notwendigen rechtlich vorgeschriebenen Massnahmen zuvor nicht getroffen wurden. Der Verantwortliche wird dann eine Meldung an den Eidgenössischen Datenschutz und Öffentlichkeitsbeauftragen (EDÖB) machen müssen. Dieser kann eine Untersuchung starten sowie dies bei den Strafverfolgungsbehörden zur Anzeige bringen. U.U. wird dann eine Untätigkeit bei der Strafzumessung auch des Auftragsverarbeiter mitberücksichtigt. Im Gegensatz zur EU können gewisse Datenschutzverletzungen dazu führen, dass sich verantwortliche Personen im Unternehmen (vorderhand Verwaltungsrat und Geschäftsleitung) persönlich strafbar machen. Da die Bussen weit über CHF 5’000.— betragen können, bedeutet dies, dass man einen Strafregistereintrag riskiert.

.

.

RA lic. iur. Nicole Beranek Zanon, Exec. MBA HSG, CIPP/E, Lead Auditorin ISO 27001 ist Partnerin von HÄRTING Rechtsanwälte AG, Mitglied des Geschäftsleitenden Ausschusses der Forschungsstelle Informationsrecht Universität St. Gallen, Dozentin FHNW, Gastreferentin an der Universität St. Gallen (CAS DPO) und HSLU. Sie publiziert regelmässig zu Themen des Datenschutzes, der Datensicherheit und der Informationstechnologie.

.

Am 16. November 2023 wird Nicole Beranek Zanon am Technology Forum ein Referat zum Thema «Strafbarkeit nach neuem Datenschutzgesetz» halten. Möchten Sie mehr darüber erfahren? Dann sichern Sie sich jetzt Ihr TEFO-Ticket.

.

Autor

Claudio Cola, Communication Manager, Studerus AG

Mehr zum Thema