⏱ 5 min
Während die EU Datenschutz-Grundverordnung (DSGVO) administrative Verfahren gegen die Gesellschaft vorsieht, hat das Schweizer Parlament entschieden, verantwortliche Personen im Unternehmen strafrechtlich zu belangen.
Sanktionssystem
Den Sanktionen unterstehen in erster Linie die mit der Oberleitung des jeweiligen Unternehmens betrauten Personen; bei der Aktiengesellschaft insbesondere die Mitglieder des Verwaltungsrats, allenfalls auch Geschäftsleitungsmitglieder.
Der Blick in die Strafbestimmungen zeigt: Art. 60 des revidierten Datenschutzgesetzes (revDSG) sieht Bussen bis CHF 250'000 für die Verletzung von Informations- und Auskunftspflichten vor, wenn vorsätzlich eine falsche oder unvollständige Auskunft erteilt wird.
► Mehr über die neuen Informationspflichten erfahren Sie in unserem Beitrag «Neues Datenschutzgesetz - das sollten Unternehmen beachten».
Verantwortlichkeiten des Verwaltungsrats
1. Sensibilisierung und Schulung
Der Verwaltungsrat trägt die oberste Verantwortung für die Einhaltung und Organisation des Datenschutzgesetzes im Unternehmen. Es ist seine Aufgabe sicherzustellen, dass alle Mitarbeitenden sowie die Führungskräfte über ein angemessenes und auf die jeweilige Funktion abgestimmtes Verständnis für den Datenschutz verfügen. Regelmässige Schulungen und Sensibilisierungsmassnahmen sind unerlässlich, um sicherzustellen, dass die Datenschutzrichtlinien des Unternehmens eingehalten werden.
2. Datenschutzkonforme Unternehmensstrategie
Der Verwaltungsrat muss sicherstellen, dass eine datenschutzkonforme Unternehmensstrategie entwickelt und implementiert wird. Dies beinhaltet die Festlegung von Richtlinien, Verfahren und Prozessen, um personenbezogene Daten angemessen zu schützen. Es ist wichtig, dass der Verwaltungsrat einen Überblick hat über die wesentlichsten Prozesse, bei denen Personendaten bearbeitet werden, die entsprechenden Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten identifiziert und angemessene Schutzmassnahmen ergreift.
3. Überwachung der Datenschutzmassnahmen
Der Verwaltungsrat hat die Aufgabe, die Umsetzung und Einhaltung der Datenschutzbestimmungen im Unternehmen zu überwachen. Er sollte sicherstellen, dass Defizite erkannt und behoben werden. Sodann, dass angemessene Kontrollmechanismen vorhanden sind, um die Wirksamkeit von getroffenen Massnahmen zu überprüfen und die Einhaltung des Datenschutzgesetzes zu verifizieren. Regelmässige Berichterstattung über den Status der Massnahmen ist von grosser Bedeutung, um mögliche Schwachstellen zu identifizieren und rechtzeitig Massnahmen zu ergreifen.
Im revidierten Datenschutzgesetz sind insbesondere drei neue Prozesse zu regeln:
- Betroffenenrechte: Jede Person kann Auskunft, Löschung oder Berichtigung ihrer Personendaten verlangen. Nach Eingang einer Anfrage muss i.d.R. innert 30 Tagen eine Auskunft erfolgen.
- In einem weiteren Prozess ist zu berücksichtigen, dass Verletzungen der Datensicherheit schnellstmöglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden müssen. Das Unternehmen muss folglich so aufgebaut sein, dass die Meldung möglichst innerhalb von rund 72 Stunden erfolgen kann.
- Durch geeignete Prozesse in der Planung und IT muss zukünftig dafür gesorgt werden, dass der Aspekt des Datenschutzes schon frühzeitig bei der Entwicklung und Planung neuer Systeme einfliesst.
► Welche Prozesse in diesem Kontext einzurichten sind, lesen Sie in unserem Beitrag «Revidiertes Datenschutzgesetz - 5 To-do's für Unternehmen».
4. Datenschutzberaterin
In wenigen Fällen werden Schweizer Unternehmen verpflichtet sein, eine sogenannte Datenschutzberaterin oder einen Datenschutzberater zu ernennen. Der Verwaltungsrat spielt eine entscheidende Rolle bei der Auswahl und Bestellung einer solch qualifizierten Person. Er hat sicherzustellen, dass die mit dieser Funktion betraute Person genügend Unabhängigkeit in der Organisation hat, über die erforderlichen Kenntnisse und Fähigkeiten verfügt und mit den nötigen Ressourcen ausgestattet ist, um die Datenschutzanforderungen des Unternehmens zu erfüllen. Die Datenschutzberaterin oder der Datenschutzberater berät den Verwaltungsrat und die Geschäftsführung in Datenschutzthemen und fungiert als Bindeglied zu Mitarbeitenden in Datenschutzfragen sowie mit Aufsichtsbehörden.
5. Haftung und Transparenz
Der Verwaltungsrat muss sich bewusst sein, dass er für Verstösse gegen das Datenschutzgesetz persönlich haftbar gemacht werden kann. Daher ist es wichtig, dass eine transparente und nachvollziehbare Dokumentation aller datenschutzrelevanten Massnahmen im Unternehmen sichergestellt ist. Zudem sollte der Verwaltungsrat regelmässig überprüfen, ob die getroffenen Datenschutzvorkehrungen ausreichend sind und gegebenenfalls Anpassungen vornehmen.
Fazit
Das revidierte Datenschutzgesetz in der Schweiz bringt neue Herausforderungen für Unternehmen mit sich. Der Verwaltungsrat spielt eine wesentliche Rolle bei der Gewährleistung des Datenschutzes im Unternehmen. Durch Sensibilisierung, Schulung, Überwachung, die Auswahl einer Datenschutzberaterin oder eines Datenschutzberaters sowie klare Richtlinien und Transparenz kann er sicherstellen, dass das Unternehmen den Anforderungen des revidierten Datenschutzgesetzes gerecht wird und personenbezogene Daten angemessen schützt. Eine aktive Beteiligung des Verwaltungsrats ist unerlässlich, um das Vertrauen von Kunden, Geschäftspartnerinnen und der Öffentlichkeit zu erhalten und zu bewahren.
Seminar: Neue Anforderungen im Bereich Datenschutz und Datensicherheit
Sind Sie bereit für das neue Datenschutzgesetz?
Dank unserem praxisnahen Seminar bleiben Sie fachlich à jour und wappnen sich für die To-do's, die es nun schleunigst umzusetzen gilt.
Weiterführende Links:
Ist Ihr Unternehmen für die Anpassung des Schweizer Datenschutzgesetzes gewappnet? Zum Datenschutz-Test
Welche Themen beschäftigen die Schweizer Verwaltungsräte am meisten? Zur BDO Verwaltungsratsstudie 2023