Was sich am 1. September 2023 geändert hat
Am 1. September 2023 ist das totalrevidierte Schweizer Datenschutzgesetz (DSG) in Kraft getreten. Es ersetzt das Vorgängergesetz von 1992 und bringt die Schweiz materiell deutlich näher an die EU-Datenschutz-Grundverordnung (DSGVO) heran — bleibt aber an mehreren Stellen pragmatischer und KMU-freundlicher.
Für Schweizer Unternehmen, die Personaldaten bearbeiten, sind diese Punkte besonders relevant:
1. Bearbeitungsverzeichnis
Wer als Unternehmen über 250 Mitarbeitende hat — oder besonders schützenswerte Daten in grossem Umfang bearbeitet — muss ein Bearbeitungsverzeichnis führen. Darin steht, welche Daten zu welchem Zweck bearbeitet werden, wie lange sie aufbewahrt werden und wer Zugriff hat. Auch unterhalb von 250 Mitarbeitenden ist es eine sinnvolle Praxis — und im Streitfall der beste Beweis dafür, dass man weiss, was man tut.
2. Datenschutzerklärung
Webseiten und Apps müssen klar und verständlich erklären, welche Daten zu welchem Zweck bearbeitet werden. Die Anforderungen sind im Vergleich zur DSGVO etwas weniger detailliert — aber «wir nutzen Cookies» reicht definitiv nicht mehr. Eine vernünftige Datenschutzerklärung listet Bearbeitungszwecke, Empfänger, Aufbewahrungsdauer und Betroffenenrechte explizit auf.
3. Verletzungsmeldepflicht
Bei einer Datenschutzverletzung — etwa, wenn ein Laptop mit Mitarbeiterdaten verloren geht oder ein Cloud-Account gehackt wird — muss der EDÖB «so rasch als möglich» informiert werden. Die Schweizer Formulierung ist bewusst weicher als die 72-Stunden-Frist der DSGVO, aber der Geist ist derselbe: nicht erst bei der nächsten Quartalssitzung.
4. Profiling und automatisierte Einzelentscheide
Wenn Entscheidungen automatisiert getroffen werden — etwa eine Bewerber-Vorauswahl per Algorithmus — müssen Betroffene informiert werden, eine menschliche Überprüfung verlangen können und es muss eine Risikoeinschätzung gemacht werden. Für HR ist das in der Praxis aktuell noch wenig Thema, wird mit zunehmendem AI-Einsatz aber rasch wichtig.
Unterschiede zur EU-DSGVO
- Keine Bussen wie unter DSGVO. Das Schweizer DSG sieht Bussen bis 250'000 Franken vor — und zwar gegen die verantwortliche Person, nicht gegen das Unternehmen. Das ist deutlich weniger drastisch als die DSGVO-Bussen (bis 4% Weltjahresumsatz), aber für Geschäftsführer immer noch unangenehm.
- Kein Datenschutzbeauftragter Pflicht. Im Gegensatz zur DSGVO braucht die Schweiz nicht zwingend einen «DPO». Empfohlen wird jedoch eine verantwortliche Person, die die Übersicht hat.
- Ähnliche Betroffenenrechte. Auskunft, Berichtigung, Löschung, Datenportabilität — die Grundrechte sind weitgehend deckungsgleich. Die Auskunft muss innerhalb von 30 Tagen kostenlos erteilt werden.
- Internationale Datenübermittlung. Daten in Länder ohne angemessenes Schutzniveau (etwa USA) brauchen entweder Standardvertragsklauseln oder eine andere zulässige Grundlage. In der Praxis: Cloud-Anbieter sorgfältig wählen.
Was das für Cloud-Speicherung bedeutet
Wenn ein KMU seine Personaldaten in einer Cloud-HR-Software speichert, die in den USA gehostet wird, ist das nicht per se verboten — aber es braucht eine saubere Begründung und meist einen Auftragsbearbeitungsvertrag. In der Praxis ist die einfachere Lösung oft eine Schweizer Cloud: ein Hoster mit Rechenzentrum in der Schweiz oder zumindest in der EU, mit klarem Vertrag.
Noch einfacher: lokale Datenhaltung. Wenn die HR-Software ihre Daten primär auf dem Gerät des Nutzers oder im Firmen-Netzwerk hält und nur kontrolliert in die Cloud syncht (oder gar nicht), entfallen viele dieser Fragen vollständig.
«Privacy by Design» heisst nicht «verschlüsselt in der Cloud» — es heisst, die Daten gar nicht erst irgendwohin zu schicken, wo sie nicht hin müssen.
Praxis-Checkliste für KMU
- Datenschutzerklärung aktualisieren — auf der Website und in der App. Mit konkreten Bearbeitungszwecken, nicht generischen Floskeln.
- Bearbeitungsverzeichnis anlegen — ein einfaches Spreadsheet reicht. Welche Daten, wozu, wo, wie lange, wer hat Zugriff.
- Auftragsbearbeitungsverträge prüfen — mit jedem Cloud-Anbieter, jeder externen Buchhaltung, jedem Treuhänder.
- Verletzungs-Meldeprozess definieren — wer entscheidet, wer meldet, wer dokumentiert.
- Mitarbeiterschulung — kurze Awareness-Schulung, einmal jährlich. Phishing erkennen, Passwortmanager nutzen, USB-Sticks niemals unverschlüsselt.
- Sichere HR-Software wählen — Daten lokal oder in einer Schweizer Cloud, transparente Verschlüsselung, klare Datenschutz-Policy.
Fazit
Das revidierte DSG ist kein Schreckgespenst. Es ist pragmatischer als die DSGVO, KMU-freundlich formuliert und in der Umsetzung mit etwas Sorgfalt machbar. Wer früh Bearbeitungsverzeichnis und Datenschutzerklärung sauber aufstellt — und sich bei der Software-Wahl bewusst entscheidet — ist auf der sicheren Seite. Und gewinnt nebenbei das Vertrauen der eigenen Mitarbeitenden.