Das Schweizer Bundesgesetz über den Datenschutz (DSG) wurde grundlegend überarbeitet, um die Datenschutzrechte zu stärken und die Compliance-Verpflichtungen für Unternehmen, die mit Schweizer Personendaten umgehen, zu erhöhen. Trotz dieser Aktualisierungen haben viele Unternehmen immer noch Probleme mit der Einhaltung der Vorschriften und riskieren damit Bußgelder, Rufschädigung und rechtliche Konsequenzen.
Im Folgenden finden Sie 10 häufige Fallstricke bei der Einhaltung des INLB und wie Unternehmen sie proaktiv vermeiden können.
1. Fehlende Identifizierung der Daten, die unter das INLB fallen
Viele Unternehmen glauben fälschlicherweise, dass nur Unternehmen mit Sitz in der Schweiz das DSG einhalten müssen. Das DSG gilt jedoch für jedes Unternehmen, das Personendaten von in der Schweiz ansässigen Personen verarbeitet - auch wenn es im Ausland ansässig ist.
✅ Lösung: Führen Sie ein Data Mapping durch, um festzustellen, ob Sie personenbezogene Daten aus der Schweiz verarbeiten und die Einhaltung der Vorschriften zu gewährleisten.
2. Mangelnde Transparenz bei der Datenerhebung
Das DSG verlangt von den Unternehmen, dass sie den Einzelnen bei der Erhebung personenbezogener Daten informieren und dabei auch Angaben zum Zweck, zur Aufbewahrung und zur grenzüberschreitenden Übermittlung machen. Vage Datenschutzrichtlinien oder versteckte Datenerhebungspraktiken verstoßen gegen diese Anforderung.
✅ Lösung: Aktualisierung von Datenschutzrichtlinien, Einverständniserklärungen und Hinweisen zur Gewährleistung vollständiger Transparenz.
3. Unzureichende Bearbeitung von Anträgen der Betroffenen
Nach dem DSG haben Personen das Recht auf Zugang, Berichtigung, Löschung oder Übertragung ihrer Daten. Unternehmen, die diese Anträge nicht fristgerecht bearbeiten, riskieren die Nichteinhaltung der Vorschriften.
✅ Lösung: Einführung eines effizienten Antragsmanagementsystems und Schulung der Mitarbeiter im Umgang mit Datenzugriffsrechten.
4. Nichteinhaltung der strengeren Vorschriften für die Meldung von Verstößen
Anders als die 72-Stunden-Regel der DSGVO verlangt das DSG von den Unternehmen, die Schweizer Behörden so schnell wie möglich nach einer Datenschutzverletzung zu benachrichtigen, wenn ein hohes Risiko für Personen besteht. Verzögerungen bei der Meldung können zu saftigen Geldstrafen führen.
✅ Lösung: Erstellen Sie einen Reaktionsplan für Datenschutzverletzungen und führen Sie Übungen durch, um schnelles Handeln zu gewährleisten.
5. Schlechte Datensicherheitspraktiken
Das DSG legt großen Wert auf die Datensicherheit und verlangt von den Unternehmen, geeignete technische und organisatorische Maßnahmen zu ergreifen. Schwache Sicherheitsvorkehrungen - wie unverschlüsselte Datenbanken, schlechte Passwortrichtlinien oder fehlende Zugangskontrollen - können zu Verstößen führen.
✅ Lösung: Verwenden Sie Verschlüsselung, Multi-Faktor-Authentifizierung (MFA) und regelmäßige Sicherheitsprüfungen, um sensible Daten zu schützen.
6. Ignorieren der Anforderungen für den grenzüberschreitenden Datentransfer
Viele Unternehmen übermitteln personenbezogene Daten aus der Schweiz ins Ausland, ohne angemessene Schutzvorkehrungen zu treffen. Das DSG verbietet Datenübermittlungen in Länder ohne angemessenes Schutzniveau, es sei denn, die Unternehmen wenden Standardvertragsklauseln (SCC) oder verbindliche Unternehmensregeln (BCR) an.
✅ Lösung: Sicherstellung, dass alle internationalen Datenübermittlungen mit dem Rechtsrahmen des INLB übereinstimmen.
7. Keine Datenschutz-Folgenabschätzungen (PIAs) für risikoreiche Verarbeitungen durchführen
Das DSG schreibt Unternehmen die Durchführung von Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, PIAs) vor, wenn sie risikoreiche personenbezogene Daten verarbeiten (z. B. biometrische Daten, Gesundheitsdaten oder KI-gestützte Profilerstellung). Viele Organisationen übersehen diese Anforderung.
✅ Lösung: Identifizierung risikoreicher Datenverarbeitungstätigkeiten und Durchführung regelmäßiger PIAs.
8. Nichtbestellung eines Schweizer Vertreters (für ausländische Unternehmen)
Wenn Ihr Unternehmen keine Niederlassung in der Schweiz hat, aber in großem Umfang personenbezogene Daten aus der Schweiz verarbeitet, müssen Sie einen Schweizer Vertreter benennen - eine Anforderung, die von ausländischen Unternehmen häufig ignoriert wird.
✅ Lösung: Ernennung eines Schweizer Vertreters, der sich um Compliance-Angelegenheiten kümmert und als lokale Kontaktstelle fungiert.
9. Übermäßiger Rückgriff auf die Zustimmung ohne Prüfung anderer Rechtsgrundlagen
Auch wenn das DSG keine spezifische Rechtsgrundlage wie die DSGVO verlangt, müssen Unternehmen die Datenverarbeitung dennoch rechtfertigen. Viele Unternehmen verlassen sich ausschließlich auf die Zustimmung der Nutzer, die widerrufen werden kann, was den Betrieb stört.
✅ Lösung: Berücksichtigen Sie andere Rechtfertigungsgründe für die Datenverarbeitung, wie z. B. vertragliche Notwendigkeit oder berechtigtes Interesse.
10. Keine Schulung der Mitarbeiter zur Einhaltung des INLB
Eine große Zahl von Datenschutzverletzungen ist auf menschliches Versagen zurückzuführen. Unternehmen, die es versäumen, ihre Mitarbeiter in den FADP-Regeln und im sicheren Umgang mit Daten zu schulen, setzen sich einem hohen Risiko aus.
✅ Lösung: Regelmäßige Mitarbeiterschulungen zu bewährten Datenschutzpraktiken, Phishing-Bewusstsein und Sicherheitsprotokollen.
- Wir können Ihnen helfen, FADP-konform zu werden!
Fachkundige Beratung, erschwingliche Lösungen und ein nahtloser Weg zur Einhaltung der Vorschriften
