Alle Artikel
Datenschutz3. Juli 20267 Min. Lesezeit

revDSG-Compliance für KMU: Die 7-Punkte-Checkliste

Das revidierte Datenschutzgesetz verlangt mehr als eine Datenschutzerklärung. Die sieben Pflichten für Schweizer KMU – konkret erklärt, mit Bussen bis CHF 250'000 im Blick.

revDSG-Compliance für KMU: Die 7-Punkte-Checkliste

Seit September 2023 gilt das revidierte Datenschutzgesetz (revDSG). Viele KMU haben schnell eine neue Datenschutzerklärung eingebunden und das Thema abgehakt. Doch die Erklärung ist nur einer von mehreren Bausteinen. Diese Checkliste zeigt, was wirklich dazugehört – und wo die persönliche Haftung lauert.

Warum das Thema Chefsache ist

Das revDSG sieht Bussen von bis zu CHF 250'000 vor. Anders als bei der DSGVO richten sich diese gegen die verantwortliche natürliche Person, nicht gegen die Firma. Datenschutz ist damit kein reines IT-Thema, sondern Führungsverantwortung.

Die 7 Punkte

1. Datenschutzerklärung

Sie müssen transparent informieren, welche Personendaten Sie zu welchem Zweck bearbeiten und an wen sie fliessen. Ein guter Startpunkt ist ein Generator – aber die Erklärung muss zu Ihren tatsächlichen Datenflüssen passen, nicht nur eine Vorlage sein.

2. Bearbeitungsverzeichnis (Art. 12)

Ein internes Verzeichnis Ihrer Bearbeitungstätigkeiten. Es gibt eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden und geringem Risiko – aber sobald Sie besonders schützenswerte Daten oder Profiling bearbeiten, wird es Pflicht.

3. Auftragsbearbeitung (AVV / DPA)

Für jeden Dienstleister, der Daten für Sie bearbeitet – Hosting, Newsletter, CRM, Buchhaltung –, brauchen Sie einen Auftragsbearbeitungsvertrag und eine Liste der Subprozessoren.

4. Informationspflicht

Betroffene müssen bei der Beschaffung ihrer Daten informiert werden – auf der Website, in Formularen, bei der Bekanntgabe ins Ausland.

5. Auskunftsrecht (DSAR)

Jede Person darf Auskunft über ihre Daten verlangen. Sie müssen das in der Regel innert 30 Tagen kostenlos beantworten – dafür braucht es einen definierten Prozess, nicht Improvisation im Einzelfall.

6. Meldung von Datenpannen

Datensicherheitsverletzungen mit hohem Risiko müssen dem EDÖB gemeldet werden – so rasch als möglich. Ohne vorbereiteten Meldeprozess verlieren Sie im Ernstfall wertvolle Zeit.

7. Datenlokalität und Bekanntgabe ins Ausland

Die Bekanntgabe von Personendaten ins Ausland ist nur mit angemessenem Schutz zulässig. Genau hier entstehen viele Verstösse: Personendaten liegen unbemerkt auf US-Clouds, die dem US CLOUD Act unterstehen. Datenschutz und Hosting gehören zusammen.

Der häufigste Fehler

Der häufigste Fehler ist, Datenschutz mit "wir haben eine Datenschutzerklärung" gleichzusetzen. Die Erklärung ist die sichtbare Spitze; Verzeichnis, Verträge und Prozesse sind das Fundament – und genau das prüft eine Aufsichtsbehörde im Ernstfall.

So gehen Sie vor

1. Bestandsaufnahme: Welche Personendaten bearbeiten Sie, mit welchen Tools, wo liegen sie?

2. Lücken schliessen: Verzeichnis anlegen, AVV einholen, Prozesse für Auskunft und Datenpannen definieren.

3. Hosting prüfen: Liegen sensible Daten auf US-Infrastruktur? Dann in die Schweiz holen.

4. Aktuell halten: Datenschutz ist kein Projekt, sondern ein Zustand – mit jährlicher Überprüfung.

Fazit

revDSG-Compliance ist für ein KMU gut machbar, wenn man sie als das behandelt, was sie ist: ein Set aus Dokument, Verzeichnis, Verträgen und Prozessen. Wer nur die Datenschutzerklärung sieht, übersieht das Fundament – und die persönliche Haftung.

Projekt besprechen?

logixc berät KMUs in Basel, Zürich, Bern, Luzern, Zug und der ganzen Deutschschweiz.