Per 1. September 2023 tritt in der Schweiz das totalrevidierte Datenschutzgesetz (revDSG) in Kraft und Treuhandunternehmen müssen im Umgang mit personenbezogenen Daten zusätzliche Vorschriften zwingend einhalten. In diesem Blogbeitrag erhalten Sie einen Überblick der wichtigsten Änderungen, die das neue Datenschutzgesetz mit sich bringt.
Daten gelten als die wichtigste Währung der digitalen Welt. Sie erlauben es Unternehmen unter anderem, die Bindung zu ihren Kund:innen zu vertiefen, neue Produkte entsprechend der Bedürfnisse ihrer Zielgruppe zu entwickeln und den Marktanteil mittels zielgerichteter Marketingmassnahmen zu erhöhen. Der Datenschutz wird vorrangig benötigt, um den Schutz der „informationellen Selbstbestimmung“ (man darf selbst bestimmen was mit seinen Daten passieren soll) und die Privatsphäre der Personen an technologische Entwicklungen anzupassen.
Achtung: In diesem Blogbeitrag erhalten Sie lediglich einen Überblick über das neue Datenschutzgesetz. Bei konkreten Fragen zur Umsetzung des revDSG in Ihrem Treuhandunternehmen sollten Sie rechtliche Unterstützung beiziehen.
Diese Daten müssen besonders stark geschützt werden
Datenschutzgesetze schützen die Rechte von Individuen auf ihre Daten. In den meisten Industrieländern – so auch in der Schweiz – gelten Personendaten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten und Tätigkeiten sowie Daten zum Gesundheitszustand, der sexuellen Orientierung, über Verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen, und dem Bezug sozialer Hilfe als besonders schützenswert. Eine Verletzung der Datensicherheit kann in diesen Fällen schwerwiegende Konsequenzen für die betroffene Person haben. Mit dem ab September 2023 in der Schweiz in Kraft tretenden revidierten Datenschutzgesetz (revDSG) werden zusätzlich genetische und biometrische Daten in die Definition der besonders schützenswerten Daten aufgenommen.
Tausende Treuhänder:innen in der Schweiz arbeiten täglich mit personenbezogenen Daten wie Löhnen, Sozialversicherungsnummern und Zuwendungen zu politischen Parteien von Privatpersonen oder Einzelfirmen. In der Lohnbuchhaltung sehen sie ausserdem, wenn Mitarbeitende eines von ihnen betreuten Unternehmens Krankentaggelder erhalten, sich im Mutter- oder Vaterschaftsurlaub befinden oder umziehen. Gemäss Datenschutzgesetz sind personenbezogene Daten stets so zu bearbeiten und übermitteln, dass sie von Unbefugten nicht gelesen, kopiert, verändert oder gelöscht werden können. Mit dem revDSG gilt es dabei zusätzliche Vorschriften zu befolgen.
Das steckt hinter dem neuen Schweizer Datenschutzgesetz
Das Parlament verabschiedete in seiner Herbstsession 2020 das neue Bundesgesetz über den Datenschutz. Das revDSG bringt Änderungen bei der Bearbeitung persönlicher Daten mit sich und gewährt den Schweizer Bürger:innen mehr Rechte auf ihre Daten. Wieso brauchte es eine Revision des Schweizer Datenschutzgesetzes? «Das erste Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992. In der Zwischenzeit hat die Schweizer Bevölkerung die Nutzung von Internet und Smartphone in ihren Alltag integriert und auch soziale Netzwerke, Cloud-Dienste oder das Internet der Dinge finden immer mehr Zuspruch. Vor diesem Hintergrund ist eine vollständige Überarbeitung des Datenschutzgesetzes unverzichtbar, um der Bevölkerung einen angemessenen und an die technologischen und gesellschaftlichen Veränderungen unserer Zeit angepassten Datenschutz zu garantieren», schreibt das Schweizer Staatssekretariat für Wirtschaft (SECO) auf ihrem KMU-Portal. Die Kompatibilität des Schweizer Rechts mit dem EU-Recht, insbesondere mit der Datenschutzgrundverordnung (DSGVO), sei das zweite grosse Anliegen des neuen Gesetzes. Das revDSG soll bewirken, dass der freie Datenverkehr mit der Europäischen Union erhalten werden kann.
Treuhandunternehmen müssen ihre Datenschutzmassnahmen dokumentieren
Das totalrevidierte Datenschutzgesetz gilt ab 1. September 2023. Unter das revDSG fallen ausschliesslich Personendaten von natürlichen Personen, also Privatpersonen und Einzelunternehmen. Bei Beratungen, Steuererklärungen, Revisionen oder Finanzbuchhaltung für juristische Personen müssen Sie sich deshalb fragen, ob Ihr Treuhandunternehmen dabei auch Daten der Personen hinter dem Unternehmen bearbeitet. Nur dann ist das überarbeitete Datenschutzgesetz relevant.
Gemäss der 7 Grundsätze des Datenschutzgesetzes, müssen Personendaten rechtmässig und nach Treu und Glauben bearbeitet werden. Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden & dürfen auch nur in diesem Zusammenhang bearbeitet werden. Die Einwilligung der betroffenen Person ist nur dann gültig wenn sie freiwillig erteilt wird. Die Einwilligung muss vor allem bei besonders schützenswerten Personendaten, bei Profiling mit hohem Risiko durch eine private Person, und bei Profiling durch ein Bundesorgan ausdrücklich erfolgen. Im Falle von Unrichtig- und Unvollständigkeit müssen die Daten angepasst oder gelöscht werden. Sobald die Daten schlussendlich nicht mehr erforderlich sind müssen diese entweder anonymisiert oder vernichtet werden.
Mittels technischer und datenschutzfreundliche Voreinstellungen müssen Sie die von Ihrem Treuhandunternehmen verarbeiteten Personendaten vor unbefugtem Zugriff, Lecks und Verlusten schützen. Die dazu ergriffenen Massnahmen müssen Sie dokumentieren, damit sie bei Bedarf dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten im Rahmen der Rechenschaftspflicht vorgelegt werden können. Als Datenbearbeiter:in sollten Sie gemäss revDSG eine sogenannte Datenschutz-Folgeabschätzung erstellen, wenn bei Personendatenbearbeitungen ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen erkennbar ist. Zudem haben Sie Personendaten zu löschen oder anonymisieren, sobald sie nicht mehr gebraucht werden und keine gesetzliche Aufbewahrungspflicht besteht. Dies ist ebenfalls Bestandteil der Rechenschaftspflicht. Es empfiehlt sich in allen Instanzen einen sogenannten Auftragsbearbeitungsvertrag aufzusetzen, in welchem Sie definieren was die Rechte und Pflichten in Bezug auf die Datenschutzaspekte sind. Falls Sie sich bereits an die DSGVO der EU angepasst hatten, werden Sie mit dem Inkrafttreten des revDSG grundsätzlich nur wenige Änderungen vornehmen müssen.
So vereinfacht Treuhandsoftware die sichere Aufbewahrung sensibler Daten
Treuhandunternehmen sind momentan besonders gefährdet, bei Hackerangriffen oder sonstigen IT-Katastrophen wertvolle Daten zu verlieren. Viele Treuhandunternehmen haben ihr Dokumentenmanagementsystem (DMS) durch eine Schnittstelle mit Buchhaltungssoftware verbunden. So können die zwei Systeme miteinander kommunizieren. Dies birgt jedoch Security-Risiken: Da DMS oftmals nicht Cloud-basiert sind, werden in einem DMS gespeicherte Dateien nicht automatisch in einer Cloud abgelegt. Softwarebrüche zwischen digitalen und automatisierten Lösungen machen es daher wahrscheinlicher, dass bei einem Hackerangriff, Systemausfall oder Verlust des Arbeitsgerätes sensible Daten verloren gehen.
Treuhandsoftware kann die Datenaufbewahrung und Datensicherung in Ihrem Treuhandunternehmen signifikant vereinfachen. Es werden alle relevanten Daten auf einer sicheren Plattform aufbewahrt, auf die nur Sie und autorisierte Mitarbeitende Zugriff haben. Sie definieren Zugriffsrechte, sodass Sie stets die Kontrolle haben, wer Daten einsehen und bearbeiten kann. Der Plattform-Provider trifft im Normalfall alle grundlegenden Security-Massnahmen, kümmert sich um Backups und erstellt einen IT-Notfallplan (Disaster Recovery), sodass bei Hacker-Angriffen, Naturkatastrophen oder einem Verlust des Arbeitsgerätes keine personenbezogenen – und somit dem revDSG unterstehenden – Kundendaten verloren gehen.
Bei der Zusammenarbeit mit externen Software-Providern sollten Sie sich aus Datenschutzgründen immer nach dem Datenaufbewahrungsort erkundigen. Viele internationale Buchhaltungssoftware- und Treuhandsoftware-Provider haben ihren Hauptsitz in den USA, wo der Zugriff auf Unternehmensdaten mittels des Patriot Acts ohne richterliche Kontrolle möglich ist. In der Schweiz hingegen ist dies nicht erlaubt. Setzen Sie darum auf eine komplett in der Schweiz gehostete Lösung und fragen Sie explizit nach, wo Ihre Daten aufbewahrt werden.