In seiner Herbstsession 2020 verabschiedete das Parlament das neue Bundesgesetz über den Datenschutz. Das revidierte Datenschutzgesetz (revDSG) tritt am 1. September 2023 schweizweit in Kraft. Was sich mit dem neuen Datenschutzgesetz für Ihr Treuhandunternehmen ändern kann, erfahren Sie in diesem Blogbeitrag.
Tausende Treuhänder:innen arbeiten täglich mit personenbezogenen Daten wie Löhnen, Sozialversicherungsnummern und Angaben über Zuwendungen zu politischen Parteien von Privatpersonen oder Einzelfirmen. In der Lohnbuchhaltung sehen sie ausserdem, wenn Mitarbeitende eines von ihnen betreuten Unternehmens Krankentaggelder erhalten, sich im Mutter- oder Vaterschaftsurlaub befinden und heiraten oder sich scheiden lassen. Personendaten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten und Tätigkeiten sowie Daten zum Gesundheitszustand, der sexuellen Orientierung, dem Bezug sozialer Hilfe, und Daten über Verwaltungs- und Straftechtliche Verfolgungen oder Sanktionen gelten laut Schweizer Datenschutzgesetz als besonders schützenswert. Eine Verletzung der Datensicherheit kann in diesen Fällen schwerwiegende Konsequenzen für die betroffene Person haben.
Achtung: In diesem Blogbeitrag erhalten Sie lediglich einen Überblick über das neue Datenschutzgesetz. Bei konkreten Fragen zur Umsetzung des revDSG in Ihrem Treuhandunternehmen sollten Sie rechtliche Unterstützung beiziehen.
Datenschutzgesetze schützen die Rechte von Individuen auf ihre Daten und verhindern so Persönlichkeitsverletzungen dieser. Das erste Bundesgesetz über den Datenschutz ist bereits über 30 Jahre alt. Mit dem totalrevidierten Datenschutzgesetz (revDSG), das ab 1. September 2023 gilt, werden zusätzlich genetische und biometrische Daten in die Definition der besonders schützenswerten Daten aufgenommen. Mit dem revDSG wolle man der Schweizer Bevölkerung laut dem Schweizer Staatssekretariat für Wirtschaft (SECO) «einen angemessenen und an die technologischen und gesellschaftlichen Veränderungen unserer Zeit angepassten Datenschutz» garantieren. Die Kompatibilität des Schweizer Rechts mit dem EU-Recht, insbesondere mit der Datenschutzgrundverordnung (DSGVO), sei das zweite grosse Anliegen des neuen Gesetzes. Das revDSG soll bewirken, dass der freie Datenverkehr mit der Europäischen Union erhalten werden kann. Falls Sie sich bereits an die DSGVO angepasst hatten, werden Sie mit dem Inkrafttreten des revDSG deshalb nur wenige Änderungen vornehmen müssen.
Was ändert sich für Treuhandunternehmen mit dem revDSG?
Das revDSG betrifft das Bekanntgeben, Profiling, Profiling mit hohem Risiko, sowie auch die Bearbeitung von Personendaten , welche das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Teilen, Archivieren, Löschen sowie Vernichten inkludiert. Die aufgezählten Handlungen müssten stets den 7 Grundsätzen gem. Art. 6 DSG entsprechen – siehe Kapitel «Treuhandunternehmen müssen ihre Datenschutzmassnahmen dokumentieren» in Teil 1. Bei einer vorsätzlichen Verletzung des Datenschutzgesetzes drohen Bussen von bis zu 250‘000 Franken. Neben finanziellen Sanktionen können Datenschutzverletzungen auch zu dauerhaften Reputationseinbussen und Vertrauensverlusten seitens Kund:innen, Interessent:innen und Partner:innen führen.
Treuhänder:innen müssen die von ihnen verarbeiteten Personendaten durch geeignete technische und organisatorische Massnahmen sowie durch Technik und datenschutzfreundliche Voreinstellungen vor unbefugtem Zugriff, Lecks und Verlusten schützen. Bei der Einführung von datenschutzfreundlicher Datensammlung bestehen zwei neue Massnahmen; Datenschutz als Standard (Privacy by Default) und Datenschutz als Konzept (Privacy by Design). Beim Datenschutz als Standard geht es darum alle personenbezogenen Daten in allen IT-Systemen zu schützen um so Korrekturmaßnahmen zu vermeiden. Beim Datenschutz als Konzept hingegen, planen Sie den Datenschutz vollständig in Ihre Strategie ein, um somit alle Daten zu schützen. Dokumentieren Sie die ergriffenen Massnahmen und Prozesse, damit Sie diese bei Bedarf dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im Rahmen der Rechenschaftspflicht vorlegen können. Als Datenbearbeiter:in sollten Sie gemäss revDSG eine sogenannte Datenschutz-Folgeabschätzung erstellen, wenn bei Personendatenbearbeitungen ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen erkennbar ist. Im Falle einer Verletzung der Datensicherheit ist eine rasche Meldung an den EDÖB erforderlich. Zudem haben Sie Personendaten zu löschen oder anonymisieren, sobald sie nicht mehr gebraucht werden und keine gesetzliche Aufbewahrungspflicht besteht. Dies ist ebenfalls Bestandteil der Rechenschaftspflicht.
Extratipp: Mit revDSG-konformer Treuhandsoftware wie Accounto können Sie sämtliche Daten auf einer sicheren Plattform aufbewahren und bearbeiten. Sie definieren die Zugriffsrechte selbst, sodass Sie die komplette Kontrolle haben, wer Daten einsehen und bearbeiten kann. Vor der Wahl einer Buchhaltungs- oder Treuhandsoftware sollten Sie sich aus Datenschutzgründen immer nach dem Datenaufbewahrungsort erkundigen. Viele Softwarekonzerne haben ihren Hauptsitz in den USA, wo der Zugriff auf Unternehmensdaten mittels des Patriot Acts ohne richterliche Kontrolle möglich ist. In der Schweiz hingegen ist dies nicht erlaubt. Erleben Sie in einer kostenlosen Live-Demo der Schweizer Treuhandsoftware Accounto, wie Ihr Treuhandunternehmen die revDSG-konforme Datenaufbewahrung vereinfachen kann..
Beachten Sie, dass unter das revDSG ausschliesslich Personendaten von natürlichen Personen fallen. Die Daten von juristischen Personen sind nicht mehr betroffen. Bei Beratungen, Steuererklärungen, Revisionen oder der Finanzbuchhaltung für juristische Personen müssen Sie sich stets fragen, ob Ihr Treuhandunternehmen dabei auch Daten der Personen hinter dem Unternehmen bearbeitet. Nur dann ist das revDSG relevant.
Dieser Hinweis gehört nun auf jede Website von Treuhandunternehmen
Eine der wichtigsten Änderungen, die das revDSG mitbringt, ist eine erweiterte Informationspflicht: Vor jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – müssen Sie die betroffene Person vorgängig informieren. Dazu sollten Sie auf Ihrer Website eine Datenschutzerklärung teilen und Besuchende darauf hinweisen, dass ihre Daten gesammelt und allenfalls verarbeitet werden. Zudem braucht es einen Cookie-Banner, mit dem Sie die Einwilligung der Website-Besuchenden zur Datenbearbeitung einholen. «Mit der Informationspflicht wird eine transparente Datenbearbeitung gewährleistet, und die Rechte der betroffenen Personen werden gestärkt», schreibt der EDÖB dazu. Sorgen Sie dafür, dass der Banner-Inhalt klar verständlich ist.
Ihre Kund:innen, aktuellen und ehemaligen Mitarbeitenden sowie alle möglichen betroffenen Personen dürfen im Rahmen des im revDSG verankerten Auskunftsrechts jederzeit nachfragen, welche Daten Ihr Treuhandunternehmen über sie bearbeitet. Sie dürfen auch die Herausgabe oder das Löschen von Daten veranlassen. Beachten Sie bei der Datenlöschung stets die gesetzlichen Aufbewahrungsfristen. Als Anlaufstelle für Betroffene und die Aufsicht sollten Sie eine separate E-Mail-Adresse wie beispielsweise datenschutz@name-treuhandunternehmen oder datenauskunft@name-treuhandunternehmen einrichten und eine zuständige Person für datenschutzrechtliche Anfragen bestimmen. Anfragen rund um Datenschutz muss Ihr Treuhandunternehmen in maximal 30 Tagen beantworten. Die für Datenschutzanfragen verantwortliche Person sollte das E-Mail-Postfach also regelmässig überprüfen, um die Antwortfrist einhalten zu können.
Achtung: In diesem Blogbeitrag erhalten Sie lediglich einen Überblick über das revidierte Datenschutzgesetz. Bei konkreten Fragen zur Umsetzung des revDSG in Ihrem Treuhandunternehmen sollten Sie Datenschutzexpert:innen und Jurist:innen beiziehen.