Zurück

Digital

Neues Datenschutzgesetz für die Schweiz – die Bau- und Immobilienbranche ist gefordert!

Simon Caspar 01.09.2021

Auf die Schweiz kommt ein neues Datenschutzgesetz (nDSG) zu. Das Parlament hat die Totalrevision im September 2020 angenommen und gibt damit den Weg frei für die Ablösung des noch aktuell gültigen Gesetzes aus dem Jahre 1992. Aufgrund der rasanten gesellschaftlichen und technologischen Entwicklung ist dies ein notwendiger Schritt. Damit folgt die Schweiz der Europäischen Union in Richtung Datenschutz-Grundverordnung (DSGVO). Das bald in Kraft tretende Gesetz stellt die Bau- und Immobilienbranche vor grosse Herausforderungen, eröffnet gleichzeitig aber auch interessante Chancen.  

Haben Sie Fragen zum nDSG?

Die Neuerungen des nDSG sind weitreichend. Betroffen sind alle Unternehmen – unabhängig von Grösse oder Branche. Denn: jede Firma verfügt über eine Vielzahl von Daten ihrer Kunden, Partner, Lieferanten und Mitarbeitenden – und diese Menge an Daten wird weiter zunehmen, auch in der Bau- und Immobilienwirtschaft. Mit der fortschreitenden Digitalisierung von Gebäuden und der wachsenden Sammlung von Personendaten bei professionellen Eigentümern, Asset Managern oder Liegenschaftenverwaltungen trägt die Branche eine grosse Verantwortung beim Schutz dieser Daten. Diesem Umstand wird das neue Datenschutzrecht gerecht: Bau- und Immobilienunternehmen müssen die Datensicherheit nicht mehr nur sicherstellen, sondern auch im Detail wissen und darüber informieren können, wie welche Daten gesammelt oder verarbeitet werden und welche Risiken dabei für die betroffenen Personen entstehen.

Datenschutz – ein Thema für die Unternehmensführung

Damit ist Datenschutz also längst nicht mehr nur ein Thema für Juristinnen und Juristen, sondern gehört zur modernen Unternehmensführung. Prozesse, Datenflüsse und Abläufe müssen in Immobilienunternehmen transparent und verständlich dokumentiert sein. Die digitale Zusammenarbeit von heute und morgen erfordert ein systemübergreifendes Daten-Handling. Nehmen wir die vielen sensiblen Daten, die beim Kauf oder Verkauf von Liegenschaften im Umlauf sind. Oder all die Namen, die bei laufenden Bauprojekten auf Listen kursieren. Ein zentrales Anliegen des überarbeiteten Datenschutzgesetzes ist der Schutz eben dieser Personendaten, denn sie werden der höchsten Sicherheitsstufe zugeschlagen und müssen dementsprechend gehandhabt werden. 

Gouverner, c’est prévoir

Unternehmen sollten sich deshalb bereits jetzt auf das Inkrafttreten des neuen Gesetzes vorbereiten. Eine Bestandsaufnahme der vorhandenen Personendaten und eine Risikobewertung sind erforderlich, um die Anforderungen an die Datenschutz-Compliance zu bestimmen. Mittels Gap-Analyse, d.h. dem Vergleich zwischen Ist- und Sollzustand, können die erforderlichen Umsetzungsarbeiten identifiziert werden. Höhere Compliance-Anforderungen liegen z.B. vor, wenn Unternehmen eine grosse Menge an Personendaten bearbeiten oder mit besonders schützenswerten Personendaten umgehen. Die Entwicklung oder der Beizug von Datenschutz-Knowhow ist dabei zentral. Darüber hinaus müssen interne Prozesse eingerichtet werden, um die Anforderungen des neuen Gesetzes zu erfüllen. Nicht zu unterschätzen sind die materiellen und personellen Ressourcen und die Zeit, die dafür aufgewendet werden muss.

Anpassungen nach Plan

pom+Consulting unterstützt mit einem ganzheitlichen Ansatz, der im Kern auf einem Business Engineering-Ansatz basiert. Zuerst werden die Datenflüsse analysiert sowie die bestehenden Lücken identifiziert und beurteilt, um darauf aufbauend die notwendigen Massnahmen abzuleiten. Diese beschränken sich nicht nur auf technische Schritte, sondern sind auch strategischer, prozessualer und organisatorischer Natur. Das Resultat ist eine pragmatische und schlüssige Erläuterung im Ampelsystem, die aufzeigt, was wann wie gemacht werden muss, um die Voraussetzungen zur Einhaltung des Datenschutzgesetzes in Zukunft erfüllen zu können. 

Die Chancen erkennen

Die Auseinandersetzung mit den Gesetzesneuerungen verlangt auf verschiedenen Ebenen erhebliche Ressourcen. Dennoch sollte das nDSG nicht als Gefahr, sondern als Chance betrachtet werden. Denn eine seriöse Auseinandersetzung hat Einfluss auf die Arbeitsabläufe, die internen und externen Prozesse und die Kultur im Unternehmen generell. So gesehen sind die Anpassungen, die im Laufe der Übernahme des nDSG gemacht werden müssen, eine Investition in die Zukunft. Die Erfahrungen mit ähnlich gelagerten Transformationsprozessen zeigen, dass im Zuge dessen Raum für die wirklich wichtigen Tätigkeiten entsteht: Weniger Ablage und Archivierung, mehr Kundenkontakt, mehr Wertschöpfung. Und das wollen wir schliesslich alle!


Die wichtigsten Neuerungen im Überblick

Personendaten: Künftig werden lediglich natürliche Personen geschützt, juristische Personen können sich für ihren Schutz nicht mehr auf das nDSG berufen. 

Besonders schützenswerte Personendaten: Darunter fallen neu auch genetische und (eindeutig identifizierende) biometrische Daten wie Fingerabdruck oder Retina-Scan. 

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Die Sorgfaltspflicht wird im nDSG strenger gehandhabt. Einerseits müssen sämtliche Vorschriften und Grundsätze eingehalten werden, anderseits dürfen Personendaten nur für den spezifischen Verwendungszweck bearbeitet werden. 

Informationspflicht: Betroffene Personen müssen bei jeglicher Datenerhebung – also auch bei der automatisierten Sammlung – informiert werden, zudem besteht die Pflicht zur Nennung des Staates im Falle eines Datentransfers ins Ausland.

Meldepflicht: Jede Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeitsrechte der betroffenen Personen führt, müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. 

Datenschutz-Folgenabschätzung: Datenbearbeitung kann ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen. In einem solchen Fall ist eine Datenschutz-Folgenabschätzung verpflichtend. Darin müssen die geplante Arbeit, eventuelle Risiken und Massnahmen dagegen dargelegt werden.

Sanktionen: Das nDSG sieht wesentlich strengere strafrechtliche Sanktionen vor – natürliche Personen können bei vorsätzlicher Verletzung der Informations-, Auskunfts- und Sorgfaltspflichten neu mit Bussen bis CHF 250'000 bestraft werden. Verantwortliche wie CEOs, CIOs etc. können damit direkt sanktioniert werden.