Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können. Indem Sie diese Website nutzen, erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Bitte lesen Sie unsere DATENSCHUTZERKLÄRUNG. Dort erfahren Sie mehr über die von uns verwendeten Cookies und wie Sie diese löschen oder blockieren können.
Home > Publikationen > Verantwortlichkeiten des Verwaltungsrats im Kontext des Datenschutzgesetzes
  • Verantwortlichkeiten des Verwaltungsrats im Kontext des Datenschutzgesetzes
Artikel:

Verantwortlichkeiten des Verwaltungsrats im Kontext des Datenschutzgesetzes

05. Juni 2023

Klaus Krohmann, Rechtsberatung, Partner |

5 min

Am 1. September 2023 tritt das revidierte Datenschutzgesetz in der Schweiz in Kraft. Dieses bringt einige Anforderungen mit sich, die Unternehmen dazu verpflichten, den Schutz personenbezogener Daten noch stärker zu gewährleisten. Den mit der Leitung einer Organisation betrauten Personen kommt in diesem Zusammenhang eine wichtige Rolle zu. Bei der Aktiengesellschaft ist dies der Verwaltungsrat.

Während die EU Datenschutz-Grundverordnung (DSGVO) administrative Verfahren gegen die Gesellschaft vorsieht, hat das Schweizer Parlament entschieden, verantwortliche Personen im Unternehmen strafrechtlich zu belangen.

 

Sanktionssystem

Den Sanktionen unterstehen in erster Linie die mit der Oberleitung des jeweiligen Unternehmens betrauten Personen; bei der Aktiengesellschaft insbesondere die Mitglieder des Verwaltungsrats, allenfalls auch Geschäftsleitungsmitglieder.

Der Blick in die Strafbestimmungen zeigt: Art. 60 des revidierten Datenschutzgesetzes (revDSG) sieht Bussen bis CHF 250'000 für die Verletzung von Informations- und Auskunftspflichten vor, wenn vorsätzlich eine falsche oder unvollständige Auskunft erteilt wird.

► Mehr über die neuen Informationspflichten erfahren Sie in unserem Beitrag «Neues Datenschutzgesetz - das sollten Unternehmen beachten».

 

Verantwortlichkeiten des Verwaltungsrats

1. Sensibilisierung und Schulung

Der Verwaltungsrat trägt die oberste Verantwortung für die Einhaltung und Organisation des Datenschutzgesetzes im Unternehmen. Es ist seine Aufgabe sicherzustellen, dass alle Mitarbeitenden sowie die Führungskräfte über ein angemessenes und auf die jeweilige Funktion abgestimmtes Verständnis für den Datenschutz verfügen. Regelmässige Schulungen und Sensibilisierungsmassnahmen sind unerlässlich, um sicherzustellen, dass die Datenschutzrichtlinien des Unternehmens eingehalten werden.

 

2. Datenschutzkonforme Unternehmensstrategie

Der Verwaltungsrat muss sicherstellen, dass eine datenschutzkonforme Unternehmensstrategie entwickelt und implementiert wird. Dies beinhaltet die Festlegung von Richtlinien, Verfahren und Prozessen, um personenbezogene Daten angemessen zu schützen. Es ist wichtig, dass der Verwaltungsrat einen Überblick hat über die wesentlichsten Prozesse, bei denen Personendaten bearbeitet werden, die entsprechenden Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten identifiziert und angemessene Schutzmassnahmen ergreift.

 

3. Überwachung der Datenschutzmassnahmen

Der Verwaltungsrat hat die Aufgabe, die Umsetzung und Einhaltung der Datenschutzbestimmungen im Unternehmen zu überwachen. Er sollte sicherstellen, dass Defizite erkannt und behoben werden. Sodann, dass angemessene Kontrollmechanismen vorhanden sind, um die Wirksamkeit von getroffenen Massnahmen zu überprüfen und die Einhaltung des Datenschutzgesetzes zu verifizieren. Regelmässige Berichterstattung über den Status der Massnahmen ist von grosser Bedeutung, um mögliche Schwachstellen zu identifizieren und rechtzeitig Massnahmen zu ergreifen.

Im revidierten Datenschutzgesetz sind insbesondere drei neue Prozesse zu regeln:

  1. Betroffenenrechte: Jede Person kann Auskunft, Löschung oder Berichtigung ihrer Personendaten verlangen. Nach Eingang einer Anfrage muss i.d.R. innert 30 Tagen eine Auskunft erfolgen.
  2. In einem weiteren Prozess ist zu berücksichtigen, dass Verletzungen der Datensicherheit schnellstmöglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden müssen. Das Unternehmen muss folglich so aufgebaut sein, dass die Meldung möglichst innerhalb von rund 72 Stunden erfolgen kann.
  3. Durch geeignete Prozesse in der Planung und IT muss zukünftig dafür gesorgt werden, dass der Aspekt des Datenschutzes schon frühzeitig bei der Entwicklung und Planung neuer Systeme einfliesst.

► Welche Prozesse in diesem Kontext einzurichten sind, lesen Sie in unserem Beitrag «Revidiertes Datenschutzgesetz - 5 To-do's für Unternehmen».

 

4. Datenschutzberaterin

In wenigen Fällen werden Schweizer Unternehmen verpflichtet sein, eine sogenannte Datenschutzberaterin oder einen Datenschutzberater zu ernennen. Der Verwaltungsrat spielt eine entscheidende Rolle bei der Auswahl und Bestellung einer solch qualifizierten Person. Er hat sicherzustellen, dass die mit dieser Funktion betraute Person genügend Unabhängigkeit in der Organisation hat, über die erforderlichen Kenntnisse und Fähigkeiten verfügt und mit den nötigen Ressourcen ausgestattet ist, um die Datenschutzanforderungen des Unternehmens zu erfüllen. Die Datenschutzberaterin oder der Datenschutzberater berät den Verwaltungsrat und die Geschäftsführung in Datenschutzthemen und fungiert als Bindeglied zu Mitarbeitenden in Datenschutzfragen sowie mit Aufsichtsbehörden.

 

5. Haftung und Transparenz

Der Verwaltungsrat muss sich bewusst sein, dass er für Verstösse gegen das Datenschutzgesetz persönlich haftbar gemacht werden kann. Daher ist es wichtig, dass eine transparente und nachvollziehbare Dokumentation aller datenschutzrelevanten Massnahmen im Unternehmen sichergestellt ist. Zudem sollte der Verwaltungsrat regelmässig überprüfen, ob die getroffenen Datenschutzvorkehrungen ausreichend sind und gegebenenfalls Anpassungen vornehmen.

 

Fazit

Das revidierte Datenschutzgesetz in der Schweiz bringt neue Herausforderungen für Unternehmen mit sich. Der Verwaltungsrat spielt eine wesentliche Rolle bei der Gewährleistung des Datenschutzes im Unternehmen. Durch Sensibilisierung, Schulung, Überwachung, die Auswahl einer Datenschutzberaterin oder eines Datenschutzberaters sowie klare Richtlinien und Transparenz kann er sicherstellen, dass das Unternehmen den Anforderungen des revidierten Datenschutzgesetzes gerecht wird und personenbezogene Daten angemessen schützt. Eine aktive Beteiligung des Verwaltungsrats ist unerlässlich, um das Vertrauen von Kunden, Geschäftspartnerinnen und der Öffentlichkeit zu erhalten und zu bewahren.

 

Seminar: Neue Anforderungen im Bereich Datenschutz und Datensicherheit

Sind Sie bereit für das neue Datenschutzgesetz?
Dank unserem praxisnahen Seminar bleiben Sie fachlich à jour und wappnen sich für die To-do's, die es nun schleunigst umzusetzen gilt.

Hier anmelden

Ansprechpartner

Klaus Krohmann, Rechtsberatung, Partner
Klaus Krohmann
Rechtsberatung, Partner
Zürich

Weiterführende Links:

Ist Ihr Unternehmen für die Anpassung des Schweizer Datenschutzgesetzes gewappnet? Zum Datenschutz-Test

Welche Themen beschäftigen die Schweizer Verwaltungsräte am meisten? Zur BDO Verwaltungsratsstudie 2023
 


Weitere Artikel und Publikationen finden Sie über das obenstehende Suchfeld oder im Menü unter «Themen».

Sichern Sie sich Ihren Wissensvorsprung und abonnieren Sie die BDO News und Einblicke.

 

Anmelden
Publikationen zum Thema
Suche
Neues Datenschutzgesetz - das Wichtigste im Überblick für Elektrizitätsunternehmen

17. Juli 2023

Publikation:
Neues Datenschutzgesetz ab 1.9.23
Am 1. September 2023 tritt das revidierte Datenschutzgesetz in Kraft.
Übersicht Publikation
Header Artikel E-Mobilität

16. Juni 2023

Artikel:
Steuerliche Behandlung von E-Mobilität in Unternehmen
Mehr erfahren
Übersicht Artikel
Verwaltungsratsstudie 2023

07. Juni 2023

Studie:
Verwaltungsratsstudie 2023
Wie hoch ist die übliche Entlohnung von Schweizer Verwaltungsräten in KMU? Wie hat sich...
Übersicht Studie