revDSG für Handwerksbetriebe, was wirklich wichtig ist.

Disclaimer vorab: Wir sind keine Anwälte. Dieser Text ist eine praktische Einordnung für Handwerks­betriebe, kein Rechts­gutachten. Bei konkreten Streit­fällen frag deinen Anwalt oder den Eidgenössischen Daten­schutz­beauftragten (EDÖB).

Mit diesem Hinweis erledigt: Das revidierte Datenschutz­gesetz, kurz revDSG, gilt seit dem 1. September 2023. Es betrifft jeden, der personen­bezogene Daten bearbeitet, also auch dich, wenn du Kunden­adressen, Mitarbeiter­akten oder Lieferanten­kontakte führst. Das ist faktisch jeder Handwerks­betrieb.

Was sich gegenüber dem alten DSG geändert hat

Das alte DSG war von 1992 und für eine Welt ohne Smartphones, Cloud und KI gemacht. Das revDSG bringt vier wesentliche Neuerungen, die dich als Inhaber direkt betreffen:

• Erweiterte Informations­pflichten gegenüber Kunden und Mitarbeitern.
• Pflicht zum Bearbeitungs­verzeichnis ab 250 Mitarbeitern, mit Ausnahmen für KMU.
• Meldepflicht bei Daten­schutz­ver­letzungen innerhalb kurzer Frist.
• Höhere Bußen bei Verstößen, bis CHF 250.000, und zwar gegen die verantwortliche Person, nicht die Firma.

Der letzte Punkt ist der, der Geschäfts­führer am meisten erstaunt. Bußen unter revDSG treffen die natürliche Person, die für den Verstoß verantwortlich ist. Das kann der Inhaber sein, der IT-Leiter oder, im Wieder­holungs­fall, beide.

Pflichten als Daten­bearbeiter im Handwerk

Du bist Daten­bearbeiter (offiziell: „Verantwortlicher“) für alles, was du über Personen speicherst. Im typischen Handwerks­betrieb sind das mindestens:

• Kunden­daten: Name, Adresse, Telefon, Mail, ggf. Bank­verbindung, Rechnungs­historie.
• Mitarbeiter­daten: Personalien, AHV-Nummer, Lohn­daten, Arbeits­zeiten, Gesundheits­daten bei Krank­schreibungen.
• Lieferanten­kontakte: ähnlich wie Kunden, oft mit zusätzlichen Konditionen­daten.
• Foto­dokumentation: Baustellen­bilder, auf denen Personen sichtbar sind.
• Sprach­aufnahmen: wenn du Diktier­tools für Rapporte nutzt.

Für jeden dieser Bereiche musst du wissen, wo die Daten liegen, wer Zugriff hat, wie lange du sie aufbewahrst und wann du sie löschst. Das klingt nach Bürokratie. In der Praxis ist es eine zwei­seitige Liste, die du einmal anlegst und alle paar Jahre überprüfst.

Bearbeitungs­verzeichnis: Pflicht oder nicht?

Das revDSG verlangt ein Bearbeitungs­verzeichnis ab 250 Mitarbeitern. KMU mit weniger Mitarbeitern sind grundsätzlich befreit, mit zwei Ausnahmen:

• Wenn du regelmäßig besonders schützens­werte Daten verarbeitest. Im Handwerk eher selten, kann aber bei Pflege­dienstleistungen, Schul­handwerker­einsätzen oder spezialisierten Sicherheits­installationen vorkommen.
• Wenn deine Bearbeitung ein hohes Risiko für die Persönlich­keit der Betroffenen darstellt. Bei Standard-Handwerks­tätigkeit faktisch nicht relevant.

Heisst: Die meisten Handwerks­betriebe sind formell nicht zum Bearbeitungs­verzeichnis verpflichtet. Trotzdem empfehlen wir dir, eines zu führen. Eine knapp gehaltene Liste mit den oben genannten Daten­kategorien spart dir bei einer behördlichen Anfrage Wochen.

Was im Auftrags­verarbeitungs­vertrag (AVV) stehen muss

Sobald du eine Software nutzt, die deine Daten verarbeitet (also alles ab Cloud-Buchhaltung), musst du mit dem Anbieter einen Auftrags­verarbeitungs­vertrag haben. Den schließt du normalerweise nicht aktiv ab, sondern akzeptierst ihn als Teil der AGB. Das ist legitim, solange er die Pflicht­bestand­teile enthält.

Pflicht­bestand­teile eines revDSG-konformen AVV:

1. Gegen­stand und Zweck der Daten­bearbeitung.
2. Art der bearbeiteten Daten und Kategorien betroffener Personen.
3. Pflichten und Rechte des Verantwortlichen (also dich).
4. Technische und organisatorische Maßnahmen zur Daten­sicherheit.
5. Bedingungen für den Beizug von Sub-Auftrags­verarbeitern.
6. Pflicht zur Mitteilung bei Daten­schutz­ver­letzungen.
7. Vorgehen bei Vertrags­ende, insbesondere Löschung oder Rückgabe der Daten.

Wenn du eine neue Software einkaufst, frag aktiv nach dem AVV. Seriöse Anbieter haben ihn auf der Website verlinkt oder schicken ihn auf Anfrage. Wenn du eine ausweichende Antwort bekommst, ist das ein deutliches Warnsignal.

Schweizer Hosting: Pflicht oder Marketing?

Das revDSG verlangt nicht zwingend Schweizer Hosting. Daten dürfen ins Ausland übermittelt werden, wenn dort ein angemessenes Datenschutz­niveau besteht. Der Bundes­rat veröffentlicht eine Liste der akzeptierten Länder, sie umfasst die EU, Großbritannien, Argentinien, Kanada und einige weitere.

Trotzdem ist Schweizer Hosting in den letzten zwei Jahren zum echten Verkaufs­argument geworden, aus drei Gründen:

• Politische Sicherheit: Daten in einem Schweizer Rechen­zentrum unterstehen Schweizer Recht. US-Behörden können nicht einfach zugreifen, auch wenn der Anbieter eine US-Mutter hat.
• Latenz und Geschwindig­keit: Schweizer Daten­zentren liefern für Schweizer Nutzer kürzere Antwort­zeiten als Cloud-Regionen in Frankfurt oder Dublin.
• Vertrauens­signal: Kunden und Versicherungen fragen heute aktiv, wo die Daten liegen. Die Antwort „Schweiz“ erspart Folge­fragen.

balio läuft komplett auf Schweizer Servern. Audio­daten für Sprach­rapporte werden für die Transkription verarbeitet und danach nicht dauerhaft gespeichert. Wir nutzen deine Daten nicht zum Training fremder Modelle. Diese Punkte sind explizit im AVV festgehalten.

Was bei einer Daten­panne droht

Wenn dir Daten ab­handen kommen, etwa weil ein Laptop mit unverschlüsselter Kunden­datei gestohlen wird oder ein Mitarbeiter eine Mail an den falschen Verteiler schickt, musst du das melden. An den EDÖB, sobald die Verletzung wahrscheinlich zu einem hohen Risiko für die Persönlichkeit der Betroffenen führt. „Möglichst rasch“ heißt im Klartext: innerhalb weniger Tage.

Praktische Konsequenz: Du solltest wissen, wer in deinem Betrieb solche Vorfälle aufnimmt, dokumentiert und meldet. Bei einem 5-Mann-Betrieb ist das du selbst. Bei 30 Mitarbeitern lohnt sich eine kleine Vorlage, die jeder Vorarbeiter hat.

Was passiert, wenn du es ignorierst?

Bußen bis CHF 250.000 stehen im Gesetz, treffen aber in der Praxis Wieder­holungs­täter und vorsätzliche Verstöße. Beim ersten kleinen Fehler eines KMU passiert in der Regel: Anhörung durch den EDÖB, Empfehlung zur Verbesserung, wirksame Frist. Erst wenn du diese ignorierst, kommt es zur Buße. Das System ist nicht auf Schikane ausgelegt, sondern auf Verbesserung. Trotzdem ist die Buße bei Vorsatz oder grober Fahr­lässig­keit erheblich.

Konkrete Checkliste für Handwerks­betriebe

Wenn du einen Vormittag investieren willst und das Thema dann erledigt haben möchtest:

• Erstelle eine zwei­seitige Liste mit allen Datenarten, die du speicherst, und wo sie liegen.
• Aktualisiere deine Datenschutz­erklärung auf der Website (Vorlagen gibt es kostenlos beim EDÖB).
• Hole für jede genutzte Software den AVV ein, ablegen, zwei Jahre prüfen.
• Kläre intern, wer Daten­pannen aufnimmt und meldet.
• Lösche Kunden­daten, die du seit zehn Jahren nicht mehr brauchst, das verlangt das Steuer­recht ohnehin.

revDSG ist keine Bedrohung für Handwerks­betriebe, sondern eine Aufforderung, ein paar Sachen sauber aufzu­schreiben, die du eh schon weisst. Wer in der Wahl seiner Software auf Schweizer Hosting und einen sauberen AVV achtet, hat 80 Prozent der Pflichten implizit erledigt.

Was du als nächstes tun kannst:

• Wie balio deine Daten und KI-Verarbeitung absichert, mit AVV zum Download.
• QR-Rechnung Schritt für Schritt richtig machen, ergänzender Praxis-Artikel.
• Frage zu AVV oder Daten­schutz: info@balio.ch, persönliche Antwort, kein Standard­text.