Revision des Schweizer Datenschutzgesetzes – was ist zu tun?

Das neue Schweizer Datenschutzgesetz (DSG) wurde vom Parlament angenommen und tritt am 1.9.2023 in Kraft. Was ändert sich und welcher Handlungsbedarf ergibt sich für Unternehmen in und ausserhalb der Schweiz?

Zusammenfassung

Am 25. September 2020 wurde der Revisionsentwurf vom Parlament in der Schlussabstimmung angenommen. Zusammen mit der Verordnung zum  Datenschutzgesetz (VDSG), die sich noch im Vernehmlassungsprozess befindet, wird das neue Datenschutzgesetz am 1.9.2023 in Kraft treten. Grundsätzlich wurde das bisherige Recht an die technologischen Entwicklungen angepasst und lehnt sich an die Europäische Datenschutzgrundverordnung (EU-DSGVO) an.

Schweizer Unternehmen, die die Anforderungen der DSGVO umgesetzt haben, sind bereits gut aufgestellt. Da das neue DSG jedoch in einigen Bereichen abweichende oder weitergehende Regelungen enthält, ist auch bei DSGVO-konformen Unternehmen die Ermittlung der konkret umzusetzenden Massnahmen erforderlich.

Wir empfehlen allen Unternehmen, frühzeitig mit den notwendigen Arbeiten zu beginnen und die Zeit bis 2022 für die Umsetzung zu nutzen. Anhand einer Bestandsaufnahme und GAP-Analyse können die notwendigen Umsetzungsmassnahmen ermittelt werden. Die Erstellung der geforderten Dokumentationen (insbesondere das Verzeichnis der Bearbeitungstätigkeiten) benötigt erfahrungsgemäss einigen Aufwand, da damit meist Analysen der Bearbeitungen, Datenflüsse und Vertragsbeziehungen verbunden sind. Unternehmen mit einer ISO27001-Zertifizierung sind hier im Vorteil. da die Dokumentationen und Ergebnisse der Zertifizierung herangezogen werden können.

Auf Basis der Ergebnisse dieser Analysen und Dokumentationen können dann die weiteren Schritte und Massnahmen effizient durchgeführt werden: Datenschutzerklärungen, Aktualisierung der vertraglichen Regelungen, Prozesse für Betroffenenanfragen und Meldepflichten, Einbindung der Datenschutzanforderungen in die Entwicklung neuer Projekte und Produkte. Wesentlicher Bestandteil der Massnahmen ist zudem die Sensibilisierung und Schulung der Mitarbeiter. Hier empfehlen wir regelmässige zielgruppenfokussierte Trainings auf alle Ebenen.

In den folgenden Abschnitten haben wir Ihnen die wesentlichen Neuerungen und Änderungen und den daraus resultierenden Handlungsbedarf aufgeführt.

Was ändert sich und welche Massnahmen sind erforderlich?

Verzeichnis der Bearbeitungstätigkeiten

Was ist neu?

• Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten
• Verantwortlicher und Auftragsbearbeiter führen je ein Verzeichnis
• Ausnahmen für Unternehmen mit weniger als 250 Mitarbeiter und Bearbeitungen mit geringem Risiko (Ausnahmen sind vom Bundesrat noch zu bestimmen)

Handlungsempfehlungen

• Erstellung des Verzeichnisses der Bearbeitungstätigkeiten bzw. bereits bestehende Verarbeitungsverzeichnisse nach DSGVO aktualisieren
• Prozesse zur Erfassung und Aktualisierung implementieren und schulen

Mit der Erstellung des Verzeichnisses der Bearbeitungstätigkeiten gehen meist weitere Aktivitäten einher, weil oftmals im Zuge des Schreibens dieser Dokumentation ermittelt werden muss, wo welche Personendaten zu welchem Zweck bearbeitet werden und wem und wie diese Daten an Dritte im In- und Ausland weitergegeben werden.

• Identifikation der Bearbeitungstätigkeiten und Prüfung auf Sicherstellung der Datenrichtigkeit und Zweckbindung
• Sicherstellung der Rechtsgrundlagen für die Bearbeitung
• Implementierung von technischen und organisatorischen Massnahmen zur Gewährleistung der Datensicherheit
• Implementierung eines Löschkonzepts unter Berücksichtigung der gesetzlichen Aufbewahrungs- und Archivierungsfristen

Erweiterte Informationspflichten

Was ist neu?

• Die Informationspflicht wurde ausgeweitet.
• Die vorsätzliche Verletzung der Informationspflicht ist bussgeldbewehrt.

Handlungsempfehlungen

• Bestehende für die Informationspflicht relevante Unterlagen prüfen und anpassen.
• Sensibilisierung der Mitarbeiter, damit Informationspflicht vom „Business“ angestossen werden kann.

Auftragsbearbeitung

Was ist neu?

• Beizug von Subakkordanten neu strenger geregelt

Handlungsempfehlungen

• Identifikation von Auftragsbearbeitungen, Abgrenzung zu eigenständigen oder gemeinsamen Verantwortlichkeiten
• Beizug von Subunternehmen durch Auftragsbearbeiter prüfen.
• Verträge auf DSG-Konformität prüfen

Datenschutz-Folgenabschätzung bei risikoreichen Bearbeitungen

Was ist neu?

• Datenschutz-Folgenabschätzungen sind bei Verarbeitungen mit hohen Risiken zu erstellen, und zwar vor Inbetriebnahme des geplanten Vorhabens.
• Hohe Risiken sind insbesondere: Verwendung neuer Technologien, umfangreiche Bearbeitung besonders schützenswerter Personendaten, systematische Überwachung öffentlicher Bereiche, Profiling mit hohem Risiko.
• Stellt das geplante Vorhaben trotz umgesetzter Massnahmen immer noch ein hohes Risiko für die Persönlichkeit der betroffenen Personen dar, dann ist vorgängig die Stellungnahme des EDÖB einzuholen oder der benannte Datenschutzberater zu konsultieren.

Handlungsempfehlungen

• Risikoanalyse („Schwellwertanalyse“) für alle Bearbeitungen durchführen zur Ermittlung notwendiger Datenschutz-Folgenabschätzungen.
• Interne Mitarbeiter schulen und sensibilisieren: Datenschutz-Risikoanalysen in Entwicklungsprozesse einbinden.
• Prozess für Datenschutzfolgeabschätzung implementieren und schulen oder Dienstleister beauftragen

Datenschutzberaterin / Datenschutzberater

Was hat sich geändert?

• Der Verantwortliche kann eine Datenschutzberaterin / einen Datenschutzberater benennen (keine Pflicht). Bisher wurde der Datenschutzberater als „Datenschutzverantwortlicher“ bezeichnet.
• Der Verantwortliche kann von der Konsultation des EDÖB bei einer risikoreichen Bearbeitung absehen, wenn er seine(n) benannte(n) Datenschutzberaterin / Datenschutzberater konsultiert hat.

Handlungsempfehlungen

• Die Ernennung einer Datenschutzberaterin / eines Datenschutzberaters (intern/extern) ist nicht zwingend vorgeschrieben. Je nach Grösse und Tätigkeitsgebiet eines Unternehmens kann eine Stelle, die für den Datenschutz zuständig ist, jedoch faktisch notwendig sein.

Erweiterte Betroffenenrechte (Datenportabilität)

Was ist neu?

• Unter definierten Bedingungen kann jede Person die Herausgabe ihrer Personendaten, welche sie ihm bekannt gegeben hat, in einem gängigen elektronischen Format verlangen.

Handlungsempfehlungen

• Prüfung der internen Prozesse zur Beantwortung von Betroffenenanfragen nach den Kriterien des neuen DSG, die von der DSGVO abweichen.
• Festlegen, welche maschinenlesbare Formate zur Verfügung gestellt werden können
• Schulung der Mitarbeiter, die Betroffenenanfragen bearbeiten

Kein Schutz für Daten von Unternehmen

Was ist neu?

• Das revidierte Schweizer Datenschutzgesetz ist nur noch auf Daten von natürlichen Personen anwendbar.
• Die Personendaten von Kontaktpersonen von Geschäftspartnern fallen nach wie vor unter das Datenschutzgesetz.

Meldepflicht bei Verletzungen der Datensicherheit

Was ist neu?

• Bestimmte Verletzungen der Datensicherheit sind so rasch als möglich dem EDÖB und ggf. der betroffenen Person zu melden.
• Ein Auftragsbearbeiter hat eine Verletzung der Datensicherheit so rasch als möglich dem Verantwortlichen zu melden.

Handlungsempfehlungen

• Meldeprozesse und Notfall-Team festlegen in Koordination mit den Meldeprozessen der Informationssicherheit.
• Sensibilisierung der Mitarbeiter, damit Datensicherheitsverletzungen vermieden bzw. erkannt werden.

Privacy By Design und Privacy By Default

(Datenschutz durch Technik und Datenschutz durch datenschutzfreundliche Voreinstellungen)

Was ist neu?

• Der Verantwortliche ist verpflichtet, bereits ab der Planung von Vorhaben die Grundsätze und Vorgaben des Datenschutzgesetzes einzubeziehen und auszugestalten.
• Datenschutz-Voreinstellungen: Bearbeitungen müssen auf das für den Verwendungszweck notwendige Mindestmass voreingestellt sein (z.B. Cookie-Einstellungen).

Handlungsempfehlungen

• Einbezug von Datenschutz-Anforderungen in den Entwicklungsprozess von Projekten und Produkten.
• Prüfung der Voreinstellungen der Anwendungen im Unternehmen

Internationale Aspekte

Was ist neu für Unternehmen ausserhalb der Schweiz?

• Anwendbarkeit des neuen DSG für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
• Verantwortliche mit Sitz im Ausland, die Personendaten von Personen in der Schweiz bearbeiten, haben unter bestimmten Voraussetzungen eine Vertretung in der Schweiz zu benennen. Die Kontaktdaten des Vertreters müssen publiziert werden.

Weitere Handlungsempfehlungen

• Sämtliche Verträge mit Bezug zu personenbezogenen Daten müssen auf DSG-Konformität überprüft werden.
• Datenübermittlungen ins Ausland identifizieren und prüfen
• Weisungen anpassen
• Datenschutzreglement für Mitarbeiter und ggf. Geschäftspartner anpassen
• Bearbeitungen auf Profiling und automatisierte Einzelentscheide hin prüfen (Einwilligung, Datenschutz-Folgenabschätzung, erhöhte Transparenz)

Konsequenzen bei Verstössen

Was wird bestraft?

• Falsche oder unvollständige Information oder Auskunft
• Verweigerung der Mitwirkung bei behördlichen Untersuchungen (z.B. vom EDÖB)
• Unzulässige Bekanntgabe von personenbezogenen Daten ins Ausland
• Verletzung der Sorgfaltspflicht bei Einbezug von Auftragsbearbeitern
• Ungenügende technische und organisatorische Massnahmen zur Gewährleistung der Datensicherheit
• Verletzung der beruflichen Schweigepflichten
• Missachtung von Verfügungen des EDÖB oder Entscheide der Rechtsmittelinstanzen

Wer wird bestraft?

• Persönliche Strafbarkeit der Person, die einen Datenschutzverstoss begeht bzw. zu verantworten hat
• Beträgt die Busse max. 50’000 CHF und ist die Ermittlung der strafbaren Personen unverhältnismässig, kann die Behörde stellvertretend das Unternehmen zur Bezahlung der Busse verurteilen.

Wie wird bestraft?

• Geldbusse bis zu 250’000 CHF und Strafregistereintrag
• Nur vorsätzliche Begehung strafbar. «Inkaufnahme» genügt.
• Verfolgung durch kantonale Strafverfolgungsbehörden.

Kompetenzen des EDÖB

• Erlassen von Verfügungen (u.a. Bearbeitungsverbote, Untersagung von Bekanntgaben ins Ausland, Vernichtung von Personendaten)
• Erhebung von Strafanzeigen als Privatkläger
• Eröffnung einer Untersuchung «von Amtes wegen» bei genügend Anzeichen eines Verstosses gegen das DSG
• Eröffnung einer Untersuchung «auf Anzeige» hin

Handlungsempfehlungen

• Sämtliche mit Busse behafteten Vorgaben und deren Umsetzung im Unternehmen prüfen (Informations-, Auskunfts- und Mitwirkungspflicht, Sorgfaltspflichten betr. Bekanntgabe ins Ausland und Auftragsbearbeitung, berufliche Schweigepflicht, Missachten von Verfügungen)
• Personalabteilung/HR/GL informieren und internen Prozess festlegen (Wer trägt die Verantwortung? Wer haftet in welchem Fall?)
• Mitarbeiter auf allen Ebenen zielgruppengerecht schulen