Das neue Schweizer Datenschutzgesetz (DSG) wurde vom Parlament angenommen und tritt am 1.9.2023 in Kraft. Was ändert sich und welcher Handlungsbedarf ergibt sich für Unternehmen in und ausserhalb der Schweiz?
Zusammenfassung
Am 25. September 2020 wurde der Revisionsentwurf vom Parlament in der Schlussabstimmung angenommen. Zusammen mit der Verordnung zum Datenschutzgesetz (DSV) wird das neue Datenschutzgesetz am 1.9.2023 in Kraft treten. Grundsätzlich wurde das bisherige Recht an die technologischen Entwicklungen angepasst und lehnt sich an die Europäische Datenschutzgrundverordnung (EU-DSGVO) an.
Schweizer Unternehmen, die die Anforderungen der DSGVO umgesetzt haben, sind bereits gut aufgestellt. Da das neue DSG jedoch in einigen Bereichen abweichende oder weitergehende Regelungen enthält, ist auch bei DSGVO-konformen Unternehmen die Ermittlung der konkret umzusetzenden Massnahmen erforderlich.
Wir empfehlen allen Unternehmen, frühzeitig mit den notwendigen Arbeiten zu beginnen und die Zeit bis zum 1.9.2023 für die Umsetzung zu nutzen. Anhand einer Bestandsaufnahme und GAP-Analyse können die notwendigen Umsetzungsmassnahmen ermittelt werden.
Die Erstellung der geforderten Dokumentationen (insbesondere das Verzeichnis der Bearbeitungstätigkeiten) und vertraglichen Regelungen benötigt erfahrungsgemäss einigen Aufwand, da damit meist Analysen der Bearbeitungen, Datenflüsse und Vertragsbeziehungen verbunden sind. Unternehmen mit einer ISO27001-Zertifizierung sind hier im Vorteil, da die Dokumentationen und Ergebnisse der Zertifizierung herangezogen werden können.
Auf dieser Basis können weitere Schritte und Massnahmen effizient durchgeführt werden: Datenschutzerklärungen, technische Massnahmen, Prozesse für Betroffenenanfragen und Meldepflichten, Einbindung der Datenschutzanforderungen in die Entwicklung neuer Projekte und Produkte.
Wesentlicher Bestandteil der Massnahmen ist zudem die Sensibilisierung und Schulung der Mitarbeiter. Hier empfehlen wir unsere E-Learning-Kurse für Mitarbeiter.
In den folgenden Abschnitten haben wir Ihnen die wesentlichen Neuerungen und Änderungen und den daraus resultierenden Handlungsbedarf aufgeführt.
Was können wir für Sie tun?
Wir begleiten Sie von der Bestandsaufnahme bis zur Umsetzung:
- Bestandsaufnahme: Aufnahme der IST-Situation
- GAP-Analyse: Ermittlung des Handlungsbedarfs und Erstellung eines Massnahmenkatalogs
- Unterstützung und Coaching bei der Priorisierung und Umsetzung der Massnahmen
- Schulung und Sensibilisierung mittels E-Learning, Webinaren oder Präsenzschulungen
- Umsetzung von Massnahmen wie die Erstellung von Dokumentationen, vertraglichen Regelungen, technische Massnahmen etc.
- Projekt-Setup und Projektmanagement für die genannten Aktivitäten bzw. Ihr Datenschutzprojekt
- Bereitstellung eines externen Datenschutzberaters bzw. Datenschutzbeauftragten
Was ändert sich und welche Massnahmen sind erforderlich?
Erweiterte Informationspflichten
Was ist neu?
- Die Informationspflicht wurde ausgeweitet, d.h. es muss nun grundsätzlich über die Erhebung bzw. Beschaffung von Personendaten informiert werden: Über Identität und Kontaktdaten des veranwortlichen Unternehmens, Bearbeitungszweck und Empfänger(kategorien) sowie weitere Angaben beim Datenexport ins Ausland.
- Die vorsätzliche Verletzung der Informationspflicht ist bussgeldbewehrt.
Handlungsempfehlungen
- Bestehende für die Informationspflicht relevante Unterlagen prüfen und anpassen (Datenschutzerklärungen, Datenschutz-Informationen an Mitarbeiter, Kunden und Partner etc.).
- Sensibilisierung der Mitarbeiter: Der Kommunikationsprozess zwischen den Mitarbeitenden und der für die Datenschutzerklärung verantwortlichen Person muss funktionieren, damit eine Datenschutzerklärung aktuell gehalten werden kann.
Besonders schützenswerte Personendaten und Profiling
Was ist neu?
- Der Umfang der schützenswerten Daten wurde erweitert um genetische und biometrische Daten.
- Neu wird der Begriff „Profiling“ verwendet anstelle „Persönlichkeitsprofil“. Dabei wird unterschieden zwischen „Profiling“ und „Profiling mit hohem Risiko“. An das Profiling mit hohem Risiko werden höhere Anforderungen an die Bearbeitung gestellt – analog den besonders schützenswerten Personendaten.
Handlungsempfehlungen
- Identifikation der besonders schützenswerten Daten (insbesondere der neu hinzugekommenen genetischen und biometrischen Daten) und eines allfälligen Profiling mit hohem Risiko
- Prüfung ob technische und organisatorische Massnahmen ausreichend sind.
Auftragsbearbeitung
Was ist neu?
- Beizug von Subakkordanten neu strenger geregelt: nur mit vorgängiger Genehmigung des Verantwortlichen
- Vertragliche Grundlage erforderlich
Handlungsempfehlungen
- Identifikation von Auftragsbearbeitungen, Abgrenzung zu eigenständigen oder gemeinsamen Verantwortlichkeiten
- Beizug von Subunternehmen durch Auftragsbearbeiter prüfen.
- Dienstleistungsverträge auf DSG-Konformität prüfen
Verzeichnis der Bearbeitungstätigkeiten
Was ist neu?
- Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten
- Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitern, wenn keine besonders schützenswerten Personendaten in grossem Umfang bearbeitet werden UND kein Profiling mit hohem Risiko durchgeführt wird.
- Das Verzeichnis der Bearbeitungstätigkeiten muss dem EDÖB (Aufsichtsbehörde) auf Anfrage zur Verfügung gestellt werden.
- Das Führen löst die Meldepflicht für Datensammlungen ab
- Es gibt keine Formvorschriften, das Verzeichnis der Bearbeitungstätigkeiten kann in einem Excel-Sheet, einem Word-Dokument oder auch in einem spezialisierten Softwaresystem erfasst und gepflegt werden.
Handlungsempfehlungen
- Erstellung des Verzeichnisses der Bearbeitungstätigkeiten bzw. bereits bestehende Verarbeitungsverzeichnisse (falls bereits erstellt nach DSGVO) aktualisieren
- Prozesse zur Erfassung und Aktualisierung implementieren und schulen
Mit der Erstellung des Verzeichnisses der Bearbeitungstätigkeiten gehen meist weitere Aktivitäten einher, weil im Zuge des Erstellens ermittelt werden muss, wo welche Personendaten zu welchem Zweck bearbeitet werden und wem und wie diese Daten an Dritte im In- und Ausland weitergegeben werden.
Tip aus der Praxis:
Auch wenn ein Unternehmen nicht verpflichtet ist, ein Verzeichnis der Bearbeitungstätigkeiten zu erstellen, so müssen die darin enthaltenen Informationen trotzdem im Unternehmen bekannt und dokumentiert sein (Bearbeitungen, Datenkategorien, Datenempfänger, Massnahmen der IT-Sicherheit, vertragliche Regelungen, Auslandstransfers etc.). Ansonsten ist die Umsetzung der Datenschutzanforderung nicht oder nur schwerlich möglich. Auch für die Beantwortung von Auskunftsbegehren ist das Verzeichnis der Bearbeitungstätigkeiten eine grosse Hilfe. Falls noch keine Dokumentationen vorliegen, empfehlen wir, auch ohne gesetzliche Pflicht ein Verzeichnis der Bearbeitungstätigkeiten zu erstellen.
Bearbeitungsreglement
Was ist neu?
- Unternehmen müssen ein Bearbeitungsreglement erstellen, wenn besonders schützenswerte Personendaten in grossem Umfang bearbeitet werden oder Profiling mit hohem Risiko durchgeführt wird.
- Inhalt: Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit
- Kann auf bestehende Dokumentationen verweisen
Handlungsempfehlungen
- Prüfung, ob ein Bearbeitungsreglement erstellt werden muss.
- Prozesse zur Erfassung und Aktualisierung implementieren und schulen
Datenschutzberaterin / Datenschutzberater
Was hat sich geändert?
- Der Verantwortliche kann eine Datenschutzberaterin / einen Datenschutzberater benennen. Es besteht nach wie vor keine Pflicht zur Ernennung. Bisher wurde der Datenschutzberater als „Datenschutzverantwortlicher“ bezeichnet.
- Der Verantwortliche kann von der Konsultation des EDÖB bei einer risikoreichen Bearbeitung absehen, wenn er seine(n) benannte(n) Datenschutzberaterin / Datenschutzberater konsultiert hat.
Handlungsempfehlungen
- Die Ernennung einer Datenschutzberaterin / eines Datenschutzberaters (intern/extern) ist nicht zwingend vorgeschrieben. Je nach Grösse und Tätigkeitsgebiet eines Unternehmens kann eine Stelle, die für den Datenschutz zuständig ist, jedoch faktisch notwendig sein.
Tip aus der Praxis
- Unterliegt Ihr Unternehmen zudem der DSGVO, kann ein Datenschutzberater i.S.d. DSG ernannt werden, der auch die Aufgabe des Datenschutzbeauftragter i.S.d. DSGVO übernimmt, sofern das dafür notwendige Fachwissen vorhanden ist und die Anforderungen des DSG und der DSGVO erfüllt sind.
Erweiterte Betroffenenrechte (Datenportabilität)
Was ist neu?
- Unter definierten Bedingungen kann jede Person die Herausgabe ihrer Personendaten, welche sie ihm bekannt gegeben hat, in einem gängigen elektronischen Format verlangen.
- Busse bei vorsätzlich falscher oder unvollständiger Auskunft
Handlungsempfehlungen
- Prüfung der internen Prozesse zur Beantwortung von Betroffenenanfragen nach den Kriterien des neuen DSG.
- Festlegen, welche maschinenlesbare Formate zur Verfügung gestellt werden können
- Schulung der Mitarbeiter, die Betroffenenanfragen bearbeiten
Datenschutz-Folgenabschätzung bei risikoreichen Bearbeitungen
Was ist neu?
- Datenschutz-Folgenabschätzungen sind bei Verarbeitungen mit hohen Risiken zu erstellen, und zwar vor Inbetriebnahme des geplanten Vorhabens.
- Die Datenschutz-Folgenabschätzung ist nach Beendigung der Datenbearbeitung mindestens zwei Jahre aufzubewahren.
- Hohe Risiken sind insbesondere: Verwendung neuer Technologien, umfangreiche Bearbeitung besonders schützenswerter Personendaten, systematische Überwachung öffentlicher Bereiche, Profiling mit hohem Risiko.
- Stellt das geplante Vorhaben trotz umgesetzter Massnahmen immer noch ein hohes Risiko für die Persönlichkeit der betroffenen Personen dar, dann ist vorgängig die Stellungnahme des EDÖB einzuholen oder der benannte Datenschutzberater zu konsultieren.
Handlungsempfehlungen
- Risikoanalyse („Schwellwertanalyse“) für alle Bearbeitungen durchführen zur Ermittlung notwendiger Datenschutz-Folgenabschätzungen.
- Interne Mitarbeiter schulen und sensibilisieren: Datenschutz-Risikoanalysen („Schwellwertanalysen“) in Entwicklungsprozesse einbinden, damit frühzeitig erkannt wird, ob Datenschutz-Folgeabschätzungen erforderlich sind (Privacy by Design).
- Prozess für Datenschutzfolgeabschätzung implementieren und schulen oder Dienstleister beauftragen
Tip aus der Praxis:
- EU-Aufsichtsbehörden veröffentlichen sog. Black Lists und White Lists, die eine Orientierung geben können, welche Datenbearbeitungen ein voraussichtlich hohes Risiko bergen können.
Meldepflicht bei Verletzungen der Datensicherheit
Was ist neu?
- Eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, ist dem EDÖB zu melden.
- Die Meldung hat so rasch als möglich zu erfolgen.
- Die betroffenen Personen sind zu informieren, wenn es zu ihrem Schutz erforderlich ist.
- Ein Auftragsbearbeiter hat eine Verletzung der Datensicherheit so rasch als möglich dem Verantwortlichen zu melden.
- Verletzungen der Datensicherheit müssen dokumentiert und die Dokumentation ab dem Zeitpunkt der Meldung mindestens zwei Jahre aufbewahrt werden.
Handlungsempfehlungen
- Sensibilisierung der Mitarbeiter, damit Datensicherheitsverletzungen schnell erkannt und im besten Fall vermieden werden können.
- Prozesse, Verantwortlichkeiten und Dokumentationsvorlagen erstellen und schulen
Handlungsempfehlung bei Sicherheitsverletzungen
- Je nach Umfang der Verletzung: Rechts- und Kommunikationsabteilung oder -berater einschalten
- Bei Cyber-Angriffen Polizei und Behörde einschalten
Tip aus der Praxis
- Notfall-Team bestimmen, das in Notfallsituationen koordiniert reagiert (Datenschutz, IT- und Cybersicherheit, Gebäudesicherheit etc.)
Privacy By Design und Privacy By Default
(Datenschutz durch Technik und Datenschutz durch datenschutzfreundliche Voreinstellungen)
Was ist neu?
- Der Verantwortliche ist verpflichtet, bereits ab der Planung von Vorhaben die Grundsätze und Vorgaben des Datenschutzgesetzes einzubeziehen und auszugestalten.
- Datenschutz-Voreinstellungen: Bearbeitungen müssen auf das für den Verwendungszweck notwendige Mindestmass voreingestellt sein (z.B. Cookie-Einstellungen).
Handlungsempfehlungen
- Einbezug von Datenschutz-Anforderungen in den Entwicklungsprozess von Projekten und Produkten.
- Berücksichtigung von Datenschutz- und IT-Sicherheitsanforderungen bei Ausschreibungen
- Prüfung der Voreinstellungen der Anwendungen im Unternehmen
Kein Schutz für Daten von Unternehmen
Was ist neu?
- Das neue Schweizer Datenschutzgesetz ist nur noch auf Daten von natürlichen Personen anwendbar.
- Die Personendaten von Kontaktpersonen von Geschäftspartnern fallen nach wie vor unter das Datenschutzgesetz.
Internationale Aspekte
Was ist neu für Unternehmen ausserhalb der Schweiz?
- Anwendbarkeit des neuen DSG für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden. Das ist nicht grundsätzlich neu, aber im neuen DSG explizit geregelt.
- Verantwortliche mit Sitz im Ausland, die Personendaten von Personen in der Schweiz bearbeiten, haben unter bestimmten Voraussetzungen eine Vertretung in der Schweiz zu benennen. Die Kontaktdaten des Vertreters müssen publiziert werden.
Weitere Handlungsempfehlungen
- Sämtliche Verträge mit Bezug zu personenbezogenen Daten müssen auf DSG-Konformität überprüft werden.
- Datenübermittlungen ins Ausland identifizieren und prüfen
- Weisungen für Mitarbeiter und Auftragsbearbeiter erstellen bzw. anpassen
- Datenschutzreglement für Mitarbeiter und ggf. Geschäftspartner anpassen
- Bearbeitungen auf Profiling und automatisierte Einzelentscheide hin prüfen (Einwilligung, Datenschutz-Folgenabschätzung, erhöhte Transparenz)
Konsequenzen bei Verstössen
Was wird bestraft?
- Verletzung der Informationspflicht
- Vorsätzlich falsche oder unvollständige Information oder Auskunft
- Unzulässige Bekanntgabe von personenbezogenen Daten ins Ausland
- Verletzung der Sorgfaltspflicht bei Einbezug von Auftragsbearbeitern
- Nichteinhaltung der Mindestanforderungen an die Datensicherheit
- Verletzung der beruflichen Schweigepflichten
- Verweigerung der Mitwirkung bei behördlichen Untersuchungen (z.B. vom EDÖB)
- Missachtung von Verfügungen des EDÖB oder von Entscheiden der Rechtsmittelinstanzen
Wer wird bestraft?
- Persönliche Strafbarkeit der Person, die einen Datenschutzverstoss begeht bzw. zu verantworten hat
- Beträgt die Busse max. 50’000 CHF und ist die Ermittlung der strafbaren Personen unverhältnismässig, kann die Behörde stellvertretend das Unternehmen zur Bezahlung der Busse verurteilen.
Wie wird bestraft?
- Geldbusse bis zu 250’000 CHF und Strafregistereintrag
- Nur vorsätzliche Begehung strafbar. «Inkaufnahme» genügt.
- Verfolgung durch kantonale Strafverfolgungsbehörden.
Kompetenzen des EDÖB
- Erlassen von Verfügungen (u.a. Bearbeitungsverbote, Untersagung von Bekanntgaben ins Ausland, Vernichtung von Personendaten)
- Erhebung von Strafanzeigen als Privatkläger
- Eröffnung einer Untersuchung «von Amtes wegen» bei genügend Anzeichen eines Verstosses gegen das DSG
- Eröffnung einer Untersuchung «auf Anzeige» hin
Handlungsempfehlungen
- Sämtliche mit Busse behafteten Vorgaben und deren Umsetzung im Unternehmen prüfen (Informations-, Auskunfts- und Mitwirkungspflicht, Sorgfaltspflichten betr. Bekanntgabe ins Ausland und Auftragsbearbeitung, berufliche Schweigepflicht, Missachten von Verfügungen)
- Personalabteilung/HR/GL informieren und internen Prozess festlegen (Wer trägt die Verantwortung? Wer haftet in welchem Fall?)
- Mitarbeiter auf allen Ebenen zielgruppengerecht schulen
Beitrag erschienen am 1.9.2022. Aktualisiert am 06.03.2023.