Das neue Schweizer Datenschutzgesetz (DSG) wurde vom Parlament angenommen und tritt am 1.9.2023 in Kraft. Was ändert sich und welcher Handlungsbedarf ergibt sich für Unternehmen in und ausserhalb der Schweiz?
Zusammenfassung
Am 25. September 2020 wurde der Revisionsentwurf vom Parlament in der Schlussabstimmung angenommen. Zusammen mit der Verordnung zum Datenschutzgesetz (DSV) wird das neue Datenschutzgesetz am 1.9.2023 in Kraft treten. Grundsätzlich wurde das bisherige Recht an die technologischen Entwicklungen angepasst und lehnt sich an die Europäische Datenschutzgrundverordnung (EU-DSGVO) an.
Schweizer Unternehmen, die die Anforderungen der DSGVO umgesetzt haben, sind bereits gut aufgestellt. Da das neue DSG jedoch in einigen Bereichen abweichende oder weitergehende Regelungen enthält, ist auch bei DSGVO-konformen Unternehmen die Ermittlung der konkret umzusetzenden Massnahmen erforderlich.
Wir empfehlen allen Unternehmen, frühzeitig mit den notwendigen Arbeiten zu beginnen und die Zeit bis zum 1.9.2023 für die Umsetzung zu nutzen. Anhand einer Bestandsaufnahme und GAP-Analyse können die notwendigen Umsetzungsmassnahmen ermittelt werden. Die Erstellung der geforderten Dokumentationen (insbesondere das Verzeichnis der Bearbeitungstätigkeiten) und vertraglichen Regelungen benötigt erfahrungsgemäss einigen Aufwand, da damit meist Analysen der Bearbeitungen, Datenflüsse und Vertragsbeziehungen verbunden sind. Unternehmen mit einer ISO27001-Zertifizierung sind hier im Vorteil, da die Dokumentationen und Ergebnisse der Zertifizierung herangezogen werden können.
Auf Basis der Ergebnisse dieser Analysen und Dokumentationen können dann die weiteren Schritte und Massnahmen effizient durchgeführt werden: Datenschutzerklärungen, Aktualisierung der vertraglichen Regelungen, Prozesse für Betroffenenanfragen und Meldepflichten, Einbindung der Datenschutzanforderungen in die Entwicklung neuer Projekte und Produkte. Wesentlicher Bestandteil der Massnahmen ist zudem die Sensibilisierung und Schulung der Mitarbeiter. Hier empfehlen wir unsere E-Learning-Kurse für Mitarbeiter.
In den folgenden Abschnitten haben wir Ihnen die wesentlichen Neuerungen und Änderungen und den daraus resultierenden Handlungsbedarf aufgeführt.
Was können wir für Sie tun?
Wir begleiten Sie von der Bestandsaufnahme bis zur Umsetzung:
- Bestandsaufnahme: Aufnahme der IST-Situation
- GAP-Analyse: Ermittlung des Handlungsbedarfs und Erstellung eines Massnahmenkatalogs
- Unterstützung bei der Priorisierung und Umsetzung der Massnahmen
- Schulung, Sensibilisierung und Coaching
- Projektmanagement für die genannten Aktivitäten bzw. Ihr Datenschutzprojekt
- Projekt-Setup für Ihr Datenschutzprojekt
- Bereitstellung eines externen Datenschutzberaters bzw. Datenschutzbeauftragten
Was ändert sich und welche Massnahmen sind erforderlich?
Verzeichnis der Bearbeitungstätigkeiten
Was ist neu?
- Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten
- Verantwortlicher und Auftragsbearbeiter führen je ein Verzeichnis
- Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitern, wenn keine besonders schützenswerten Personendaten in grossem Umfang bearbeitet werden UND keinProfiling mit hohem Risiko durchgeführt wird.
- Das Verzeichnis der Bearbeitungstätigkeiten muss dem EDÖB auf Anfrage zur Verfügung gestellt werden.
- Das Führen löst das Führen und die Meldepflicht für Datensammlungen ab
- Es gibt keine Formvorschriften, das Verzeichnis der Bearbeitungstätigkeiten kann in einem Excel-Sheet, einem Word-Dokument oder auch in einem spezialisierten Softwaresystem erfasst und gepflegt werden.
Handlungsempfehlungen
- Erstellung des Verzeichnisses der Bearbeitungstätigkeiten bzw. bereits bestehende Verarbeitungsverzeichnisse nach DSGVO aktualisieren
- Prozesse zur Erfassung und Aktualisierung implementieren und schulen
Mit der Erstellung des Verzeichnisses der Bearbeitungstätigkeiten gehen meist weitere Aktivitäten einher, weil oftmals im Zuge des Erstellens dieser Dokumentation ermittelt werden muss, wo welche Personendaten zu welchem Zweck bearbeitet werden und wem und wie diese Daten an Dritte im In- und Ausland weitergegeben werden.
- Identifikation der Bearbeitungstätigkeiten und Prüfung auf Sicherstellung der Datenrichtigkeit und Zweckbindung
- Sicherstellung der Rechtsgrundlagen für die Bearbeitung
- Implementierung von technischen und organisatorischen Massnahmen zur Gewährleistung der Datensicherheit
- Implementierung eines Löschkonzepts unter Berücksichtigung der gesetzlichen Aufbewahrungs- und Archivierungsfristen
Tips:
Auch wenn ein Unternehmen nicht verpflichtet ist, ein Verzeichnis der Bearbeitungstätigkeiten zu erstellen, so müssen die darin enthaltenen Informationen trotzdem im Unternehmen bekannt und dokumentiert sein (Bearbeitungen, Datenkategorien, Datenempfänger, Massnahmen der IT-Sicherheit, vertragliche Regelungen, Auslandstransfers etc.). Ansonsten ist die Umsetzung der Datenschutzanforderung nicht oder nur schwerlich möglich. Auch für die Beantwortung von Auskunftsbegehren ist das Verzeichnis der Bearbeitungstätigkeiten eine grosse Hilfe. Falls noch keine Dokumentationen vorliegen, empfehlen wir, auch ohne gesetzliche Pflicht ein Verzeichnis der Bearbeitungstätigkeiten zu erstellen.
Bearbeitungsreglement
Was ist neu?
- Unternehmen müssen ein Bearbeitungsreglement erstellen, wenn besonders schützenswerte Personendaten in grossem Umfang oder Profiling mit hohem Risiko bearbeitet werden.
- Inhalt: Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit
- Kann auf bestehende Dokumentationen verweisen
Handlungsempfehlungen
- Prüfung, ob ein Bearbeitungsreglement erstellt werden muss.
- Prozesse zur Erfassung und Aktualisierung implementieren und schulen
Erweiterte Informationspflichten
Was ist neu?
- Die Informationspflicht wurde ausgeweitet.
- Die vorsätzliche Verletzung der Informationspflicht ist bussgeldbewehrt.
Handlungsempfehlungen
- Bestehende für die Informationspflicht relevante Unterlagen prüfen und anpassen (Datenschutzerklärungen, Informationen an Mitarbeiter, Kunden und Partner etc.).
- Sensibilisierung der Mitarbeiter, damit Informationspflicht vom „Business“ angestossen werden kann.
Auftragsbearbeitung
Was ist neu?
- Beizug von Subakkordanten neu strenger geregelt
Handlungsempfehlungen
- Identifikation von Auftragsbearbeitungen, Abgrenzung zu eigenständigen oder gemeinsamen Verantwortlichkeiten
- Beizug von Subunternehmen durch Auftragsbearbeiter prüfen.
- Verträge auf DSG-Konformität prüfen
Datenschutz-Folgenabschätzung bei risikoreichen Bearbeitungen
Was ist neu?
- Datenschutz-Folgenabschätzungen sind bei Verarbeitungen mit hohen Risiken zu erstellen, und zwar vor Inbetriebnahme des geplanten Vorhabens.
- Die Datenschutz-Folgenabschätzung ist nach Beendigung der Datenbearbeitung mindestens zwei Jahre aufzubewahren.
- Hohe Risiken sind insbesondere: Verwendung neuer Technologien, umfangreiche Bearbeitung besonders schützenswerter Personendaten, systematische Überwachung öffentlicher Bereiche, Profiling mit hohem Risiko.
- Stellt das geplante Vorhaben trotz umgesetzter Massnahmen immer noch ein hohes Risiko für die Persönlichkeit der betroffenen Personen dar, dann ist vorgängig die Stellungnahme des EDÖB einzuholen oder der benannte Datenschutzberater zu konsultieren.
Handlungsempfehlungen
- Risikoanalyse („Schwellwertanalyse“) für alle Bearbeitungen durchführen zur Ermittlung notwendiger Datenschutz-Folgenabschätzungen.
- Interne Mitarbeiter schulen und sensibilisieren: Datenschutz-Risikoanalysen in Entwicklungsprozesse einbinden.
- Prozess für Datenschutzfolgeabschätzung implementieren und schulen oder Dienstleister beauftragen
Datenschutzberaterin / Datenschutzberater
Was hat sich geändert?
- Der Verantwortliche kann eine Datenschutzberaterin / einen Datenschutzberater benennen (keine Pflicht). Bisher wurde der Datenschutzberater als „Datenschutzverantwortlicher“ bezeichnet.
- Der Verantwortliche kann von der Konsultation des EDÖB bei einer risikoreichen Bearbeitung absehen, wenn er seine(n) benannte(n) Datenschutzberaterin / Datenschutzberater konsultiert hat.
Handlungsempfehlungen
- Die Ernennung einer Datenschutzberaterin / eines Datenschutzberaters (intern/extern) ist nicht zwingend vorgeschrieben. Je nach Grösse und Tätigkeitsgebiet eines Unternehmens kann eine Stelle, die für den Datenschutz zuständig ist, jedoch faktisch notwendig sein.
Erweiterte Betroffenenrechte (Datenportabilität)
Was ist neu?
- Unter definierten Bedingungen kann jede Person die Herausgabe ihrer Personendaten, welche sie ihm bekannt gegeben hat, in einem gängigen elektronischen Format verlangen.
Handlungsempfehlungen
- Prüfung der internen Prozesse zur Beantwortung von Betroffenenanfragen nach den Kriterien des neuen DSG.
- Festlegen, welche maschinenlesbare Formate zur Verfügung gestellt werden können
- Schulung der Mitarbeiter, die Betroffenenanfragen bearbeiten
Kein Schutz für Daten von Unternehmen
Was ist neu?
- Das neue Schweizer Datenschutzgesetz ist nur noch auf Daten von natürlichen Personen anwendbar.
- Die Personendaten von Kontaktpersonen von Geschäftspartnern fallen nach wie vor unter das Datenschutzgesetz.
Meldepflicht bei Verletzungen der Datensicherheit
Was ist neu?
- Bestimmte Verletzungen der Datensicherheit sind so rasch als möglich dem EDÖB und ggf. der betroffenen Person zu melden.
- Ein Auftragsbearbeiter hat eine Verletzung der Datensicherheit so rasch als möglich dem Verantwortlichen zu melden.
- Verletzungen der Datensicherheit müssen dokumentiert und die Dokumentation ab dem Zeitpunkt der Meldung mindestens zwei Jahre aufbewahrt werden.
Handlungsempfehlungen
- Meldeprozesse und Notfall-Team festlegen in Koordination mit den Meldeprozessen der Informationssicherheit.
- Sensibilisierung der Mitarbeiter, damit Datensicherheitsverletzungen vermieden bzw. erkannt werden.
- Vorlagen erstellen für Meldungen und Dokumentation der Verletzung der Datensicherheit.
Privacy By Design und Privacy By Default
(Datenschutz durch Technik und Datenschutz durch datenschutzfreundliche Voreinstellungen)
Was ist neu?
- Der Verantwortliche ist verpflichtet, bereits ab der Planung von Vorhaben die Grundsätze und Vorgaben des Datenschutzgesetzes einzubeziehen und auszugestalten.
- Datenschutz-Voreinstellungen: Bearbeitungen müssen auf das für den Verwendungszweck notwendige Mindestmass voreingestellt sein (z.B. Cookie-Einstellungen).
Handlungsempfehlungen
- Einbezug von Datenschutz-Anforderungen in den Entwicklungsprozess von Projekten und Produkten.
- Prüfung der Voreinstellungen der Anwendungen im Unternehmen
Internationale Aspekte
Was ist neu für Unternehmen ausserhalb der Schweiz?
- Anwendbarkeit des neuen DSG für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden. Das ist nicht grundsätzlich neu, aber im neuen DSG explizit geregelt.
- Verantwortliche mit Sitz im Ausland, die Personendaten von Personen in der Schweiz bearbeiten, haben unter bestimmten Voraussetzungen eine Vertretung in der Schweiz zu benennen. Die Kontaktdaten des Vertreters müssen publiziert werden.
Weitere Handlungsempfehlungen
- Sämtliche Verträge mit Bezug zu personenbezogenen Daten müssen auf DSG-Konformität überprüft werden.
- Datenübermittlungen ins Ausland identifizieren und prüfen
- Weisungen für Mitarbeiter und Auftragsbearbeiter erstellen bzw. anpassen
- Datenschutzreglement für Mitarbeiter und ggf. Geschäftspartner anpassen
- Bearbeitungen auf Profiling und automatisierte Einzelentscheide hin prüfen (Einwilligung, Datenschutz-Folgenabschätzung, erhöhte Transparenz)
Konsequenzen bei Verstössen
Was wird bestraft?
- Falsche oder unvollständige Information oder Auskunft
- Verweigerung der Mitwirkung bei behördlichen Untersuchungen (z.B. vom EDÖB)
- Unzulässige Bekanntgabe von personenbezogenen Daten ins Ausland
- Verletzung der Sorgfaltspflicht bei Einbezug von Auftragsbearbeitern
- Ungenügende technische und organisatorische Massnahmen zur Gewährleistung der Datensicherheit
- Verletzung der beruflichen Schweigepflichten
- Missachtung von Verfügungen des EDÖB oder Entscheide der Rechtsmittelinstanzen
Wer wird bestraft?
- Persönliche Strafbarkeit der Person, die einen Datenschutzverstoss begeht bzw. zu verantworten hat
- Beträgt die Busse max. 50’000 CHF und ist die Ermittlung der strafbaren Personen unverhältnismässig, kann die Behörde stellvertretend das Unternehmen zur Bezahlung der Busse verurteilen.
Wie wird bestraft?
- Geldbusse bis zu 250’000 CHF und Strafregistereintrag
- Nur vorsätzliche Begehung strafbar. «Inkaufnahme» genügt.
- Verfolgung durch kantonale Strafverfolgungsbehörden.
Kompetenzen des EDÖB
- Erlassen von Verfügungen (u.a. Bearbeitungsverbote, Untersagung von Bekanntgaben ins Ausland, Vernichtung von Personendaten)
- Erhebung von Strafanzeigen als Privatkläger
- Eröffnung einer Untersuchung «von Amtes wegen» bei genügend Anzeichen eines Verstosses gegen das DSG
- Eröffnung einer Untersuchung «auf Anzeige» hin
Handlungsempfehlungen
- Sämtliche mit Busse behafteten Vorgaben und deren Umsetzung im Unternehmen prüfen (Informations-, Auskunfts- und Mitwirkungspflicht, Sorgfaltspflichten betr. Bekanntgabe ins Ausland und Auftragsbearbeitung, berufliche Schweigepflicht, Missachten von Verfügungen)
- Personalabteilung/HR/GL informieren und internen Prozess festlegen (Wer trägt die Verantwortung? Wer haftet in welchem Fall?)
- Mitarbeiter auf allen Ebenen zielgruppengerecht schulen