Handlungsbedarf aufgrund des revidierten Schweizer Datenschutzgesetzes

Das revidierte Schweizer Datenschutzgesetz (DSG) wurde vom Parlament nach jahrelangem Ringen im Herbst 2020 verabschiedet. Auch wenn die dazugehörige Verordnung noch in Ausarbeitung ist, ist im Grundsatz nun klar, was auf die Unternehmen zukommt: Neue Informations- und Dokumentationspflichten, Meldepflicht bei Datenverletzungen und das Risiko einer Busse bei Missachtung gewisser Pflichten. Das revidierte Datenschutzgesetz tritt voraussichtlich Mitte 2022 in Kraft und Datenbearbeiter können und sollten die bis dahin verbleibende Zeit nutzen, um sich auf die Neuerungen vorzubereiten, die notwendigen Abklärungen zu treffen und die erforderlichen Massnahmen zu implementieren.

Verschärfte Dokumentations-, Prüfungs- und Meldepflichten

Eine wesentliche Verschärfung im revidierten DSG findet analog zur DSGVO im Bereich der Dokumentationspflichten statt. So gilt für Unternehmen grundsätzlich eine Pflicht, ein Verzeichnis über Datenbearbeitungsaktivitäten zu führen. Neu müssen sodann vor der Verarbeitung sensibler Personendaten Datenschutz-Folgenabschätzungen durchgeführt werden. Für Datenschutz-Vorfälle wie der Verlust von Daten oder Datenschutzverletzungen anderer Art ist im DSG neu eine Meldepflicht an den Eidgenössischen Datenschutz und Öffentlichkeitsbeauftragten (EDÖB) verankert.

Von der Pflicht zur Führung eines Bearbeitungsverzeichnisses sind Unternehmen ausgenommen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt. Das heisst, auch Unternehmen mit weniger als 250 Mitarbeitenden können je nach Datenkategorie und Datenbearbeitung von der Pflicht zur Führung eines Bearbeitungsverzeichnisses betroffen sein. Da die Kenntnis der im Unternehmen getätigten Datenbearbeitungsvorgänge jedoch ein wesentlicher Bestandteil der übrigen Dokumentations-, Prüfungs- und Meldepflichten ist, empfiehlt es sich ohnehin, ein Bearbeitungsverzeichnis zu führen.

Ernennung eines Datenschutzberaters oder einer Datenschutzberaterin

Im Gegensatz zur DSGVO statuiert das revidierte DSG keine Pflicht zur Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters. Eine solche Ernennung ist freiwillig. Bei Ernennung müssen die im DSG erwähnten organisatorischen und fachlichen Anforderungen an Datenschutzberater und -beraterinnen erfüllt sein, sprich die betreffende Person muss über das notwendige Fachwissen verfügen und innerhalb der Organisation unabhängig agieren können. Die Ernennung eines Datenschutzberaters wird für kleinere und mittlere Unternehmen häufig nicht zwingend angezeigt sein. Die Schaffung einer für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlichen Stelle (wie der Compliance-Officer) dürfte jedoch für die meisten Unternehmen angesichts der komplexer werdenden Anforderungen hinsichtlich Informations- und Dokumentationspflichten sinnvoll sein. Die Verantwortlichkeit muss dabei nicht zwingend bei einer Person, sondern kann auch bei einem Team angesiedelt sein.

Verschärfung hinsichtlich Beizug von Auftragsbearbeitern

Praktisch alle Unternehmen delegieren einen Teil der Verarbeitung personenbezogener Daten an einen Auftragsbearbeiter, allen voran an ITDienstleister, was einen Datentransfer erfordert. Diese Delegation bzw. generell das Outsourcing untersteht gemäss revidiertem DSG verschärften Anforderungen. Die wichtigste Neuerung ist die Genehmigungspflicht für den Einsatz von Unterauftragsbearbeitern. Die Überprüfung und gegebenenfalls Anpassung bestehender Verträge mit Auftragsbearbeitern ist daher notwendig.

Datenschutzerklärung wird zum Muss

Aufgrund der erweiterten Informationspflicht im revidierten DSG sind Unternehmen verpflichtet, proaktiv Mindestangaben zu den von ihnen erhobenen und bearbeiteten Personendaten zur Verfügung zu stellen. Dies wird in der Regel über das bereits bekannte Instrument der Datenschutzerklärung erfolgen. Die meisten Unternehmen veröffentlichen bereits heute auf ihrer Website eine solche Datenschutzerklärung. Inhaltlich sollte diese mit den Mindestanforderungen nach revidiertem DSG abgeglichen werden. Hinsichtlich der Form der Datenschutzerklärung macht das revidierte DSG wiederum keine Vorschriften. Die Information muss im Zeitpunkt der Erhebung der Daten erfolgen, d.h., es ist anstelle einer umfassenden Datenschutzerklärung auch möglich, Datensubjekte für jede spezifische Erhebung separat zu informieren.

Um Datenschutzerklärungen verständlicher zu gestalten, kann auch auf visuelle Hilfsmittel zurückgegriffen werden. Bereits heute gibt es Unternehmen, die ihre Datenschutzerklärung in einem Video zusammenfassen. Eine aus dem Verein digitalswitzerland entstandene Initiative hat sodann Privacy Icons entwickelt, welche Unternehmen dabei unterstützen sollen, ihre jeweiligen Datenbearbeitungen durch Verwendung der Privacy Icons leicht erkenn- und begreifbar zu machen (www.privacy-icons.ch).*

Neues Verfügungs- und Bussenregime

Das revidierte DSG gibt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten die Möglichkeit, Verfügungen hinsichtlich konkreter Datenbearbeitungsvorgänge gegenüber Unternehmen zu erlassen. Sodann können die kantonalen Strafbehörden neu eine Busse für bestimmte vorsätzliche Verletzungen des revidierten DSG bis zu einer Höhe von CHF 250000 aussprechen.

Was sind die unerlässlichen To dos?

Bearbeitungsverzeichnis erstellen: Als Ausgangsdokument zentral für den Inhalt der Datenschutzerklärung, für die Implementierung von Massnahmen hinsichtlich DatenschutzFolgenabschätzung, Überprüfung von Verträgen mit Auftragsbearbeitern und für die Meldepflicht von Datenschutzverletzungen.
Anpassung der Datenschutzerklärung: Für die Nutzung der Website und die Geschäftsbeziehung generell, allenfalls unter Berücksichtigung der Privacy Icons.
Erarbeitung und Implementierung eines Konzepts hinsichtlich Auskunftsbegehren von Datensubjekten: Zuweisung von Verantwortlichkeiten und Anweisungen, wie Auskunftsbegehren abzuarbeiten sind (Prüfungs- und Dokumentationspflichten) aufgrund von kurzen gesetzlichen Fristen für die Auskunft.
Anpassung der Verträge mit Auftragsbearbeitern: In diesem Zusammenhang ist ein besonderes Augenmerk auf allfällige Datentransfers ins Ausland zu werfen.
Erarbeitung und Implementierung eines Konzepts für Datenschutz-Folgenabschätzungen: Für neue Projekte sollte relativ früh das Datenschutz-Know-how eingebunden werden.
Erarbeitung und Implementierung eines Konzepts für Datenschutzverletzungen: Der Aufwand im Zusammenhang mit der Abklärung und der Ergreifung von Massnahmen, einschliesslich Meldung an den EDÖB, ist nicht zu unterschätzen. Die Meldung an den EDÖB muss «so rasch als möglich» erfolgen.

Weitergehende Massnahmen sind insbesondere notwendig, wenn besonders sensible Personendaten bearbeitet werden oder automatische Entscheidfindungen gestützt auf Personendaten stattfinden. Es gibt grundsätzlich keine One-SizeFits-All-Lösung, sondern der dem Datenschutzrecht inhärente risikobasierte Ansatz führt dazu, dass sich die erforderlichen Massnahmen am Risiko orientieren müssen, welches die konkrete Datenbearbeitung für die Persönlichkeitsrechte der betroffenen Personen birgt.

Register now for your free, tailored, daily legal newsfeed service.

Handlungsbedarf aufgrund des revidierten Schweizer Datenschutzgesetzes

Filed under

Laws

Popular articles from this firm

Schweizer ki-regulierung nimmt form an *

Aktienrechtsrevision: Eine Darlegung der wichtigsten Anpassungen und Änderungen *

Tasks and responsibilities of economic operators in medical device legislation *

Prospektpflicht bei Start-up- Finanzierungsrunden *

Limited Qualified Investor Fund (L-QIF) *

Professional development

Related practical resources PRO

Related research hubs

GDPR

Switzerland

European Union

IT & Data Protection