Revidiertes Datenschutzgesetz: Das sollten NPOs beachten

6 min

Schweizer Non-Profit-Organisationen müssen die Datenschutzvorgaben des revidierten Schweizer Datenschutzgesetzes (DSG) einhalten. Was gilt es bei der Umsetzung zu beachten und welches sind die wichtigsten Massnahmen für NPOs?

Im Herbst 2020 hat das Schweizer Parlament das totalrevidierte Datenschutzgesetz verabschiedet. Die Grundprinzipien bleiben trotz Totalrevision bestehen. Während eine Missachtung der Datenschutzbestimmungen bisher faktisch ohne Konsequenzen blieb, enthält das neue Datenschutzgesetz nun ein Sanktionensystem: Bei Nichtbeachten der Bestimmungen müssen Verantwortliche künftig mit strafrechtlichen Konsequenzen rechnen. Neu gilt zudem eine erweiterte Informations- und Dokumentationspflicht.

 

Überblick über die wichtigsten Neuerungen und deren Konsequenzen
 

1. Strafrechtliche Sanktionen

Wer gegen das totalrevidierte Datenschutzgesetz verstösst, kann ab dem 1. September 2023 auf Antrag mit bis zu 250'000 Schweizer Franken gebüsst werden. Insbesondere nicht wahrgenommene Informations- und Auskunftspflichten oder Verstösse gegen die Datensicherheit können sanktioniert werden. Von der Strafdrohung betroffen sind in erster Linie die mit der Leitung der jeweiligen Organisation betrauten Personen. Bei der Aktiengesellschaft handelt es sich dabei insbesondere um die Mitglieder des Verwaltungsrats, allenfalls auch um die Geschäftsleitungsmitglieder. Ist der Verstoss gering und kommt eine Busse von höchstens 50'000 Schweizer Franken in Frage, kann die untersuchende Behörde von der Ermittlung der verantwortlichen Personen absehen und stattdessen den Geschäftsbetrieb zur Zahlung der Busse verurteilen.
 

2. Neue Informationspflichten

Natürliche Personen sind über die Bearbeitungen ihrer Personendaten angemessen zu informieren. Vielfach werden diese Informationen zukünftig auf der Website publiziert, typischerweise in einer sogenannten Datenschutzerklärung. Heutige Datenschutzerklärungen beinhalten oft lediglich Informationen über die Bearbeitung von Personendaten, die auf der Website gesammelt werden. Dagegen werden zukünftige Datenschutzerklärungen zusätzliche Informationen zur Organisation und zu den spezifischen Prozessen der Datenbearbeitung bereitstellen.

Organisationsbezogener Teil:

  • Identität der Organisation (z. B. CHE-Nummer)
  • Kontaktdaten der Organisation (E-Mail-Adresse)
  • Rechte der betroffenen Person (Auskunftsrechte und Beschwerderechte)

Pro Verfahren/Prozess:

  • Bearbeitungszweck
  • Empfänger (mind. Kategorien)
  • Informationen, welche eine transparente Datenbearbeitung gewährleisten (z. B. Rechtfertigungsgrund, Dauer der Speicherung, etc.)
  • Bei Bekanntgabe ins Ausland müssen das Land und die für den spezifischen Prozess anwendbaren Garantien genannt werden
  • Weitere Informationspflichten bei automatisierten Einzelentscheiden


Bei ungenügender Information der betroffenen Personen ist in Zukunft mit Sanktionen zu rechnen.
 

3. Gestärkte Betroffenenrechte

Betroffenenrechte bezeichnen die Rechte der betroffenen Person gegenüber der datenbearbeitenden Organisation. Das bedeutendste Recht ist diesbezüglich das Auskunftsrecht. Im Gegensatz zur Europäischen Union kennt die Schweiz kein ausdrückliches «Recht auf Löschung». Indirekt ergibt sich dies aber aufgrund der Bestimmung, dass eine Bearbeitung entgegen dem ausdrücklichen Willen der betroffenen Person für gewöhnlich eine Persönlichkeitsverletzung darstellt. Zusätzlich besteht ein Recht auf Datenherausgabe oder Datenübertragung in einem gängigen elektronischen Format. Entsprechende Auskünfte sind in der Regel innert 30 Tagen zu erteilen. Eine ungenügende oder verspätete Auskunftserteilung ist in Zukunft strafbedroht.
 

4. Stärkung der Datensicherheit durch risikobasierten Ansatz

Artikel 8, Absatz 1 des revidierten Datenschutzgesetzes besagt: «Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.»

Dieser Artikel erhält in Zukunft eine zentrale Bedeutung. Seine Nichtbefolgung ist neu strafbedroht. Doch die Formulierung des Artikels gewährt Organisationen weite Ermessensfreiheiten. Eine Analyse des Artikels zeigt, was zu tun ist: Die einzelnen Prozesse sind einer Risikobewertung zu unterziehen. Als Grundlage ist (i) eine Übersicht oder ein Inventar über die Prozesse, die Personendaten enthalten und/oder bearbeiten, zu erstellen. (ii) Das datenschutzrechtliche Risiko jedes Prozesses ist zu bewerten. Basierend auf dem beurteilten Risiko sind (iii) die daraus resultierenden, angemessenen technischen und organisatorischen Massnahmen (TOM) festzulegen und (iv) zu implementieren. Es gilt, die Risikoeinschätzung (v) regelmässig auf ihre Aktualität zu prüfen. Bei Bedarf ist sie nebst den TOM an neue Umstände und die fortschreitende technische Entwicklung anzupassen. Die korrekte Implementierung und Effektivität der TOM ist ebenfalls regelmässig zu überprüfen. Um in einem allfälligen Strafverfahren die gehörige Sorgfalt der Organisation (und somit auch der verantwortlichen Organe) zu belegen, sind die besagten Tätigkeiten zu dokumentieren.

Das totalrevidierte Datenschutzgesetz anerkennt durchaus, dass mit angemessenem Aufwand keine hundertprozentige Sicherheit erreicht werden kann. Deshalb ist anerkannt, dass eine Organisation auch in Zukunft mit Datenschutzverletzungen zu rechnen hat. Dies allein soll nicht sanktioniert werden. Heikel wird es für die verantwortlichen Organe jedoch, wenn deren sorgfältiges Handeln nicht dokumentiert wird. Oder anders ausgedrückt: Entscheidend ist der sorgfältige, angemessene und bewusste Umgang mit Personendaten, nicht der Einsatz einer teuren IT-Sicherheitslösung. Die Organisation darf angemessene Risiken eingehen. Wichtig ist, dass aufgezeigt werden kann, wie sie zur Risikobewertung gelangt ist und weshalb welche Stufe gewählt wurde.
 

5. Empfohlene Massnahmen für Organisationen

Im Hinblick auf das totalrevidierte Datenschutzgesetz werden Organisationen in einem ersten Schritt folgende Fragen klären müssen: Wie organisieren sie sich, wer leitet das Projekt, wie viele Ressourcen werden in welchem Zeitraum zur Verfügung gestellt, wo wird externe Unterstützung beigezogen? Es ist empfehlenswert, einen Projektplan zu erstellen und die Verantwortlichen in der Organisation möglichst früh über die wesentlichen Schritte zu informieren.

Werden Personendaten bearbeitet, sollten diese Verfahren und Prozesse in einem zweiten Schritt von der Organisation erhoben werden. Eine Aufstellung der Prozesse (Inventar) mit den wesentlichen Merkmalen stellt eine solide Grundlage für die Risikobeurteilung dar. Die datenschutzrechtlichen Risiken der Prozesse im Inventar sind zu bewerten und angemessene TOM sind zu definieren. Für diese wird üblicherweise ein organisationsweiter Standard festgelegt. Mögliche Abweichungen werden pro Verfahren festgehalten. Werden in einem Prozess mögliche hohe Risiken identifiziert, ist zu bestimmen, welche Massnahmen getätigt werden sollen, um das Risiko auf ein angemessenes Niveau zu senken.

In einem dritten Schritt sind verschiedene Prozesse in der Organisation zu installieren oder anzupassen:

  1. Die interne Alarmierung bei Datenschutzvorfällen ist sicherzustellen. Innerhalb von rund 72 Stunden muss beurteilt werden können, ob eine allfällige Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) notwendig ist. Sind die Vorzeichen dazu gegeben, ist eine entsprechende Meldung vorzunehmen. Bei einem Datenschutzvorfall ist ebenfalls zu prüfen, ob die betroffenen Personen zu informieren sind.
  2. Die korrekte Bearbeitung von Betroffenenrechten, insbesondere von Auskunfts- und Löschbegehren, ist sicherzustellen. Eine Auskunft muss in der Regel innert 30 Tagen erfolgen. Diese Frist erscheint auf den ersten Blick lang. Der Aufwand, um die Daten zu sammeln, zu prüfen und mitzuteilen, kann je nach Umstand aber erheblich sein. Eine gute Vorbereitung und ein effizienter Prozess sind unerlässlich.
  3. Werden Prozesse, die Personendaten bearbeiten, geändert oder eingeführt, muss sich eine Organisation künftig Gedanken zum Datenschutz machen. Der Inventareintrag ist zu überprüfen und die TOM sind gegebenenfalls anzupassen. Sind grosse Mengen besonders schützenswerter Personendaten (z.B. Gesundheitsdaten) betroffen, braucht es allenfalls eine formelle Datenschutz-Folgenabschätzung. Diese ist beim EDÖB einzureichen, sofern in der Organisation kein Datenschutzberater bestellt wurde.
     

 

6. Fazit

Mit dem totalrevidierten Datenschutzgesetz wird der Datenschutz gestärkt, was langfristige Auswirkungen auf Organisationen haben wird. Durch die neuen Vorschriften sehen sich Organisationen gezwungen, sich mit ihren Prozessen, die Personendaten bearbeiten und ihren Sicherheitsvorkehrungen zu befassen. Was im ersten Moment als Bürde und mühsame, zusätzliche Arbeit erscheinen mag, wird der Organisation langfristig Vorteile bringen. Denn die Auseinandersetzung mit den eigenen Prozessen legt oft den Blick frei auf ineffiziente, unnötige oder veraltete Arbeitsabläufe. Abschliessend kann festgehalten werden, dass ein guter Datenschutz ein Qualitätsmerkmal einer Organisation auch in Bezug auf deren Tätigkeiten und Dienstleistungen ist.

 

 


 

Haben Sie Fragen zum Thema Datenschutzgesetz?

Kontaktieren Sie BDO. Unsere Expertinnen und Experten stehen Ihnen schweizweit an über 30 Standorten beratend zur Seite. 

 

Jetzt Kontakt aufnehmen

 

Datenschutz-Test