Revidiertes Datenschutzgesetz – Das sollten Unternehmen beachten

6 min

Schweizer Unternehmen müssen die Datenschutzvorgaben des revidierten Schweizer Datenschutzgesetzes (DSG) einhalten. Was sollten sie bei der Umsetzung beachten und welche Massnahmen gilt es zu ergreifen?

Im Herbst 2020 hat das Schweizer Parlament das totalrevidierte Datenschutzgesetz verabschiedet. Die Grundprinzipien bleiben trotz Totalrevision bestehen. Während eine Missachtung der Datenschutzbestimmungen bisher faktisch ohne Konsequenzen blieb, enthält das neue Datenschutzgesetz nun ein Sanktionensystem: Bei Nichtbeachten der Bestimmungen müssen Verantwortliche künftig mit strafrechtlichen Konsequenzen rechnen. Neu gilt zudem eine erweiterte Informations- und Dokumentationspflicht.

 

Überblick über die wichtigsten Neuerungen und deren Konsequenzen

 

Strafrechtliche Sanktionen

Wer gegen das totalrevidierte Datenschutzgesetz verstösst, kann ab dem 1. September 2023 auf Antrag mit bis zu 250'000 Schweizer Franken gebüsst werden. Insbesondere nicht wahrgenommene Informations- und Auskunftspflichten oder Verstösse gegen die Datensicherheit können sanktioniert werden. Von der Strafdrohung betroffen sind in erster Linie die mit der Leitung des jeweiligen Unternehmens betrauten Personen. Bei der Aktiengesellschaft handelt es sich dabei insbesondere um die Mitglieder des Verwaltungsrats, allenfalls auch um die Geschäftsleitungsmitglieder. Ist der Verstoss gering und kommt eine Busse von höchstens 50'000 Schweizer Franken in Frage, kann die untersuchende Behörde von der Ermittlung der verantwortlichen Personen absehen und stattdessen den Geschäftsbetrieb zur Zahlung der Busse verurteilen.

 

Neue Informationspflichten

Natürliche Personen sind über die Bearbeitungen ihrer Personendaten angemessen zu informieren. Vielfach werden diese Informationen zukünftig auf der Website publiziert, typischerweise in einer sogenannten Datenschutzerklärung. Heutige Datenschutzerklärungen beinhalten oft lediglich Informationen über die Bearbeitung von Personendaten, die auf der Website gesammelt werden. Dagegen werden zukünftige Datenschutzerklärungen zusätzliche Informationen zum Unternehmen und zu den spezifischen Prozessen der Datenbearbeitung bereitstellen.

Unternehmenbezogener Teil:

  • Identität des Unternehmens (z. B. CHE-Nummer)
  • Kontaktdaten des Unternehmens (E-Mail-Adresse)
  • Rechte der betroffenen Person (Auskunftsrechte und Beschwerderechte)

Pro Verfahren/Prozess:

  • Bearbeitungszweck
  • Empfänger (mind. Kategorien)
  • Informationen, welche eine transparente Datenbearbeitung gewährleisten (z. B. Rechtfertigungsgrund, Dauer der Speicherung etc.)
  • Bei Bekanntgabe ins Ausland müssen Informationen der Staat und die anwendbaren Garantien aufgeführt werden
  • Weitere Informationspflichten bei automatisierten Einzelentscheiden


Bei ungenügender Information der betroffenen Personen ist in Zukunft mit Sanktionen zu rechnen.
 

Gestärkte Betroffenenrechte

Betroffenenrechte bezeichnen die Rechte der betroffenen Person gegenüber dem datenbearbeitenden Unternehmen. Das bedeutendste Recht ist diesbezüglich das Auskunftsrecht. Im Gegensatz zur Europäischen Union kennt die Schweiz kein ausdrückliches «Recht auf Löschung». Indirekt ergibt sich dies aber aufgrund der Bestimmung, dass eine Bearbeitung entgegen dem ausdrücklichen Willen der betroffenen Person für gewöhnlich eine Persönlichkeitsverletzung darstellt. Zusätzlich besteht ein Recht auf Datenherausgabe oder Datenübertragung in einem gängigen elektronischen Format. Entsprechende Auskünfte sind in der Regel innert 30 Tagen zu erteilen. Eine ungenügende oder verspätete Auskunftserteilung ist in Zukunft strafbedroht.
 

Stärkung der Datensicherheit durch risikobasierten Ansatz

Artikel 8, Absatz 1 des revidierten Datenschutzgesetzes besagt: «Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.»

Dieser Artikel erhält in Zukunft eine zentrale Bedeutung. Seine Nichtbefolgung ist neu strafbedroht. Doch die Formulierung des Artikels gewährt Unternehmen weite Ermessensfreiheiten. Eine Analyse des Artikels zeigt, was zu tun ist: Die einzelnen Prozesse sind einer Risikobewertung zu unterziehen. Als Grundlage ist (i) eine Übersicht oder ein Inventar über die Prozesse, die Personendaten enthalten und/oder bearbeiten, zu erstellen. (ii) Das datenschutzrechtliche Risiko jedes Prozesses ist zu bewerten. Basierend auf dem beurteilten Risiko sind (iii) die daraus resultierenden, angemessenen technischen und organisatorischen Massnahmen (TOM) festzulegen und (iv) zu implementieren. Es gilt, die Risikoeinschätzung (v) regelmässig auf ihre Aktualität zu prüfen. Bei Bedarf ist sie nebst den TOM an neue Umstände und die fortschreitende technische Entwicklung anzupassen. Die korrekte Implementierung und Effektivität der TOM ist ebenfalls regelmässig zu überprüfen. Um in einem allfälligen Strafverfahren die gehörige Sorgfalt des Unternehmens (und somit auch der verantwortlichen Organe) zu belegen, sind die besagten Tätigkeiten zu dokumentieren. Unternehmen mit über 250 Mitarbeitenden haben ein formelleres Inventar zu führen, welches bestimmte Informationen enthalten muss (sog. «Register der Bearbeitungstätigkeiten»).

Das totalrevidierte Datenschutzgesetz anerkennt durchaus, dass mit angemessenem Aufwand keine hundertprozentige Sicherheit erreicht werden kann. Deshalb ist anerkannt, dass ein Unternehmen auch in Zukunft mit Datenschutzverletzungen zu rechnen hat. Dies alleine soll nicht sanktioniert werden. Heikel wird es für die verantwortlichen Organe jedoch, wenn deren sorgfältiges Handeln nicht dokumentiert wird. Oder anders ausgedrückt: Entscheidend ist der sorgfältige, angemessene und bewusste Umgang mit Personendaten, nicht der Einsatz einer teuren IT-Sicherheitslösung. Das Unternehmen darf angemessene Risiken eingehen. Wichtig ist, dass aufgezeigt werden kann, wie sie zur Risikobewertung gelangt ist und weshalb welche Stufe gewählt wurde.
 

Empfohlene Massnahmen für Unternehmen 

Im Hinblick auf das totalrevidierte Datenschutzgesetz werden Unternehmen in einem ersten Schritt folgende Fragen klären müssen: Wie organisieren sie sich, wer leitet das Projekt, wie viele Ressourcen werden in welchem Zeitraum zur Verfügung gestellt, wo wird externe Unterstützung beigezogen? Es ist empfehlenswert, einen Projektplan zu erstellen und die Verantwortlichen im Unternehmen möglichst früh über die wesentlichen Schritte zu informieren.

Werden Personendaten bearbeitet, sollten diese Verfahren und Prozesse in einem zweiten Schritt vom Unternehmen erhoben werden. Eine Aufstellung der Prozesse (Inventar) mit den wesentlichen Merkmalen stellt eine solide Grundlage für die Risikobeurteilung dar. Die datenschutzrechtlichen Risiken der Prozesse im Inventar sind zu bewerten und angemessene TOM sind zu definieren. Für diese wird üblicherweise ein unternehmensweiter Standard festgelegt. Mögliche Abweichungen werden pro Verfahren festgehalten. Werden in einem Prozess mögliche hohe Risiken identifiziert, ist zu bestimmen, welche Massnahmen getätigt werden sollen, um das Risiko auf ein angemessenes Niveau zu senken.

In einem dritten Schritt sind verschiedene Prozesse im Unternehmen zu installieren oder anzupassen:

  1. Die interne Alarmierung bei Datenschutzvorfällen ist sicherzustellen. Innerhalb von rund 72 Stunden muss beurteilt werden können, ob eine allfällige Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) notwendig ist. Sind die Vorzeichen dazu gegeben, ist eine entsprechende Meldung vorzunehmen. Bei einem Datenschutzvorfall ist ebenfalls zu prüfen, ob die betroffenen Personen zu informieren sind.
  2. Die korrekte Bearbeitung von Betroffenenrechten, insbesondere von Auskunfts- und Löschbegehren, ist sicherzustellen. Eine Auskunft muss in der Regel innert 30 Tagen erfolgen. Diese Frist erscheint auf den ersten Blick lang. Der Aufwand, um die Daten zu sammeln, zu prüfen und mitzuteilen, kann je nach Umstand aber erheblich sein. Eine gute Vorbereitung und ein effizienter Prozess sind unerlässlich.
  3. Werden Prozesse, bei denen Personendaten bearbeitet werden, geändert oder eingeführt, muss sich ein Unternehmen künftig Gedanken zum Datenschutz machen. Der Inventareintrag ist zu überprüfen und die TOM sind gegebenenfalls anzupassen. Sind grosse Mengen besonders schützenswerter Personendaten (z.B. Gesundheitsdaten) betroffen, braucht es allenfalls eine formelle Datenschutz-Folgenabschätzung. Diese ist beim EDÖB einzureichen, sofern im Unternehmen kein Datenschutzberater bestellt wurde.
     

 

Fazit

Mit dem totalrevidierten Datenschutzgesetz wird der Datenschutz gestärkt, was langfristige Auswirkungen auf Unternehmen haben wird. Durch die neuen Vorschriften sehen sie sich gezwungen, sich mit ihren Prozessen, bei denen Personendaten bearbeitet werden, und ihren Sicherheitsvorkehrungen zu befassen. Was im ersten Moment als Bürde und mühsame, zusätzliche Arbeit erscheinen mag, wird langfristig Vorteile bringen. Denn die Auseinandersetzung mit den eigenen Prozessen legt oft den Blick frei auf ineffiziente, unnötige oder veraltete Arbeitsabläufe. Abschliessend kann festgehalten werden, dass ein guter Datenschutz ein Qualitätsmerkmal eines Unternehmens ist - auch in Bezug auf deren Tätigkeiten und Dienstleistungen.

 


 

Ist Ihr Unternehmen für die Anpassung des Schweizer Datenschutzgesetzes gewappnet?

Der Datenschutz-Test von BDO verschafft Überblick. 

 

Machen Sie jetzt den Test

 

 

Weitere Artikel und Publikationen finden Sie über das obenstehende Suchfeld oder im Menü unter «Themen».


Sichern Sie sich Ihren Wissensvorsprung und abonnieren Sie die BDO News und Einblicke.


Ist Ihr Unternehmen auf das neue Datenschutzgestz vorbereitet?

Machen Sie den Datenschutz-Test

Zum Datenschutz-Test

Please fill out the following form to access the download.