Neues Datenschutzgesetz Schweiz – 7 wichtige Neuerungen

Recht Wissen

Neues Datenschutzgesetz Schweiz – 7 wichtige Neuerungen

Bereit für das neue Schweizer Datenschutzgesetz? – 7 wichtige Neuerungen

Das neue Schweizer Datenschutzgesetz (nDSG) wurde am 25. September 2020 vom Parlament verabschiedet und tritt nun am 1. September 2023 definitiv in Kraft. Hauptziel der Totalrevision ist, dass man das Schweizer Datenschutzrecht auf das Niveau der EU anhebt (weitere Infos hier). Das neue Datenschutzgesetz führt denn auch zu zahlreichen Angleichungen an die EU-Datenschutzgrundverordnung (DSGVO). Es behält aber weiterhin eine eigene Grundkonzeption und weicht auch in diversen anderen Punkten von dieser ab. Beispiele wichtiger Neuerungen der DSG-Revision sind die wesentlich strengeren Sanktionen, erweiterte Informationspflichten und die Pflicht zur Erstellung eines Bearbeitungsverzeichnisses.

Gesetzesänderungen bringen für den Rechtsanwender häufig eine gewisse Unsicherheit mit sich. Für viele stellt sich die Frage, welche datenschutzrechtlichen Pflichten bald neu eingehalten werden müssen. Da das neue Datenschutzgesetz sehr breit gefasst ist und fast jedes Unternehmen in der Schweiz tangiert, haben wir in folgendem Beitrag die wichtigsten Neuerungen zusammengefasst und erläutert. Am Ende des Beitrags finden Sie ebenfalls eine Checkliste mit den wichtigsten Punkten, die ein Unternehmen implementieren sollte.

1. Verschärfte Sanktionen und Ausbau der Befugnisse des EDÖB

Anders als das bestehende Datenschutzgesetz sieht der Textentwurf des neuen Gesetzes klare Sanktionen vor. Die Strafbestimmungen sind in Art. 60 ff. nDSG festgehalten. Strafbar sind vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit.

Im Vergleich zum bestehenden Recht wurden die Strafbestimmungen deutlich ausgebaut und verschärft. Wer die Informationspflichten (Art. 19, Art. 21 nDSG), die Auskunftspflichten (Art. 25–27 nDSG) oder die Mitwirkungspflichten (Art. 49 Abs. 3 nDSG) verletzt, kann auf Antrag mit einer Busse bis zu CHF 250’000 bestraft werden. Auch eine Verletzung von Sorgfaltspflichten wird auf Antrag mit einer Busse bis zu CHF 250’000 bestraft (Art. 61 nDSG).

Folgende Sorgfaltspflichten werden darunter gefasst:

  1. Missachtung der Regeln für die Datenbekanntgabe ins Ausland (Art. 16 f. nDSG)
  2. Missachtung der Regeln für den Einbezug von Auftragsbearbeitern (Art. 9 Abs. 1 und 2 nDSG)
  3. Missachtung der Mindestanforderungen an die Datensicherheit (Art. 8 Abs. 3 nDSG)

Wer eine berufliche Schweigepflicht verletzt (Art. 62 nDSG) oder eine Verfügung missachtet (Art. 63 nDSG), kann ebenfalls mit bis zu CHF 250’000 Busse bestraft werden.

Die Verfolgung und die Beurteilung strafbarer Handlungen obliegen den Kantonen. Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) kann allerdings auch Strafanzeige erstatten. Im Verfahren hat er die Rechte eines Privatklägers (Art. 65 nDSG). Darüber hinaus kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen (vgl. Art. 49 ff. nDSG). Möglich sind schliesslich weiterhin auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz. Obschon das Unternehmen die verschiedenen Pflichten einhalten muss, werden Verletzungen der Strafbestimmungen innerhalb des Unternehmens den Leitungspersonen zugerechnet. Es wurde aber nicht gänzlich ausgeschlossen, dass es auch Fälle geben kann, in welchen die Sanktion Mitarbeitern ohne Leitungsfunktion auferlegt werden könnte.

2. Meldung von Verletzungen des Datenschutzes

Datenverantwortliche müssen dem EDÖB “so rasch als möglich” melden, wenn eine Verletzung der Datensicherheit auftaucht, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Gemäss Art. 5 lit. h nDSG liegt eine solche Verletzung vor, wenn sie dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden. Eine solche Pflicht besteht ebenfalls im DSGVO. Dort hat eine Meldung bereits bei einem Risiko für die betroffenen Personen zu erfolgen, und zwar innert 72 Stunden. Bei der Auslegung von «so rasch als möglich», kann dieses Zeitfenster sicherlich als gewisser Richtwert herangezogen werden.

Im vergleich zum DSGVO sieht das nDSG eine mildere Regel vor, da es eine Meldung nur bei einem hohen Risiko vorsieht. Für Unternehmen wird diese Regel aber dennoch eine gewisse Umstellung bedeuten. Falls erforderlich, müssen die Verantwortlichen die betroffenen Personen zudem informieren (Art. 24 Abs. 4 nDSG). Auch den eigentlichen Auftragsbearbeiter trifft eine Meldepflicht (Art. 24 Abs. 3 nDSG).

3. Erweiterung Informationspflichten

Im neuen Datenschutzgesetz werden die Informationspflichten ausgebaut. Im alten Datenschutzgesetz bestand zwar bereits eine Informationspflicht. Diese galt aber lediglich bei der Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen. Beim neuen Datenschutzgesetz muss der Verantwortliche bei jeder Beschaffung von Personendaten informieren (Art. 19 nDSG), sofern keine der Ausnahmen nach Art. 20 nDSG vorliegen. Folgende Mindestanforderungen müssen den betroffenen Personen bei der Beschaffung von Personendaten mitgeteilt werden:

  • Identität und Kontaktdaten des Verantwortlichen
  • Bearbeitungszweck
  • allfällige Empfänger oder Kategorien von Empfängern, denen Personendaten bekannt gegeben werden
  • bei Bekanntgabe ins Ausland: der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten

Mit anderen Worten müssen neu alle Unternehmen eine Datenschutzerklärung erstellen, wobei die obigen Mindestangaben enthalten sein sollten. Grundsätzlich sind die Mindestangaben des neuen DSG weniger umfassend als die der DSGVO. Bei der Informationspflicht bezüglich Datenbekanntgabe ins Ausland geht es dagegen weiter als das DSGVO.

4. Privacy by Design und Privacy by Default

Wer für Daten und Datenverarbeitung verantwortlich ist muss neu strengere Sorgfaltspflichten einhalten, die genauer definiert sind. Schon im Stadium der Projektplanung muss die Datenbearbeitung technisch und organisatorisch so ausgestaltet werden, dass die Datenschutzvorschriften eingehalten werden (Art. 7 Abs. 1 nDSG). Dieses sog. „Privacy by Design-Prinzip“ ist bereits Teil der DSGVO und findet nun Eingang in das Schweizer Datenschutzgesetz.

Zusätzlich sind die Verantwortlichen gehalten, mit geeigneten Voreinstellungen sicherzustellen, dass standardmässig nur für den jeweiligen Verwendungszweck erforderliche Personendaten verarbeitet werden und dass die Bearbeitung auf das nötige Mindestmass beschränkt ist („Privacy by Default“; Art. 7 Abs. 3 nDSG).

5. Auftragsbearbeiter

Ein Auftragsbearbeitungsverhältnis (Outsourcing, z.B. in die Cloud) kann durch Vertrag oder Gesetz begründet werden. Der Auftragsbearbeiter muss die Daten dabei gleich bearbeiten wie es der Verantwortliche selbst tun dürfte. Ebenso muss sich der Verantwortliche vergewissern, dass der Auftragsbearbeiter in der Lage ist die Datensicherheit zu gewähren.

In dieser Hinsicht ändert sich an der bestehenden Rechtslage nichts. Neu ist aber gesetzlich festgehalten, dass der Auftragsbearbeiter nur mit vorgängiger Genehmigung des Verantwortlichen einen Dritten beiziehen darf (Unter-Auftragsbearbeiter; vgl. Art. 9 Abs. 3 nDSG). Dies entspricht der Regelung der DSGVO (Art. 28 Abs. 2 DSGVO).

6. Datenschutz-Folgenabschätzung

Datenverantwortliche oder Datenverarbeiter müssen vorgängig eine Datenschutz-Folgenabschätzung vornehmen, wenn eine vorgesehene Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann (Art. 22 nDSG). Was als ein hohes Risiko eingestuft einzustufen ist, wird die Zukunft zeigen. Höchstwahrscheinlich wird der EDÖB das in einer Verordnung erläutern. Private, welche die Voraussetzungen von Art. 22 Abs. 4 oder 5 nDSG erfüllen, müssen diese Pflicht nicht erfüllen. Folgende Punkte müssen beachtet werden:

  1. Die Datenschutz-Folgenabschätzung hat bereits in der Planungsphase stattzufinden. Dabei müssen sowohl Risiken als auch geeignete Massnahmen umschrieben werden.
  2. Ergibt die Folgenabschätzung, dass trotz der geplanten Massnahmen ein zu grosses Risiko verbleibt, muss vorgängig eine Stellungnahme des EDÖB eingeholt werden (Art. 23 nDSG).

7. Verzeichnis der Bearbeitungstätigkeiten

Neu müssen Verantwortliche und Auftragsbearbeiter je ein Verzeichnis ihrer Datenbearbeitungstätigkeiten führen (Art. 12 nDSG). Eine ähnliche Pflicht besteht bereits in der DSGVO (Art. 30 DSGVO). Der Bundesrat sieht jedoch gemäss Art. 12 Abs. 5 nDSG Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitungen ein geringes Risiko von Persönlichkeitsverletzungen mit sich bringen. Aus Vorsichtsgesichtspunkten empfiehlt es sich im Zweifel ein Verzeichnis zu erstellen. Die Angaben müssen dabei aktuell und genau sein.

Der Mindestinhalt des Verzeichnisses ist sowohl für die Verantwortlichen als auch die Auftragsbearbeiter vorgegeben (vgl. Art. 12 Abs. 2 und 3 nDSG). Dafür wurde die bisherige Pflicht zur Registrierung der Datensammlungen abgeschafft. Mit dieser Dokumentation sollen Datenbearbeitungen transparenter werden. Diese Transparenz liegt meistens auch im Interesse des Datenbearbeiters selber.

Was bedeuten diese Neuerungen konkret für ein Unternehmen in der Schweiz?

  1. Das Unternehmen intern so organisieren, dass klar ist wer Zugriff auf welche Daten hat und den Zugriff auf das Nötigste zu beschränken.
  2. Einen schnellen und effektiven Prozessablauf für die Meldung von Datenschutzverletzungen festlegen.
  3. Bestehende Datenschutzerklärungen sollten geprüft und angepasst werden. Falls noch keine Datenschutzerklärung vorliegt, sollte so rasch als möglich eine aufgesetzt werden.
  4. Bereits bei der Entwicklung von neuen Technologien und Diensten sollte der Datenschutz miteinbezogen werden (Privacy by Design & Privacy by Default). Die Datenbearbeitung sollte wenn möglich auf ein Mindestmass reduziert werden.
  5. Die Verträge mit Auftragsbearbeitern überprüfen, ob diese der kommenden Rechtslage entsprechen und allenfalls anpassen. Fall nötig; Einwilligungen für eine Unter-Auftragsbearbeitung erteilen.
  6. Datenschutz-Folgenabschätzung erarbeiten und umsetzen.
  7. Verzeichnis der Bearbeitungstätigkeiten erstellen.
IntraHub ist Ihr zuverlässiger Partner im Bereich Cloud-Computing und Kollaborationssoftware. Wir bei IntraHub schreiben Datenschutz gross und halten dementsprechend bereits jetzt die Anforderungen der DSGVO bzw. die Anforderungen des kommenden neuen Schweizer Datenschutzgesetzes ein. Falls Sie neugierig geworden sind und noch mehr über IntraHub erfahren oder IntraHub unverbindlich testen möchten, können Sie uns jederzeit kontaktieren.

Quellen:

Neues Bundesgesetz über den Datenschutz (DSG)

Das neue DSG aus Sicht des EDÖB

Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020

Neues DSG: Das müssen Sie wissen

Das ist neu am revidierten Schweizer Datenschutzgesetz

Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick

Was bringt die Revision des Schweizer DSG mit sich, und wie hängt dies mit der DSGVO und der ePrivacy-Verordnung zusammen?

like

Ich heisse Clemens Bürli und werde Ihnen in den folgenden Beiträgen IntraHub vorstellen. Ausserdem werden in diesem Zusammenhang ausgewählte technische und rechtliche Themen beleuchtet. Ich habe einen Master of Law an der Universität Luzern abgeschlossen. Zusätzlich absolviere ich zurzeit einen Master of Science in Business Administration an der Hochschule Luzern. Diese Kombination erlaubt es mir IntraHub sowohl von der rechtlichen wie auch von der geschäftlichen Seite zu beraten.

Ähnliche Beiträge
Market Technology Wissen
Know-how Wissen
Über uns Wissen
Einen Kommentar schreiben