Neues Datenschutzgesetz Schweiz – 7 wichtige Neuerungen
Bereit für das neue Schweizer Datenschutzgesetz? – 7 wichtige Neuerungen
Das neue Schweizer Datenschutzgesetz (nDSG) wurde am 25. September 2020 vom Parlament verabschiedet und tritt nun am 1. September 2023 definitiv in Kraft. Hauptziel der Totalrevision ist, dass man das Schweizer Datenschutzrecht auf das Niveau der EU anhebt (weitere Infos hier). Das neue Datenschutzgesetz führt denn auch zu zahlreichen Angleichungen an die EU-Datenschutzgrundverordnung (DSGVO). Es behält aber weiterhin eine eigene Grundkonzeption und weicht auch in diversen anderen Punkten von dieser ab. Beispiele wichtiger Neuerungen der DSG-Revision sind die wesentlich strengeren Sanktionen, erweiterte Informationspflichten und die Pflicht zur Erstellung eines Bearbeitungsverzeichnisses.
Gesetzesänderungen bringen für den Rechtsanwender häufig eine gewisse Unsicherheit mit sich. Für viele stellt sich die Frage, welche datenschutzrechtlichen Pflichten bald neu eingehalten werden müssen. Da das neue Datenschutzgesetz sehr breit gefasst ist und fast jedes Unternehmen in der Schweiz tangiert, haben wir in folgendem Beitrag die wichtigsten Neuerungen zusammengefasst und erläutert. Am Ende des Beitrags finden Sie ebenfalls eine Checkliste mit den wichtigsten Punkten, die ein Unternehmen implementieren sollte.
1. Verschärfte Sanktionen und Ausbau der Befugnisse des EDÖB
Anders als das bestehende Datenschutzgesetz sieht der Textentwurf des neuen Gesetzes klare Sanktionen vor. Die Strafbestimmungen sind in Art. 60 ff. nDSG festgehalten. Strafbar sind vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit.
Im Vergleich zum bestehenden Recht wurden die Strafbestimmungen deutlich ausgebaut und verschärft. Wer die Informationspflichten (Art. 19, Art. 21 nDSG), die Auskunftspflichten (Art. 25–27 nDSG) oder die Mitwirkungspflichten (Art. 49 Abs. 3 nDSG) verletzt, kann auf Antrag mit einer Busse bis zu CHF 250’000 bestraft werden. Auch eine Verletzung von Sorgfaltspflichten wird auf Antrag mit einer Busse bis zu CHF 250’000 bestraft (Art. 61 nDSG).
Folgende Sorgfaltspflichten werden darunter gefasst:
- Missachtung der Regeln für die Datenbekanntgabe ins Ausland (Art. 16 f. nDSG)
- Missachtung der Regeln für den Einbezug von Auftragsbearbeitern (Art. 9 Abs. 1 und 2 nDSG)
- Missachtung der Mindestanforderungen an die Datensicherheit (Art. 8 Abs. 3 nDSG)
Wer eine berufliche Schweigepflicht verletzt (Art. 62 nDSG) oder eine Verfügung missachtet (Art. 63 nDSG), kann ebenfalls mit bis zu CHF 250’000 Busse bestraft werden.
Die Verfolgung und die Beurteilung strafbarer Handlungen obliegen den Kantonen. Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) kann allerdings auch Strafanzeige erstatten. Im Verfahren hat er die Rechte eines Privatklägers (Art. 65 nDSG). Darüber hinaus kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen (vgl. Art. 49 ff. nDSG). Möglich sind schliesslich weiterhin auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz. Obschon das Unternehmen die verschiedenen Pflichten einhalten muss, werden Verletzungen der Strafbestimmungen innerhalb des Unternehmens den Leitungspersonen zugerechnet. Es wurde aber nicht gänzlich ausgeschlossen, dass es auch Fälle geben kann, in welchen die Sanktion Mitarbeitern ohne Leitungsfunktion auferlegt werden könnte.
2. Meldung von Verletzungen des Datenschutzes
Datenverantwortliche müssen dem EDÖB “so rasch als möglich” melden, wenn eine Verletzung der Datensicherheit auftaucht, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Gemäss Art. 5 lit. h nDSG liegt eine solche Verletzung vor, wenn sie dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden. Eine solche Pflicht besteht ebenfalls im DSGVO. Dort hat eine Meldung bereits bei einem Risiko für die betroffenen Personen zu erfolgen, und zwar innert 72 Stunden. Bei der Auslegung von «so rasch als möglich», kann dieses Zeitfenster sicherlich als gewisser Richtwert herangezogen werden.
Im vergleich zum DSGVO sieht das nDSG eine mildere Regel vor, da es eine Meldung nur bei einem hohen Risiko vorsieht. Für Unternehmen wird diese Regel aber dennoch eine gewisse Umstellung bedeuten. Falls erforderlich, müssen die Verantwortlichen die betroffenen Personen zudem informieren (Art. 24 Abs. 4 nDSG). Auch den eigentlichen Auftragsbearbeiter trifft eine Meldepflicht (Art. 24 Abs. 3 nDSG).
3. Erweiterung Informationspflichten
Im neuen Datenschutzgesetz werden die Informationspflichten ausgebaut. Im alten Datenschutzgesetz bestand zwar bereits eine Informationspflicht. Diese galt aber lediglich bei der Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen. Beim neuen Datenschutzgesetz muss der Verantwortliche bei jeder Beschaffung von Personendaten informieren (Art. 19 nDSG), sofern keine der Ausnahmen nach Art. 20 nDSG vorliegen. Folgende Mindestanforderungen müssen den betroffenen Personen bei der Beschaffung von Personendaten mitgeteilt werden:
- Identität und Kontaktdaten des Verantwortlichen
- Bearbeitungszweck
- allfällige Empfänger oder Kategorien von Empfängern, denen Personendaten bekannt gegeben werden
- bei Bekanntgabe ins Ausland: der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten
Mit anderen Worten müssen neu alle Unternehmen eine Datenschutzerklärung erstellen, wobei die obigen Mindestangaben enthalten sein sollten. Grundsätzlich sind die Mindestangaben des neuen DSG weniger umfassend als die der DSGVO. Bei der Informationspflicht bezüglich Datenbekanntgabe ins Ausland geht es dagegen weiter als das DSGVO.
4. Privacy by Design und Privacy by Default
Wer für Daten und Datenverarbeitung verantwortlich ist muss neu strengere Sorgfaltspflichten einhalten, die genauer definiert sind. Schon im Stadium der Projektplanung muss die Datenbearbeitung technisch und organisatorisch so ausgestaltet werden, dass die Datenschutzvorschriften eingehalten werden (Art. 7 Abs. 1 nDSG). Dieses sog. „Privacy by Design-Prinzip“ ist bereits Teil der DSGVO und findet nun Eingang in das Schweizer Datenschutzgesetz.
Zusätzlich sind die Verantwortlichen gehalten, mit geeigneten Voreinstellungen sicherzustellen, dass standardmässig nur für den jeweiligen Verwendungszweck erforderliche Personendaten verarbeitet werden und dass die Bearbeitung auf das nötige Mindestmass beschränkt ist („Privacy by Default“; Art. 7 Abs. 3 nDSG).
5. Auftragsbearbeiter
Ein Auftragsbearbeitungsverhältnis (Outsourcing, z.B. in die Cloud) kann durch Vertrag oder Gesetz begründet werden. Der Auftragsbearbeiter muss die Daten dabei gleich bearbeiten wie es der Verantwortliche selbst tun dürfte. Ebenso muss sich der Verantwortliche vergewissern, dass der Auftragsbearbeiter in der Lage ist die Datensicherheit zu gewähren.
In dieser Hinsicht ändert sich an der bestehenden Rechtslage nichts. Neu ist aber gesetzlich festgehalten, dass der Auftragsbearbeiter nur mit vorgängiger Genehmigung des Verantwortlichen einen Dritten beiziehen darf (Unter-Auftragsbearbeiter; vgl. Art. 9 Abs. 3 nDSG). Dies entspricht der Regelung der DSGVO (Art. 28 Abs. 2 DSGVO).
6. Datenschutz-Folgenabschätzung
Datenverantwortliche oder Datenverarbeiter müssen vorgängig eine Datenschutz-Folgenabschätzung vornehmen, wenn eine vorgesehene Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann (Art. 22 nDSG). Was als ein hohes Risiko eingestuft einzustufen ist, wird die Zukunft zeigen. Höchstwahrscheinlich wird der EDÖB das in einer Verordnung erläutern. Private, welche die Voraussetzungen von Art. 22 Abs. 4 oder 5 nDSG erfüllen, müssen diese Pflicht nicht erfüllen. Folgende Punkte müssen beachtet werden:
- Die Datenschutz-Folgenabschätzung hat bereits in der Planungsphase stattzufinden. Dabei müssen sowohl Risiken als auch geeignete Massnahmen umschrieben werden.
- Ergibt die Folgenabschätzung, dass trotz der geplanten Massnahmen ein zu grosses Risiko verbleibt, muss vorgängig eine Stellungnahme des EDÖB eingeholt werden (Art. 23 nDSG).
7. Verzeichnis der Bearbeitungstätigkeiten
Neu müssen Verantwortliche und Auftragsbearbeiter je ein Verzeichnis ihrer Datenbearbeitungstätigkeiten führen (Art. 12 nDSG). Eine ähnliche Pflicht besteht bereits in der DSGVO (Art. 30 DSGVO). Der Bundesrat sieht jedoch gemäss Art. 12 Abs. 5 nDSG Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitungen ein geringes Risiko von Persönlichkeitsverletzungen mit sich bringen. Aus Vorsichtsgesichtspunkten empfiehlt es sich im Zweifel ein Verzeichnis zu erstellen. Die Angaben müssen dabei aktuell und genau sein.
Der Mindestinhalt des Verzeichnisses ist sowohl für die Verantwortlichen als auch die Auftragsbearbeiter vorgegeben (vgl. Art. 12 Abs. 2 und 3 nDSG). Dafür wurde die bisherige Pflicht zur Registrierung der Datensammlungen abgeschafft. Mit dieser Dokumentation sollen Datenbearbeitungen transparenter werden. Diese Transparenz liegt meistens auch im Interesse des Datenbearbeiters selber.
Was bedeuten diese Neuerungen konkret für ein Unternehmen in der Schweiz?
- Das Unternehmen intern so organisieren, dass klar ist wer Zugriff auf welche Daten hat und den Zugriff auf das Nötigste zu beschränken.
- Einen schnellen und effektiven Prozessablauf für die Meldung von Datenschutzverletzungen festlegen.
- Bestehende Datenschutzerklärungen sollten geprüft und angepasst werden. Falls noch keine Datenschutzerklärung vorliegt, sollte so rasch als möglich eine aufgesetzt werden.
- Bereits bei der Entwicklung von neuen Technologien und Diensten sollte der Datenschutz miteinbezogen werden (Privacy by Design & Privacy by Default). Die Datenbearbeitung sollte wenn möglich auf ein Mindestmass reduziert werden.
- Die Verträge mit Auftragsbearbeitern überprüfen, ob diese der kommenden Rechtslage entsprechen und allenfalls anpassen. Fall nötig; Einwilligungen für eine Unter-Auftragsbearbeitung erteilen.
- Datenschutz-Folgenabschätzung erarbeiten und umsetzen.
- Verzeichnis der Bearbeitungstätigkeiten erstellen.
Quellen:
Neues Bundesgesetz über den Datenschutz (DSG)
Das neue DSG aus Sicht des EDÖB
Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020
Neues DSG: Das müssen Sie wissen
Das ist neu am revidierten Schweizer Datenschutzgesetz
Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick