bleib variabel* / News

Das neue Schweizer Datenschutz­gesetz (DSG)

Hinweis: Im Folgenden wird ein Überblick über das neue Schweizer Datenschutzgesetz (DSG) gegeben. Als Quelle sind die Ausführungen von Marcel Griesinger, Rechtsanwalt und Inhaber der auf Unternehmens-Datenschutzrecht spezialisierten «Rechtsanwaltskanzlei Griesinger», zu nennen. Weiterführende Dokumentationen sind via Link unten einsehbar. Hervorzuheben ist, dass die folgenden Beschreibungen nur als Information dienen und weder abschliessend noch rechtsgültig sind. Abschliessende Angaben zur Rechtsgrundlagen sind der offiziellen Webseite des Bundes zu entnehmen.

Anforderungen

Neue gesetzliche Anforderungen an die Datenschutz-Compliance
Marcel Griesinger

Einleitung

Was am 25. September 2020 verabschiedet wurde, tritt per 1. September 2023 nun in Kraft: Das neue Schweizer Datenschutzgesetz (nDSG). Das neue DSG ersetzt das bisherige Datenschutzgesetz, welches aus dem Jahr 1992, und damit aus dem sog. Vor-Internet-Zeitalter, stammt. Gründe für diese Totalrevision des Datenschutzgesetzes sind:

  1. Das schweizerische Recht an die fortschreitende technologische Entwicklung anzupassen.
  2. Zudem sollen die Betroffenenrechte deutlich gestärkt werden.
  3. Darüber hinaus möchte man das Schutzniveau in der Schweiz auf das Level des EU-Datenschutzrechts, namentlich der EU-Datenschutzgrundverordnung (DSGVO) anheben.

Zentrale Neuerungen

Ein zentraler Schwerpunkt des neuen Gesetzes liegt in der Stärkung der Betroffenenrechte. Des Weiteren sind die Neuerungen auf die erweiterten Informations- und Dokumentationspflichten und somit auf die verschärften Anforderungen im Bereich der Datensicherheit gerichtet. Zudem sind die Sanktionen im neuen Gesetz deutlich verschärft worden.

Übersicht der wesentlichen Neuerungen

  • Erfordernis zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten, Art. 12 nDSG.
  • Ausgeweitete Informationspflichten (insbes. Datenschutzerklärung), Art. 19 nDSG.
  • Erheblich gestärkte Rechte der Datensubjekte (bspw. Auskunftsrecht, vgl. dazu Art. 25 u. 26 nDSG).
  • Hohe Bussgelder (nDSG: 250’000 CHF), Art. 60 ff. nDSG.
  • Erhöhte Anforderungen an den Umgang mit besonders schützenswerten Daten, vgl. Art. 6 nDSG,
  • Meldung bei einem Data-Breach «so rasch als möglich», Art. 24 nDSG.
  • Ausdrückliche Anforderungen an die Sicherheit der Datenverarbeitung, Art. 8 nDSG.
  • Datenschutzfolgenabschätzung, Art. 22 nDSG.
  • Auftragsbearbeitung, Art. 9 nDSG.

Die wichtigsten Neuerungen werden in den folgenden Abschnitten noch detaillierter beschrieben (die Auflistung ist nicht abschliessend).

1) Erweiterte Betroffenenrechte

Um die Betroffenenrechte zu stärken, wurden insbesondere am Auskunftsrecht deutliche Anpassungen vorgenommen. Das Recht auf Löschung ist ausdrücklich im Gesetz aufgeführt. Zudem ist das Recht auf Datenherausgabe und -übertragung neu in das Gesetz aufgenommen worden.

a) Auskunftsrecht, Art. 25 nDSG

Gemäss Art. 25 nDSG kann jede Person vom Verantwortlichen Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Die Auskunft ist grundsätzlich kostenfrei und innerhalb von 30 Tagen zu erteilen. Der betroffenen Person sind diejenigen Informationen mitzuteilen, die erforderlich sind, damit eine transparente Datenbearbeitung sichergestellt ist. Der betroffenen Person ist das folgende Mindestmass an Informationen mitzuteilen:

  • die Identität und die Kontaktdaten des Verantwortlichen
  • die bearbeiteten Personendaten als solche
  • der Bearbeitungszweck
  • die Aufbewahrungsdauer
  • Angaben über die Herkunft der Personendaten, sofern sie nicht bei der betroffenen Person beschaffen wurden
  • gegebenenfalls der Empfänger, denen Personendaten bekannt gegeben werden

Die obere Auflistung hat keinen abschliessenden Charakter. Sofern weitere Informationen zwecks der Geltendmachung von Rechten nach dem nDSG erforderlich sind, können diese von der betroffenen Person beim Verantwortlichen eingefordert werden.

Das Auskunftsrecht ist eingeschränkt, wenn ein Berufsgeheimnis besteht oder wenn das Gesuch offensichtlich unbegründet ist.

Praxis-Tipp

Es wird ein vordefinierter Prozess für die Handhabung eingehender Auskunftsersuche im Unternehmen empfohlen. Dh. neben der Dokumentation, sollte ein Ablauf betreffend Identifikation des Gesuchstellers und ein klarer Prozess für die Beantwortung seiner Auskunftsanfrage vorbereitet sein.

b) Recht auf Datenherausgabe und -übertragung, Art. 28 nDSG

Diese Regelung ist komplett neu. Die Vorschrift regelt, dass jede Person vom Verantwortlichen die Herausgabe der Daten in einem gängigen elektronischen Format verlangen kann, wenn die Daten automatisiert bearbeitet werden. Weiter kann die betroffene Person vom Verantwortlichen verlangen, dass er ihre Personendaten einem anderen Verantwortlichen überträgt.

Praxis-Tipp

Es ist ein Prozess zur Identifikation des Gesuchstellers und zur technischen Umsetzung der Herausgabe oder Übertragung der bearbeiteten Personendaten in einem gängigen elektronischen Format zu schaffen. Besonderes Augenmerk ist auf die Einhaltung der Datensicherheit zu legen.

c) Recht auf Löschung, Art. 32 Abs. 2 lit. b

Zunächst ist stets zu prüfen, ob gesetzliche oder vertragliche Aufbewahrungspflichten für die betroffenen Daten bestehen. Bei einer Aufbewahrungspflicht ist das Löschungsbegehren bis zum Ablauf der entsprechenden Frist aufzuschieben und ansonsten sind die Daten sofort zu löschen.

Praxis-Tipp

Der Löschprozess ist zu standardisieren und es sollte eine entsprechende Dokumentation bzgl. des Löschvorgangs erfolgen, um einen Nachweis über die korrekte Löschung gegenüber dem Betroffenen aber auch den Behörden zu haben.

2) Neue und erweiterte Pflichten nach dem DSG

a) Informationsplichten / Umsetzung mittels Datenschutzerklärung

Der Verantwortliche für die Bearbeitung der Personendaten ist verpflichtet, die betroffene Person angemessen über die Beschaffung der Personendaten zu informieren. Der Verantwortliche muss der betroffenen Personen bei der Beschaffung diejenigen Informationen mitteilen, die erforderlich sind, dass eine transparent Datenbearbeitung gewährleistet ist. Es gelten unterschiedliche Mindestmitteilungen gegenüber der betroffenen Person:

  • Bekanntgabe von Identität und Kontaktdaten des Verantwortlichen
  • Bekanntgabe des Bearbeitungszwecks
  • Gegebenenfalls Empfänger mitteilen, denen Personendaten bekannt gegeben werden

Werden die betroffenen Personendaten nicht durch den Verantwortlichen selbst, sondern durch Dritte erhoben, resultieren daraus erweiterte Informationspflichten. Findet eine Bekanntgabe von Personendaten in das Ausland statt, hat der Verantwortliche der betroffenen Person den Staat oder das internationale Organ bekanntzugeben. Findet die Datenbeschaffung bei der betroffenen Person selbst statt, muss eine entsprechende Mitteilung in diesem Zeitpunkt erfolgen. Wird die Datenbeschaffung anderweitig vorgenommen, muss der Verantwortliche spätestens einen Monat nach Erhalt der Daten gegenüber dem Betroffen die Informationen mitteilen.

Praxis-Tipp

Die Umsetzung der Informationspflichten muss so erfolgen, dass die betroffene Person Kenntnis von der Art und Weise über die Beschaffung von Personendaten problemlos erlangen kann. Hierzu bietet sich zum Beispiel eine gut auffindbare Datenschutzerklärung auf der Webseite des Unternehmens. Wichtig ist hierbei die Vollständigkeit und inhaltliche Richtigkeit der Datenschutzerklärung entsprechend der gesetzlichen Vorgaben.

b) Verzeichnis über Bearbeitungstätigkeiten

Es ist ein Verzeichnis von Bearbeitungstätigkeiten zu führen. Der gesetzliche Mindestinhalt eines Bearbeitungsverzeichnisses sieht folgendermassen aus:

  • Identität des Verantwortlichen
  • Zweck der Datenbearbeitung
  • Beschreibung der Kategorien der betroffenen Personen (z.B. Überkategorie «Kunden» und Unterkategorie «aktive und inaktive Kunden»
  • Kategorien der Empfänger von Personendaten
  • Aufbewahrungsdauer
  • Beschreibung zur Gewährleistung der Datensicherheit
  • Bei Datentransfers von Personendaten in das Ausland, ist der jeweilige ausländische Staat und gegebenenfalls erforderlichen Garantien im Verzeichnis zu hinterlegen

Praxis-Tipp

Zuerst muss bestimmt werden, welche Rolle der Bearbeiter einnimmt (Verantwortlicher oder Auftragsbearbeiter). Weiterhin sind die gesetzlichen Mindestanforderungen zu benennen und der Bestand sowie die Richtigkeit des Bearbeitungsverzeichnisses müssen laufend aktuell gehalten werden.

c) Meldepflichten

Der Verantwortliche muss eine Verletzung der Datensicherheit so rasch als möglich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) melden, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Eine Verletzung der Datensicherheit liegt vor, wenn Personendaten verloren gehen, gelöscht, vernichtet oder verändert werden oder wenn Personendaten Unbefugten gegenüber offengelegt oder zugänglich gemacht werden. Bei der Meldung an die Aufsichtsbehörde hat der Verantwortliche die Art der Verletzung, deren Auswirkungen sowie ergriffenen Massnahmen zu benennen.

Praxis-Tipp

Es wird empfohlen, einen internen «Data-Breach» Prozess einzurichten. Es ist erforderlich in einem engen zeitlichen Rahmen Risikoeinstufungen vorzunehmen und ggf. Mitteilungen an Aufsichtsbehörden vorzunehmen (wenn ein sog. hohes Risiko vorliegt). Zudem ist eine Dokumentation des Vorgangs vorzunehmen und die Gegenmassnahmen darzustellen.

d) Auftragsbearbeitungsvertrag

Wird die Bearbeitung von Personendaten vom Verantwortlichen an einen Auftragsbearbeiter übertragen, ist ein Auftragsbearbeitungsvertrag abzuschliessen. Im Rahmen eines solchen Auftragsbearbeitungsvertrags hat der Verantwortliche sicherzustellen, dass die datenschutzrechtlichen Pflichten und Anforderungen an die Datensicherheit durch den Auftragsbearbeiter eingehalten werden.

Praxis-Tipp

Im Auftragsbearbeitungsvertrag hat der Verantwortliche Regelungen zu treffen, die dazu dienen Verstösse des Auftragsbearbeiters gegen datenschutzrechtliche Grundsätze und Vorschriften zu verhindern. Hierbei sind nebst Verhaltensregeln und Verpflichtungen auch Verantwortungssphären, Mitteilungspflichten zwischen den Vertragsparteien sowie Haftungs- und Zuständigkeitsregeln festzuhalten.

e) Datenschutz-Folgeabschätzung

Bei der Datenschutz-Folgeabschätzung handelt es sich um eine Risikoabschätzung zwischen einer geplanten Datenbearbeitung und den daraus resultierenden Folgen für die betroffene Person. Eine solche Risikoabwägung ist vorzunehmen, wenn die beabsichtigte Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt. Die Risikoabschätzung ist im Vorfeld eines geplanten Datenbearbeitungsvorgangs vom Verantwortlichen zu erstellen. Ein hohes Risiko wird insbesondere dann angenommen, wenn es zur umfangreichen Bearbeitung besonders schützenswerten Personendaten kommt oder wenn umfangreiche öffentliche Bereiche systematisch überwacht werden.

Praxis-Tipp

Bei allen untersuchten Bearbeitungsvorgängen sollte die Datenschutz-Folgeabschätzung auf den Umfang, die Art und Weise sowie die Eingriffsintensität des beabsichtigen Vorgangs für die betroffenen Personendaten abzielen.

3) Sanktionen und Bussen nach dem DSG

Die Strafbestimmungen und Bussgeldvorschriften wurden angepasst und deutlich verschärft. Es sind Sanktionen für die Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten ebenso wie die Verletzung von Sorgfaltspflichten und von Verletzungen der beruflichen Schweigepflicht vorgesehen. Bei Verstössen können Bussgelder bis maximal CHF 250’000.00 verhängt werden. Besonders ist, dass sich die Straf- und Bussgeldbestimmungen gegen natürliche Personen, üblicherweise die Leitungspersonen im betroffenen Unternehmen, richtet.

Quelle: Rechtsanwaltskanzlei Griesinger

Datum

Juli 2023