Ab dem 1. September 2023 tritt das überarbeitete Datenschutzgesetz der Schweiz in Kraft und regelt das Thema Datenschutz neu. Es wurde an die aktuellen technologischen und internationalen Entwicklungen angepasst. Unternehmen, die bereits auf die DSGVO vorbereitet sind, werden weniger Veränderungen feststellen. Jedoch werden sich andere Unternehmen, vor allem kleinere und mittlere Betriebe, intensiver mit den gesetzlichen Vorschriften auseinandersetzen müssen. Um das Ganze erfolgreich umsetzen zu können, wird es in 8 Phasen aufgeteilt:
Was ändert sich?
Im Zuge des neuen Datenschutzgesetzes ergeben sich verschiedene Änderungen. Es wird eine verstärkte Formalisierung eingeführt, wie beispielsweise die Erstellung eines Bearbeitungsverzeichnisses, die Regelung von Datentransfers ins Ausland und die Auftragsdatenverarbeitung. Gleichzeitig werden neue Verpflichtungen für Unternehmen eingeführt und die Rechte der Betroffenen ausgebaut. Dazu gehört eine umfassendere Informationspflicht, das Recht auf Datenportabilität sowie die Durchführung von Datenschutz-Folgeabschätzungen unter bestimmten Voraussetzungen. Das Gesetz beinhaltet zudem eine erweiterte Liste sanktionierter Verhaltensweisen, wobei die Obergrenze für Strafsanktionen bei CHF 250.000 liegt. Eine weitere Besonderheit ist, dass nur noch die Daten von natürlichen Personen betroffen sind. Juristische Personen stehen nicht mehr unter dem Schutz des DSG.
Phase 1: Verzeichnis der Bearbeitungstätigkeiten: Pflicht – mit Ausnahmen
Nach Art. 12 DSG (neue Fassung) sind alle Unternehmen verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Der Mindestinhalt ist dabei vom Gesetz vorgegeben. Der Gesetzgeber schafft jedoch eine Ausnahme für Unternehmen, wenn diese weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und die Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringen. Da diese Freistellung sehr spezifisch ist und das Verzeichnis gleichzeitig der Übersichtlichkeit dient, ist zu empfehlen immer ein solches Verzeichnis zu führen.
Phase 2: Anpassung der Datenschutzerklärung: Nach neuem Recht führt kein Weg vorbei
Die erweiterte Informationspflicht gemäß dem überarbeiteten Datenschutzgesetz (Art. 19 DSG (neue Fassung)) zieht weitere Konsequenzen nach sich. Ähnlich wie bei einer Lebensmitteldeklaration, die alle erforderlichen Informationen enthalten muss, gilt dies nun auch für die Datenschutzerklärung. Betroffene Personen, wie beispielsweise Website-Besucher, haben nun das Recht, umfassend zu erfahren, zu welchen Zwecken ihre Daten verarbeitet werden und an welche Drittparteien die Datensätze weitergegeben werden. Mit dem Inkrafttreten des revDSG besteht keine Möglichkeit mehr, an einer aktualisierten und vollständigen Datenschutzerklärung vorbeizukommen. Eine umfassende Datenschutzerklärung ist so wichtig wie eine Visitenkarte und gehört auf die Website jedes Unternehmens. Auch in weiteren Situationen ist es notwendig eine Datenschutzerklärung vorzuweisen – immer wenn die Daten erstmalig bearbeitet werden, auch wenn die Daten nicht bei der betroffenen Person erhoben wurden.
Phase 3: Verträge mit Dritten und Auftragsdatenbearbeitern
Nur wenige Unternehmen können auf externe IT-Provider verzichten. Sie nutzen die Cloud zur Speicherung ihrer Daten, verwenden einen externen E-Mail-Automatisierungsservice für den Versand von Newslettern und erstellen Lohnabrechnungen mit Hilfe einer Buchhaltungssoftware. In solchen Fällen liegt in der Regel eine Auftragsverarbeitung gemäß Art. 9 DSG (neue Fassung) vor. Es ist erforderlich, neue Verträge entsprechend abzuschließen und bestehende Verträge gemäß den neuen Richtlinien zu überprüfen. Obwohl die Verarbeitung an einen Dritten ausgelagert wird, bleibt der Auftraggeber in der Verantwortung.
Phase 4: Technische und organisatorische Maßnahmen (TOM)
In diesem Kapitel beschäftigen wir uns mit Zugangskontrolle, Benutzerkontrolle, Transportkontrolle und Speicherkontrolle. Gemäß den neuen Datenschutzbestimmungen sind sowohl der Verantwortliche als auch der Auftragsdatenverarbeiter dazu verpflichtet, angemessene technische und organisatorische Maßnahmen (sogenannte TOMs) zu ergreifen, um die Datensicherheit entsprechend dem Risiko zu gewährleisten. Diese Maßnahmen sollen Sicherheitsverletzungen verhindern (gemäß Art. 8 DSG (neue Fassung)).
Phase 5: Vorkehrungen bei Auslandsdatentransfers
Daten kennen keine Grenzen. Wenn Daten ins Ausland übertragen werden, schreibt die überarbeitete Datenschutzgrundverordnung (DSG (neue Fassung)) besondere Pflichten vor, um sicherzustellen, dass die Persönlichkeitsrechte auch in ausländischen Rechtsordnungen angemessen geschützt werden. Der Transfer von Daten ins Ausland betrifft nicht nur die Weitergabe, sondern auch den Fernzugriff von einem Computer auf einen anderen (Remote-Zugriff).
Der Datentransfer zwischen Ländern mit einem angemessenen Schutzniveau (gemäß Liste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)) ist unproblematisch. Wenn keine Angemessenheit gegeben ist, beispielsweise im Fall der USA, darf der Transfer nur stattfinden, wenn andere Maßnahmen Sicherheit gewährleisten. Beispiele dafür sind ein völkerrechtlicher Vertrag, standardisierte Datenschutzklauseln (vom EDÖB im Voraus genehmigt) oder unternehmensinterne Datenschutzrichtlinien (anerkannt und verbindlich).
Phase 6: Betroffene und ihre Rechte
Neben der erweiterten Informationspflicht gemäß Art. 19 der überarbeiteten Datenschutz-Gesetzes (DSG (neue Fassung)) wird auch das Auskunftsrecht betroffener Personen weiterentwickelt. Das revDSG enthält eine umfangreichere Liste von Informationen, die der Verantwortliche bereitstellen muss. Zum Beispiel hat eine Kundin das Recht zu erfahren, wie lange ihre personenbezogenen Daten von einem Unternehmen aufbewahrt werden und welche Daten im Umlauf sind (gemäß Art. 25 DSG (neue Fassung)).
Phase 7: Datenschutz Folgenabschätzung (DSFA)
Einige Vorhaben oder Projekte bergen aus Datenschutzsicht ein höheres Risiko als andere. Bei solchen risikoreicheren Vorhaben ist eine Datenschutz-Folgenabschätzung nach Art. 22 DSG (neue Fassung) erforderlich. Dabei werden das konkrete Bearbeitungsvorhaben und die ergriffenen oder geplanten Maßnahmen festgehalten, um den Schutz der betroffenen Personen zu gewährleisten. Sollten dennoch hohe Risiken mit negativen Auswirkungen auftreten, erfordert dies weitere Maßnahmen und Handlungsbedarf.
Phase 8: Versand von Newslettern
Beim Versand von Newslettern ergeben sich zahlreiche Fragen. Ist es erforderlich, im Voraus eine Einwilligung von den Empfängerinnen einzuholen? Welche Auswirkungen hat die Verwendung einer Checkbox für die Einwilligung? Was ist das Double-Opt-In-Verfahren? Welche Aspekte sind bei der Generierung von Kontaktdaten (Leads) zu beachten?
Fazit
Durch das überarbeite Datenschutzrecht in der Schweiz ändern sich einige Punkte zum Thema Datenschutz und die Unternehmen müssen handeln, damit Verstöße verhindert werden können. Gerne unterstützen wir bei Rewion Sie dabei und helfen Ihnen, sich im Datenschutz besser aufzustellen. Weitere Informationen erhalten Sie auf unserer Seite zum Datenschutz: Datenschutz Beratung
Disclaimer: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge übernehmen wir keine Gewähr. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.
