Das neue Schweizer Datenschutzgesetz
Quelle: Balthasar Legal

Das neue Schweizer Datenschutzgesetz

Der Bundesrat hat an seiner Sitzung vom 31. August 2022 entschieden, dass das totalrevidierte Datenschutzgesetz am 1. September 2023 in Kraft tritt. Eine Übergangsfrist wird es für Schweizer Unternehmen dabei nicht geben. Michèle Balthasar, Rechtsanwältin und CEO von Balthasar Legal, ordnet die neue Gesetzeslage in der Schweiz ein, zieht den Vergleich zur DSGVO und zeigt die nun notwendigen Schritte für Schweizer Unternehmen auf.

Artikel erschienen in Swiss IT Magazine 2022/11

     

Ziel der Revision des Schweizer Datenschutzgesetzes (DSG), das am 1. September 2023 in Kraft tritt, war es unter anderem, das Datenschutzrecht der Schweiz den gesetzlichen Anforderungen der Europäischen Union (EU), der Europäischen Datenschutz-­Grundverordnung (DSGVO), anzugleichen. Dazu hatte sich die Schweiz im Rahmen der entsprechenden unterzeichneten Datenschutzkonvention 108 des Europarats auch verpflichtet.


Viele Schweizer Unternehmen werden Massnahmen ergreifen müssen. Das betrifft vor allem solche, die Personendaten für ihre Geschäftsprozesse benötigen, was heute die Mehrzahl sein dürfte. Wer sich mit dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) bereits mit den Fragestellungen rund um das Thema Datenschutz befasst hat, hat dabei sicher die Nase vorn. Alles übertragen lässt sich jedoch nicht.

Flächendeckende Informationspflicht

Zukünftig werden die Informationen zur Bearbeitung der Personendaten flächendeckend bereitzustellen sein. Datenschutzerklärungen für Webseiten sind ein Beispiel dafür, aber auch Kunden und Dienstleister werden informiert werden müssen, wie ihre Personendaten konkret bearbeitet werden.

Mindestens die folgenden Informationen sind den Betroffenen bei der Beschaffung der Personendaten mitzuteilen:


- die Identität und die Kontaktdaten des Verantwortlichen;

- der Bearbeitungszweck;

- die bearbeiteten Daten (falls diese nicht bei der Person direkt beschafft werden);

- gegebenenfalls die Empfänger oder Kategorien von Empfängern, denen Personendaten bekannt gegeben werden; und

- die Länder, in welche die Daten übermittelt werden und auf welcher Rechtsgrundlage (etwaige vertragliche Garantien oder in Anspruch genommene Ausnahmen) dies geschieht.

Darüber hinaus informiert der Verantwortliche die betroffene Person über eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt (automatisierte Einzelentscheidung). Er gibt der betroffenen Person auf Antrag die Möglichkeit, ihren Standpunkt darzulegen. Die betroffene Person kann verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird. Eine DSGVO-konforme Datenschutzerklärung kann als Grundlage für die Erfüllung der Informationspflicht unter dem revidierten DSG dienen. Da das DSG allerdings auch die Angabe der Länder verlangt, in die die Daten übermittelt werden, muss sie aber zumindest dahingehend angepasst werden.

Ausweitung der Rechte Betroffener

Die bisherigen Rechte der betroffenen Personen, nämlich die Auskunft, Löschung oder Sperrung (Einschränkung) von Personendaten zu verlangen, bleiben erhalten und werden teilweise angepasst. Es wird unter anderem neu in Anlehnung an die DSGVO ein Recht auf Datenportabilität eingeführt, wenn Daten mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages automatisiert bearbeitet werden. Jede Person kann demnach von ihrem Dienstleister verlangen, sie betreffende und ihr vorgängig bekannt gegebene Personendaten in einem gängigen elektronischen Format herauszugeben, die es ermöglichen, dass die Personendaten mit verhältnismässigem Aufwand übertragen und von der betroffenen Person oder einem anderen Verantwortlichen weiterverwendet werden. Die bereits bestehenden internen Prozesse müssen um diese Vorgaben erweitert werden. Eine Anlehnung an die Prozesse der betroffenen Personen nach DSGVO ist dabei möglich.

Führen eines Verzeichnisses der Bearbeitungstätigkeiten

Neu müssen sowohl der Verantwortliche als auch der Auftragsbearbeiter ein Verzeichnis der Bearbeitungstätigkeiten führen. Im Gegensatz zur DSGVO sind Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko mit sich bringt, von dieser Pflicht befreit. In der Praxis dürfte es sich für viele Unternehmen lohnen, unabhängig von einer entsprechenden Pflicht ein solches Verzeichnis zu führen, da diese zur Transparenz der Datenbearbeitungen in einem Unternehmen führt und damit deren Rechtmässigkeit einfacher kontrolliert werden kann. Das Verzeichnis des Verantwortlichen muss mindestens die folgenden Angaben enthalten:

- Identität des Verantwortlichen,


- Bearbeitungszweck,

- Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten,

- Kategorien der Empfänger,

- Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer,

- Beschreibung der Datensicherheitsmassnahmen und

- bei Auslandsbekanntgabe die Angabe des Staates sowie der Garantie, welche einen geeigneten Datenschutz gewährleistet.

Demgegenüber muss das Verzeichnis des Auftragsbearbeiters lediglich die folgenden Angaben enthalten:

- Identität des Auftragsbearbeiters und des Verantwortlichen,

- Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie

- Beschreibung der Datensicherheitsmassnahmen und

- bei Auslandsbekanntgabe die Angabe des Staates sowie der Garantie, welche einen geeigneten Datenschutz gewährleistet.

Das nach DSGVO erarbeitete Verzeichnis kann auch für die Schweiz verwendet werden, gegebenenfalls mit einzelnen Anpassungen wie etwa der Angabe des Ziellandes.

Abschluss von Auftragsbearbeitungsverträgen

Das Verhältnis zwischen Verantwortlichem und Auftragsbearbeiter ist bereits nach geltendem Recht vertraglich zu regeln. Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte und keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet. Der Verantwortliche muss sich darüber hinaus insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.


Wie in der EU gilt auch mit dem Schweizer DSG neu, dass der Auftragsbearbeiter die Bearbeitung erst mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen darf (sog. «Vetorecht»).

Bekanntgabe von Personendaten ins Ausland

Personendaten dürfen ins Ausland bekannt gegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleisten. Neu wird der Bundesrat die Liste der Staaten führen, welche als sicher einzustufen sind. Liegt kein Entscheid des Bundesrates vor, so dürfen Personendaten ins Ausland bekannt gegeben werden, wenn ein geeigneter Datenschutz gewährleistet ist.


Unter der DSGVO besteht ein solcher geeigneter Datenschutz zumeist aus den neuen EU-Standardvertragsklauseln (EU-SCC). Der EDÖB hat diese ebenfalls als angemessene Schutzmassnahmen akzeptiert, vorbehältlich gewisser Anpassungen (CH-SCC).

Meldung von Verletzungen der Datensicherheit

Der Verantwortliche muss dem EDÖB (und gegebenenfalls den betroffenen Personen) Verletzungen der Datensicherheit, welche voraussichtlich ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen darstellen, so rasch als möglich melden. Dies im Gegensatz zur DSGVO, wo eine solche Meldung unverzüglich und möglichst innert 72 Stunden zu erfolgen hat. In der Schweiz muss der Verantwortliche grundsätzlich schnell handeln, aber die Bestimmung gibt einen gewissen Ermessensspielraum. Je erheblicher die Gefährdung, je grösser die Anzahl der betroffenen Personen, umso schneller muss der Verantwortliche handeln. Auch ist die Risikoschwelle, die eine Meldepflicht an die Datenschutzbehörde und/oder die betroffenen Personen auslöst, im revidierten DSG etwas anders definiert als in der DSGVO.


Auftragsbearbeiter sind nach dem neuen DSG zukünftig ihrerseits gehalten, dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit zu melden. Wo dies noch nicht der Fall ist, dürften auch Verträge um eine entsprechende Pflicht ergänzt werden.

Datenschutz-Folgenabschätzung

Neu hat ein Verantwortlicher vorgängig eine Datenschutz-­Folgenabschätzung zu erstellen, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Bei etwas heikleren Vorhaben besteht also eine Pflicht, eine formalisierte Risikoanalyse durchzuführen und zu dokumentieren. Wann ein hohes Risiko vorliegt, ergibt sich aus verschiedenen Umständen, so insbesondere bei der Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Beispiele eines hohen Risikos können die umfangreiche Bearbeitung besonders schützenswerter Personendaten oder die systematische umfangreiche Überwachung öffentlicher Bereiche sein.


Die Datenschutz-Folgenabschätzung selbst ist eine Beschreibung der geplanten Bearbeitung, einer Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person und die in dem Zusammenhang getroffenen Massnahmen zum Schutz der Persönlichkeit und der Grundrechte, im Wesentlichen also eine Risikoanalyse.

Mindestanforderungen an die Datensicherheit

durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit. Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden. Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen. Definierte Schutzziele sind dabei die Vertraulichkeit, die Verfügbarkeit, die Integrität und die Nachvollziehbarkeit.


Im Unterschied zur DSGVO kennt das revidierte DSG keine allgemeine «Rechenschaftspflicht». Im Zusammenhang mit der Datensicherheit gelten für die Bearbeitung von besonders schützenswerten Personendaten im grossen Umfang und für die Durchführung eines Profilings mit hohem Risiko allerdings erhöhte Pflichten: Für das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten gilt eine Protokollierungspflicht und es muss ein Bearbeitungsreglement mit Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit erstellt werden.

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Nach dem Prinzip «Datenschutz durch Technik» (Privacy by Design) ist der Verantwortliche verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, das heisst, insbesondere die Grundsätze der Datenbearbeitung zu berücksichtigen. Die technischen und organisatorischen Massnahmen müssen dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie den Risiken, welche die Bearbeitung für die Persönlichkeit und Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.


Nach dem Prinzip der «datenschutzfreundlichen Voreinstellungen» (Privacy by Default) ist der Verantwortliche zukünftig explizit verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.

Datenschutzberater

Im Gegensatz zur DSGVO bleibt die Bestellung eines (internen oder externen) Datenschutzberaters unter dem revidierten DSG fakultativ. Dennoch bietet eine in ihrem Aufgabengebiet unabhängige Stelle mit entsprechender Expertise nach wie vor den grossen Vorteil, fundierte und auf die jeweilige Organisation zugeschnittene Empfehlungen abgeben zu können, die oftmals unerlässlich sein dürften für eine effektive und gleichzeitig effiziente Datenschutzorganisation. Ausserdem erspart man sich mit der Bestellung des Datenschutzberaters den Gang zum EDÖB, wenn eine solche Konsultation im Rahmen einer Datenschutz-Folgenabschätzung vorgeschrieben ist.

Strafbestimmungen

Bislang betrug der Maximalbetrag für Bussen 10ʼ000 Franken. Zukünftig können auch gegen Einzelpersonen Bussen ausgesprochen werden bis zum Maximalbetrag von 250ʼ000 Franken. Die Liste der strafbaren Verhaltensweisen konzentriert sich auf die Verletzung wesentlicher Pflichten des Verantwortlichen:

- Falsche und unvollständiger Auskunft

- Verletzung der weiten Informationspflichten

- Nichteinhaltung der Mindestanforderungen an die Daten­sicherheit

- Unzulässige Auslandübermittlung

- Auftragsbearbeitung, welche nicht den gesetzlichen Vorgaben entspricht

- Verletzung von Verfahrenspflichten gegenüber dem EDÖB

Ferner kann auch eine Verletzung der beruflichen Schweigepflicht gebüsst werden.
Alle Straftatbestände setzen eine vorsätzliche Begehung voraus. Eventualvorsatz, also die reine Inkaufnahme der Tat, genügt dabei bereits. Die Bemessung der Busse im Einzelnen orientiert sich an der wirtschaftlichen Situation und am Verschulden des Täters.

Im Gegensatz zur DSGVO zielen die Bussen nicht auf die Unternehmen, sondern insbesondere auf Leitungspersonen. Dies führt dazu, dass nach dem neuen DSG Verantwortliche im Unternehmen, wie etwa CEOs, CFOs oder CIOs, direkt sanktioniert werden können.

Immerhin handelt es sich bei den meisten Strafbestimmungen um Antragsdelikte, ein Verstoss wird also nur verfolgt, wenn etwa die betroffene Person einen Strafantrag stellt.

Bei geringfügigeren Verstössen (Busse von höchstens 50ʼ000 Franken) sieht das revidierte Datenschutzgesetz vor, dass darauf verzichtet werden kann, die strafrechtlich verantwortliche Einzelperson zu büssen und stattdessen auf das Unternehmen zurückzugreifen. Dabei handelt es sich um eine nicht zwingende Ausnahme. Die Voraussetzung zur Anwendung dieser Bestimmung ist, dass die Untersuchungsmassnahmen zur Ermittlung der verantwortlichen Person unverhältnismässig wären. Aufgrund der zahlreichen technischen Möglichkeiten (beispielsweise Protokollierung) dürfte die verantwortliche Person jedoch in vielen Fällen rasch ermittelt sein oder bereits feststehen.

Wesentliche Neuerungen für Unternehmen

Mit Inkrafttreten des revidierten DSG werden wesentliche Neuerungen auf Unternehmen zukommen. Bei Unternehmen, die bereits die Anforderungen an die DSGVO umgesetzt haben, ist dies ein guter Ausgangspunkt. Dennoch sollte sorgfältig geprüft werden, inwiefern Anpassungen an das revidierte DSG erforderlich sind.

Da das revidierte DSG keine Übergangsfrist vorsieht, sollten sobald als möglich die entsprechenden Vorbereitungen getroffen werden. Die Missachtung der Vorgaben kann zu Sanktionen und Bussen von bis zu 250ʼ000 Franken führen. Es empfiehlt sich daher, eine Status-Quo-Erhebung des Ist-Zustandes zu erarbeiten und gestützt darauf den Soll-Zustand zu ermitteln. Die daraufhin zu ermittelnden Massnahmen sollten nach Risiken priorisiert werden und neben der zeitlichen auch die budgetäre Planung berücksichtigen.

Die Autorin

Michèle Balthasar, CEO von Balthasar Legal, hat sich als versierte Datenschutz-, Energierechts-, Informations- und Kommunikationsrechtsspezialistin auf die Beratung kleinerer, mittelgrosser und international tätiger Unternehmen spezialisiert. Dabei begleitet sie persönlich ihre Kunden bei Fragen und Anliegen rund um die Digitalisierung. Als externe Datenschutzbeauftragte begleitet und unterstützt sie darüber hinaus Unternehmen bei der kontinuierlichen Einhaltung der Anforderungen an den Datenschutz.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER