Was Sie zum neuen Datenschutzgesetz wissen müssen

Newsletter 2022_6

Am 1. September 2023 wird das revidierte Schweizerische Datenschutzgesetz (revDSG) in Kraft treten, womit eine längst überfällige Anpassung an die rasante technische Entwicklung der letzten Jahre erfolgt. Als Stichworte können hier die Begriffe Big Data, KI (künstliche Intelligenz) oder Cloudtechnologien genannt werden. Das neue Gesetz soll die Rechte der betroffenen Personen, aber auch das Verantwortungsbewusstsein der Verantwortlichen stärken. Durch die Revision erfolgt sodann ein Gleichziehen mit dem bereits im Mai 2018 revidierten europäischen Datenschutzgesetz. Die Anpassung an die neue Gesetzgebung und die entsprechende Umstellung der internen Organisation, Abläufe und Systeme ist für viele Unternehmen mit Aufwand und Kosten verbunden. Dennoch lohnt es sich, diesen Aufwand auf sich zu nehmen: Zum einen weil dies das Vertrauen von Kunden und Mitarbeitenden fördert und zum anderen aber auch, weil unter künftigem Recht eine Verletzung von datenschutzrechtlichen Bestimmungen mit hohen Bussen sanktioniert wird und eine persönliche Haftung vorgesehen ist. Insbesondere für Unternehmen, welche besonders schützenswerte Daten und/oder eine hohe Datenmenge bearbeiten, oder aber auch Personendaten ins Ausland übermitteln, tun gut daran, ihre Datenschutz-Strategie zu überarbeiten. Unternehmen, welche in den Anwendungsbereich des europäischen Datenschutzrechtes fallen, haben den Grossteil ihrer «Hausaufgaben» bereits erledigt: Der Schweizer Gesetzgeber hat sich bei vielen Normen an die Bestimmungen des Europäischen Rechtes angelehnt und nur in wenigen Bereichen bestehen Unterschiede.

  1. Strafrechtliche Bestimmungen

Das revDSG sieht eine allgemeine Erhöhung des Strafmasses vor: Künftig wird für alle Verstösse ein maximales Strafmass von CHF 250'000.00 gelten (im Vergleich zu bis anhin CHF 10'000.00).

Die Liste des strafbaren Verhaltens wird an die neuen gesetzlichen Pflichten angepasst.

Im grossen Unterschied zur europäischen Datenschutzregelung wird in der Schweiz eine persönliche Haftung eingeführt, d.h. die Strafandrohung richtet sich gegen die verantwortliche natürliche Person. Nur in Fällen von geringfügigen Übertretungen und wenn die Ermittlung von strafbaren Personen zu unverhältnismässigen Untersuchungen führt, kann gemäss Art. 64 Abs. 2 revDSG das Unternehmen direkt gebüsst werden. Es ist davon auszugehen, dass die «neue» persönliche Haftung dazu führen wird, dass der Einhaltung des Datenschutzes grössere Priorität eingeräumt wird wie bis anhin. Insbesondere aber auch, weil nach der gängigen Auffassung das Haftungsrisiko nicht von Versicherungen übernommen werden kann. 

Für die Bejahung der Strafbarkeit ist vorsätzliches Handeln erforderlich. Die Inkaufnahme der Verletzung ist jedoch ausreichend. Die Verletzung der Strafbestimmung wird gemäss Botschaft der Leitungsperson zugerechnet, wobei keine Organstellung notwendig ist.

 

  1. Strafbares Verhalten nach revDSG

Nach Art. 60 revDSG macht sich strafbar, wer Informations-, Auskunfts- und Mitwirkungspflichten verletzt. Dies bedeutet, dass es beispielsweise strafbar ist, E-Mail-Adressen zu sammeln für Marketingzwecke, ohne die betroffenen Personen darüber zu informieren. Ebenfalls mit einer Busse rechnen muss, wer auf ein Auskunftsbegehren mit vorsätzlich falschen Informationen reagiert.

Im Weiteren wird sich nach Art. 61 revDSG strafbar machen, wer Personendaten ins Ausland ohne angemessenen Schutz transferiert. Erlaubt ist ein Transfer nur unter der Voraussetzung, dass im Ausland ein angemessenes Datenschutzniveau besteht oder der Transfer sich auf eine Datenschutzgarantie abstützt oder ein Ausnahmetatbestand (bspw. Einwilligung) vorliegt. Ansonsten ist der Transfer von Personendaten ins Ausland unzulässig.

Ferner darf der Verantwortliche nur Personendaten an Auftragsbearbeiter (bspw. IT-Support) übertragen, wenn sichergestellt ist, dass die Personendaten in einer solchen Weise bearbeitet werden, wie der Verantwortliche es selbst tun darf und keine gesetzliche oder vertragliche Geheimhaltungspflicht dies verbietet. Sodann kann sich gemäss Art. 61 Abs.3 revDSG strafbar machen, wer die vom Bundesrat angeordneten Bestimmungen über die Mindestanforderungen an Datensicherheit missachtet (jene sind in der Verordnung zum revDSG konkretisiert).

Besonders zu beachten ist die in Art. 62 revDSG statuierte allgemeine berufliche Schweigepflicht: Demnach macht sich strafbar, wer geheime Personendaten vorsätzlich offenbart, von denen sie oder er bei der Ausübung ihres oder seines Berufes Kenntnis erlangt hat. Strafbar machen können sich nach Abs. 2 sogar auch Hilfspersonen oder Auszubildende. Ohne gross Aufmerksamkeit zu erregen, wurde hier eine einschneidende, allgemeine und weitgreifende berufliche Schweigepflicht eingeführt. Es ist abzuwarten, wie oft jene unter künftigem Recht zur Anwendung gelangen wird.

Ebenfalls mit Busse bestraft werden kann, wer nach Art. 63 revDSG die Verfügungen des Eidgenössischen Datenschutzbeauftragten (EDÖB) missachtet, vorausgesetzt die Bestrafung (Busse bis zu CHF 250'000.00) wurde bereits in der Verfügung angedroht.

 

  1. Tipps für die Praxis: Was bedeutet dies für mich als unternehmerisch tätige Person?

Generell

  • Setzen Sie sich frühzeitig mit einer im Datenschutz bewanderten Person zusammen, welche die neuen Anforderungen mit Ihnen zusammen bespricht. Es wird (neben vereinzelten Ausnahmen) keine formelle Übergangsfrist geben. Dies bedeutet, dass im Zeitpunkt des Inkrafttretens des Gesetzes das Unternehmen datenschutzkonform sein muss;
  • Überlegen Sie, ob es für die Menge und die Art der bearbeiteten Personendaten sinnvoll ist, einen Datenschutzberater oder eine Datenschutzberaterin intern zu benennen oder extern zu beauftragen. Nach revDSG besteht keine Verpflichtung dazu. Es kann dennoch sinnvoll sein, um die Verantwortlichkeiten im Unternehmen klar abzugrenzen;
  • Definieren Sie genau, wie Sie sich innerhalb Ihres Unternehmens organisieren, damit die Aufgaben, Kompetenzen und Verantwortlichkeiten unmissverständlich geregelt sind. Schulen Sie Ihre Mitarbeiter im Umgang mit Personendaten.

Datenschutzerklärung und vertragliche Dokumente

  • Datenschutzerklärung: Die betroffenen Personen müssen darüber informiert werden, welche Personendaten von ihnen beschafft und bearbeitet werden. Dies erfolgt durch eine sogenannte Datenschutzerklärung. Die Datenschutzerklärung wird in den meisten Fällen auf der Unternehmenswebseite aufgeschaltet und/oder die AGB eines Unternehmens verweisen mittels Link auf die Datenschutzerklärung. Wichtig ist bei der Erstellung der Datenschutzerklärung, dass sie auf die individuellen Bedürfnisse des Unternehmens (welche Systeme werden genutzt, wo werden Personendaten überhaupt bearbeitet?) angepasst ist. Dadurch können unnötig lange Erklärungen verhindert werden. Sollte Ihr Unternehmen automatisierte Entscheide durchführen (ein Computer fällt ein Ermessensentscheid bspw. in einem Bewerbungsprozess), muss die betroffene Person ausdrücklich darüber informiert werden;
  • Verträge: Stellen Sie sicher, dass alle Verträge (Kunden- und Mitarbeiterverträge) aber auch Vereinbarungen mit Ihren Dienstleistern (Auftragsbearbeiter) bei Bedarf angepasst werden. Entscheidend ist, dass unter anderem dem Verantwortlichen ein Kontrollrecht und Weisungsrecht gegenüber dem Auftragsbearbeiter eingeräumt wird. Aber auch die Genehmigung für den Beizug von Subunternehmern muss Eingang in den Vertrag mit dem Auftragsbearbeiter finden. Falls Sie Dienstleistungen ausgelagert haben (Call Center oder weitere Managed Services), überprüfen Sie rechtzeitig, dass die Verträge (inkl. Service Level Agreements) angepasst sind;
  • Auslandtransfer: Arbeiten Sie mit Unternehmen im Ausland zusammen und übermitteln Sie Personendaten an jene, achten Sie darauf, dass deren Schutz durch bspw. vertragliche Klauseln sichergestellt ist;
  • Plattformen: Überprüfen Sie, ob Ihre Plattformen (Homepage, Software, Cloudlösungen, KI- und Big Data Plattformen usw.) den neuen Anforderungen Rechnung tragen. Wenn nicht bereits umgesetzt, wird es notwendig sein, die betreffenden Verträge anzupassen.

Interne Prozesse

  • Bearbeitungsverzeichnis: Analysieren Sie, in welchen Bereichen Sie Personendaten bearbeiten (Website, Videoüberwachung etc.) und erstellen Sie ein entsprechendes Verzeichnis. Unternehmen, welche weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko beträgt sowie auch kein Profiling enthält, sind von der Pflicht, ein Bearbeitungsverzeichnis zu erstellen, befreit. Trotzdem ist dieses Verzeichnis eigentlich für jedes Unternehmen sinnvoll;
  • Meldung von Datenschutzverstössen (bspw. Arztzeugnis an «falschen» Patienten versendet): Legen Sie intern ein Verfahren fest für den Fall eines Datenschutzverstosses. Verstösse, welche zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führen, müssen dem EDÖB gemeldet werden;
  • Durchführung einer Datenschutz-Folgenabschätzung («DSFA»): Nach künftigem Recht muss eine DSFA vorgenommen werden, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Im Rahmen einer Datenschutz-Folgenabschätzung wird die vorgesehene Bearbeitung der Personendaten, die damit verbundenen Risiken und die geeigneten Massnahmen zur Minimierung der Risiken festgehalten;
  • Datenportabilität: Künftig werden Sie verpflichtet sein, wenn Sie Personendaten im Zusammenhang mit einem Vertrag oder aufgrund von Einwilligung erhalten haben, jene jederzeit in einer gängigen elektronischen Form herausgeben zu können. Stellen Sie somit sicher, dass sie über ein entsprechendes IT-Programm verfügen (bspw. CSV Format);
  • Technische und organisatorische Massnahmen (TOM): Wie unter bisherigem Recht muss der Verantwortliche auch die Datensicherheit gewährleisten, jedoch fällt eine Verletzung der Datensicherheit künftig auch unter das Strafmass von Art. 61 revDSG. Wenn nicht bereits erledigt, beachten Sie, dass unter anderem der Datenzugang auf den Kreis der Berechtigten beschränkt ist, ein System für eine sichere Datenvernichtung existiert, regelmässig Back-ups vorgenommen werden usw. Weitere Informationen dazu finden Sie unter anderem auch im Leitfaden des Bundes zu den technischen und organisatorischen Massnahmen im Datenschutz.

Das neu revidierte Datenschutzgesetz bedeutet insgesamt eine umfassendere und schärfere Regulierung im Umgang mit Personendaten und sieht gleichzeitig höhere Strafen bei Verstössen vor. Dies ist grundsätzlich zu begrüssen, wobei wir uns gleichzeitig auch stets bewusst sein müssen, dass es für Unternehmen schwierig, wenn nicht gar unmöglich ist, stets vollständig datenschutzkonform zu sein. Damit dieser Schwierigkeit im Fall der Fälle auch Rechnung getragen werden kann, ist es ausschlaggebend, jederzeit belegen zu können, dass alle möglichen Massnahmen ergriffen worden sind, um den Datenschutz zu gewährleisten. Es ist davon auszugehen, dass bereits dieser Umstand im Falle eines Verstosses sich strafmildernd auswirkt.

Sollten Sie Fragen betreffend die Umsetzung des Datenschutzes in Ihrem Unternehmen haben, beraten wir Sie gerne dabei.

Zurück