Am 1. September 2023 tritt das neue bzw. totalrevidierte Datenschutzgesetz (revDSG) mit seinen Verordnungen in Kraft. Alle Unternehmen und Organisationen, die Personendaten sammeln und verarbeiten, müssen ab Inkrafttreten über ihre Datenschutzpraktiken informieren. Was gilt es dabei zu beachten?
Autor: Michel Rohrer
Das revDSG und die entsprechenden Bestimmungen in den Verordnungen sorgen künftig für einen besseren Schutz der persönlichen Daten. Insbesondere wird der Datenschutz den technologischen Entwicklungen angepasst, die Selbstbestimmung über die persönlichen Daten gestärkt sowie die Transparenz bei der Beschaffung von Personendaten erhöht. Darüber hinaus soll mit den neuen Bestimmungen auch die Kompatibilität des Schweizer Rechts mit dem EU-Recht, insbesondere mit der Datenschutzgrundverordnung (DSGVO), sichergestellt werden.
Welche wesentlichen Neuerungen eingeführt?
Folgende wesentlichen Veränderungen werden eingeführt (Auswahl):
- Nur noch die Daten natürlicher Personen sind künftig betroffen, die von juristischen Personen nicht mehr.
- Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen.
- Die Grundsätze «Privacy by Design» (Datenschutz durch Technikgestaltung) und «Privacy by Default» (Datenschutz durch Voreinstellung) werden eingeführt, mit dem Ziel einerseits den Schutz der Privatsphäre der Nutzerinnen und Nutzer in die Struktur der Produkte oder Dienstleistungen einzubauen und andererseits sicherzustellen, dass schon beim Inverkehrbringen des Produktes oder der Dienstleistung die höchste Sicherheitsstufe standradmässig vorhanden ist.
- Es müssen sogenannte Folgeabschätzungen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
- Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden.
- Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU Betriebe vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.
- Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
- Der Begriff Profiling (die automatisierte Bearbeitung personenbezogener Daten) wurde in das Gesetz aufgenommen.
Auf der Website des EDÖB (Das neue Datenschutzgesetz) finden sich ausführlichere Informationen zu den durch das revDSG eingeführten Veränderungen.
Doch was bedeutet das nun konkret für das einzelne Unternehmen?
Unternehmen (wozu selbstredend auch Selbstständigerwerbende zählen) sind gut beraten, wenn sie die folgenden Massnahmen umsetzen, damit ab dem 1. September 2023 die Anforderungen des revidierten Datenschutzgesetzes erfüllt werden:
- Datenschutzerklärung
Die Datenschutzerklärung beschreibt, welche Daten, wie und zu welchem Zweck bearbeitet und geschützt werden und ob die Daten ggf. an Dritte weitergegeben werden.
- Datenbearbeitungsrichtlinien
Um einen korrekten Umgang mit Personendaten sicherzustellen und die Datensicherheit zu gewährleisten, braucht grundsätzlich jedes Unternehmen entsprechende Datenbearbeitungsrichtlinien.
- Datenbearbeitungsverzeichnis
Ein Datenbearbeitungsverzeichnis gibt Auskunft darüber, wie (Personen-)Daten in einem Unternehmen bearbeitet werden. Das Verzeichnis verschafft dem Unternehmen eine Übersicht über alle mit Personendaten im Zusammenhang stehenden Bearbeitungsvorgänge.
- Auskunftsrecht
Privatpersonen haben das Recht, darüber Auskunft zu verlangen, ob und welche Daten von ihnen bearbeitet werden. Eine solche Auskunft hat in der Regel innert 30 Tagen zu erfolgen und ist grundsätzlich kostenlos.
- Meldepflicht
Jede Datenverletzung, welche voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen kann muss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gemeldet werden.
- Folgeabschätzung
Dabei handelt es sich um eine strukturierte Risikoanalyse mit dem Ziel sich die Risiken, welche eine Datenbearbeitung mit sich bringen können, zu vergegenwärtigen und diese durch geeignete Massnahmen zu vermeiden bzw. zu minimieren.
- Löschungspflicht
Sobald der Zweck der Datenerhebung erreicht ist, sind die erhobenen Daten umgehend zu löschen, sofern nicht von Gesetzes wegen längere Aufbewahrungsfristen vorgeschrieben werden.
- Datenübermittlung
Bei der (berechtigten) Datenübermittlung an Dritte, insbesondere ins Ausland, ist sicherzustellen, dass das Datenschutzniveau der Schweiz eingehalten wird. Der Bundesrat wird hierzu eine entsprechende Länderliste publizieren, die Übermittlung von Personendaten in Länder auf dieser Liste ist dann ohne Weiteres erlaubt.
- Datensicherheit
Jedes Unternehmen, welches schützenswerte Personendaten verwendet, hat durch geeignete technische und organisatorische Massnahmen den Schutz sicherzustellen.
- Datenherausgabe
Jedes Unternehmen ist verpflichtet Herausgabe der Daten in einem elektronischen Format zu gewährleisten.
Das neue Datenschutzgesetzt: Fazit und Schlussbemerkung
Die Anforderungen an Unternehmen steigen und steigen. Die stetig neuen Gesetze und Regularien sind für einen kleinen KMU Betrieb – ohne Fachunterstützung – teilweise nur schwer erfüll- und umsetzbar. Wer das neue Datenschutzgesetz nicht korrekt erfüllt oder umsetzt riskiert neben der Anzeige (und dem Reputationsschaden) auch empfindliche Bussgelder.
Kleineren Unternehmen und Selbständigerwerbenden empfehle ich daher, frühzeitig eine Fachperson beizuziehen, welche ihnen hilft, die neuen Datenschutzgesetz-Bestimmungen professionell umzusetzen.
Aufgrund meiner langjährigen Praxiserfahrung weiss ich, dass «Vorbeugen» einiges kostengünstiger ist und einem ruhiger schlafen lässt. Hinterher ist man zwar klüger, doch die Erfahrung ist bekanntlich der teuerste Lehrmeister.
Der Autor lic. iur. Michel Rohrer ist ein ausgewiesener Spezialist für Arbeits- und Gesundheitsrecht und verfügt u.a. über eine Zusatzausbildung als Sicherheitskoordinator nach EKAS, Mail: michel.rohrer@aequitas-ag.ch, www.aequitas-kontrollen.ch. Tel. 061 281 75 15.