Der neue Datenschutz in der Schweiz – Datenschutz Management Beratung und Projektunterstützung
Umsetzung DSG Schweiz
Was bedeutet die Totalrevision des neuen Datenschutzgesetz Schweiz (CH-DSG) für Schweizer Unternehmen und welche Herausforderungen erwarten Sie bei der Umsetzung von Datenschutzgesetz und Datenschutz-Grundverordnung?
Mit dem Inkraftsetzen der EU-Datenschutz-Grundverordnung (EU-DSGVO) im Mai 2018 und der geplanten ePrivacy-Verordnung (voraussichtlich 2020) hat die EU eine Welle von Massnahmen losgetreten, die die Persönlichkeit und Freiheiten von Datensubjekten schützen sollen. Die Umsetzung der EU-DSGVO und des Entwurfs für die Revision des neuen Datenschutzgesetz Schweiz stellen Schweizer Unternehmen vor grosse Herausforderungen. Die Verantwortlichen sind gefordert: Sie müssen die neuen Datenschutzrichtlinien ganzheitlich betrachten, um sie kosteneffizient und marktkonform zu implementieren. Aus Erfahrung wissen wir, dass es dabei folgende fachlichen und zeitlichen Abhängigkeiten zu berücksichtigen gilt:
- Neues Datenschutzgesetz Schweiz (CH-DSG),
- ePrivacy Verordnung (ePrivacy schützt das Recht auf Achtung des Privatlebens sowie der Kommunikation. ePrivacy soll die Anforderungen der EU-Datenschutz-Grundverordnung ergänzen und präzisieren),
- EU-DSGVO.
Die wichtigsten Neuerungen im neuen Datenschutzgesetz der Schweiz (CH-DSG)
Das Eidgenössische Parlament hat im Herbst 2020 das langerwartete totalrevidierte Bundesgesetz über den Datenschutz verabschiedet. Die Bundesverwaltung konzentriert sich nun auf die Erarbeitung der notwendigen Verordnungen, so dass voraussichtlich im zweiten Halbjahr 2022 das neue Gesetz in Kraft gesetzt werden kann. Dieses wird dann für die Privatwirtschaft und die Bundesverwaltung verpflichtend, womit die Bearbeitung von personenbezogene Daten durch die Unternehmen und Behörden den neuen Vorschriften angepasst werden muss. Insofern deckt das revidierte Datenschutzgesetz auch die seit Mai 2018 in Kraft gesetzte Datenschutzgrundverordnung (DSGVO/GDPR) ab. Dies kommt den Unternehmen entgegen, welche bereits die Anforderungen der DSGVO berücksichtigen mussten. Doch welche Neuerungen kommen auf Unternehmen im nächsten Jahr konkret zu?
- Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB
Neu erhält der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB die Möglichkeit, von Amtes wegen, Datenschutz-Verstösse zu untersuchen. Er kann Verfügungen erstellen, um Datenbearbeitungen anzupassen, einzuschränken oder ganz zu unterlassen. Zusätzlich werden EDÖB Dienstleistungen wie Stellungnahmen zu Datenschutz-Folgenabschätzungen (DSFA), Verhaltenskodizes oder Leistungen wie Beratungen für Private neu gebührenpflichtig. Die Gebührenhöhe ist in der Verordnung geregelt.
- Gesetz gilt neu nur noch für den Persönlichkeitsschutz von natürlichen Personen
Das Gesetz gilt neu nur noch für den Persönlichkeitsschutz von natürlichen Personen. Diese Regelung stimmt somit mit der DSGVO überein. Die Liste der besonders schützenswerten Personendaten wird zudem um genetische Daten erweitert. Zusätzlich gelten neu biometrische Daten als besonders schützenswert, wenn mit diesen Daten die betroffenen Personen eindeutig identifiziert werden können.
- Risikobasierter Ansatz für den Datenschutz
Das revidierte Datenschutzgesetz basiert auf einem risikobasierten Ansatz. Die Anforderung eines Konzepts (Privacy by Design, Privacy by Default) stehen dabei im Mittelpunkt. Die Datenschutzanforderungen sollen bereits in der Planungsphase berücksichtigt und durch technische und organisatorische Massnahmen bearbeitet werden. Zusätzlich müssen datenschutzfreundliche Grundeinstellungen (Privacy by Default) bestimmt und umgesetzt werden. Das Ziel dabei ist, dass sich die Nutzer nicht zuerst durch seitenlange allgemeine Bestimmungen pflügen müssen. Dies bedingt Anpassungen von bestehenden Formularen, Einwilligungsverfahren und Applikationen mit datenschutzfreundlichen Techniken.
- Datenschutz-Verantwortliche
Unternehmen können nun freiwillig eine verantwortliche Person für den Datenschutz (Data Protection Officer, DPO) bezeichnen. Dieser kann als interne Ansprechperson und als erste Ansprechperson zu den Behörden und dem EDÖB dient. DPOs sind im Gegensatz zur DSGVO für Privatunternehmen nicht verpflichtend. Wichtig ist, dass DPOs unbedingt fachlich unabhängig sind. Dies ermöglicht es, Datenschutz-Folgenabschätzungen nicht vom EDÖB, sondern durch einen internen oder externen Datenschutzspezialisten überprüfen zu lassen.
- Datenschutz-Folgenabschätzungen (DSFA) / (Privacy Impact Analyse)
Gemäss Art. 22 des revidierten Datenschutzgesetz müssen nun auch Private, nicht wie bis anhin nur Bundesorgane, bei hohem Risiko für die Grundrechte oder die Persönlichkeit der Betroffenen, eine Datenschutz-Folgenabschätzungen (DSFA) durchführen. Diese muss vor der beabsichtigten Datenbearbeitung erfolgen. Ein hohes Risiko liegt dann vor, wenn zum Beispiel besonders schützenswerte Personendaten nach Art. 5 des revidierten Datenschutzgesetzes in grossem Umfang bearbeitet werden oder wenn aus der Datenbearbeitung ein Profiling mit hohem Risiko für die Betroffenen entsteht. Neu ist gemäss EDÖB auch die Durchführung einer Risikoabschätzung beim Transfer von personenbezogenen Daten in die USA. Wenn nach der DSFA weiterhin ein hohes Risiko besteht, muss die für Datenschutz verantwortliche Person nach Art. 23 die geplante Art der Datenbearbeitung vorgängig beim EDÖB zur Prüfung vorlegen. Als Ausnahme gilt, wenn ein unabhängiger DPO eingesetzt wird. Letztendlich muss die Datenschutz-Folgenabschätzungen (DSFA) spezifisch auf die Datenbearbeitung eingehen und die daraus entstehenden Risiken behandeln. Ansonsten können zu allgemein gehaltene Datenschutz-Folgenabschätzungen (DSFA) in Zukunft vom EDÖB beanstandet werden.
- Verzeichnis der Datenbearbeitungstätigkeiten
Ein aktuelles Verzeichnis sämtlicher Datenbearbeitungen muss ein Unternehmen mit mehr als 250 Mitarbeitenden gemäss Art. 12 des revidierten Datenschutzgesetz führen. Dieses Verzeichnis muss dem EDÖB nicht gemeldet werden. Bereits im Rahmen der DSGVO-Konformität erstellte Datenbearbeitungsverzeichnisse können mit wenig Aufwand, wie dem Aufführen von Exportländern oder Datenschutzgarantien, übernommen werden.
- Datenbekanntgabe ins Ausland / Übermittlung von Daten ins Ausland
Gemäss Art. 16 dürfen Personendaten ins Ausland übermittelt werden, sofern die Gesetze des Empfängerlandes einen angemessenen Schutz gewährleisten. Welche Länder welchen Schutz gewährleisten, wird vom EDÖB in einer Liste publiziert. Daten können auch weitergegeben werden, wenn das Exportland keinen angemessenen Schutz vorweist oder nicht in der Liste geführt ist. Dasselbe gilt auch, wenn völkerrechtliche Verträge, Datenschutzklauseln oder unternehmensinterne Datenschutzvorschriften vorliegen. Diese Datenschutzklauseln und andere Garantien müssen dem EDÖB vorgängig mitgeteilt und genehmigt werden, sofern sie nicht unter der DSGVO anerkannt wurden. Eine Datenbekanntgabe gilt auch für Fernzugriffe, selbst wenn der Server in der Schweiz steht. So müssen Unternehmen auch Art. 16 beachten, wenn sie Personendaten von Zweigniederlassungen im Ausland zugänglich machen.
- Rechte der Betroffenen
Das Auskunftsrecht wurde ausgebaut, wodurch den Betroffenen auf Anfrage die in Art. 25 spezifizierten Informationen mitgeteilt werden müssen. Dazu zählen die aktuellen Kontaktdaten, inkl. Identität des oder der Verantwortlichen für die Datenbearbeitung im Unternehmen. Zudem müssen bei jeder beabsichtigten Beschaffung von Personendaten die betroffene Personen vorgängig informiert werden. Die Information umfasst: Bearbeitungszweck, die vorgesehenen Datenempfänger und welche Garantien zur Sicherstellung des Datenschutzes getroffen wurden. Jede Person hat die Möglichkeit, ihre personenbezogenen Daten in einem gängigen elektronischen Format zu verlangen oder einem Dritten übertragen zu lassen. Die Herausgabe muss grundsätzlich kostenlos sein, ausser, die Verantwortlichen können einen unverhältnismässig hohen Aufwand geltend machen.
- Meldepflichten an den EDÖB
Datenschutzverletzungen, mit hohen Persönlichkeitsverletzungen und somit hohen Risiken für die Betroffenen, müssen so rasch wie möglich dem EDÖB gemeldet werden. Zusätzlich müssen Verantwortliche eine Einschätzung der Risiken und der Auswirkungen abgeben sowie festlegen, ob und inwiefern die Betroffenen informiert werden müssen.
- Sanktionen bei Datenschutzverletzungen
Bussen für Privatpersonen von bis zu CHF 250'000.– sieht das neue Datenschutzgesetz vor, wobei «nur» der Vorsatz und die Unterlassung strafbar sind, gemäss Art. 60, nicht jedoch Fahrlässigkeit. Auf Antrag können die Missachtung der Betroffenenrechte, die Verletzung der Sorgfaltspflichten sowie die Verletzung von Meldepflichten verfolgt werden. Sanktionen sind im Unterschied zur DSGVO einiges schwächer. DSGVO Sanktionen richtet sich zum einen gegen juristische Personen, zum anderen können Bussen eine Schadenshöhe von bis zu 20 Mio. Euros bzw. 4 % des global erzielten Jahresumsatzes betragen.
Handlungsbedarf neues Datenschutzgesetz - Was ist zu tun? | Neu revidiertes Schweizer Datenschutzgesetz (CH-DSG) führt zur gewünschten Rechtssicherheit | |
Anspruchsvoll sind Zielkonflikte zwischen dem neuen DSG Schweiz und der EU-DSGVO oder der ePrivacy. Dabei wird die definitive Version der Datenschutzgesetze, die effektiven Kosten und den Aufwand entscheidend beeinflussen. Im Hinblick auf die Verordnung von ePrivacy müssen die Unternehmen ihren Status Quo analysieren und bei Bedarf ihre Geschäftsprozesse dem Datenschutz im Internet und in der elektronischen Kommunikation anpassen. In den nächsten Jahren wird der Datenschutz nicht nur das Management, sondern auch die Compliance- oder Rechtsfunktion und die IT beschäftigen. | Das neu revidierte CH-DSG kommt dem Bedürfnis der Unternehmen in der Schweiz nach Rechtssicherheit entgegen. Ein Unternehmen, das sich an das revidierte CH-DSG hält, hält sich automatisch auch an die relevanten Bestimmungen der anderen Regelwerke. Damit erfüllt das revidierte CH-DSG einerseits die Anforderungen der internationalen Vorgaben in einer angemessenen Weise, damit die Angemessenheitsbescheinigung der EU aufrechterhalten werden kann. |
Datenschutz Beratung hinsichtlich neues Datenschutzgesetz in der Schweiz / Coaching oder fachliche Unterstützung?
Sie starten ein Datenschutzprojekt und brauchen fachliche Unterstützung? Sie suchen einen Projektleiter, Berater oder Spezialisten? Dann sollten Sie mit uns sprechen. Gerne erläutern wir Ihnen die verschiedenen Möglichkeiten, um Sie zu unterstützen.
Kontaktieren Sie uns oder rufen Sie uns an +41 44 360 40 40.