Das neue Schweizer Datenschutzgesetz (DSG)

Einleitung

Ab dem 1. September 2023 tritt in der Schweiz das neue Datenschutzgesetz (DSG) in Kraft. Das Ziel des neuen DSG ist es, die Transparenz bei der Verarbeitung von Daten zu verbessern und somit den Schutz persönlicher Informationen zu stärken. Es soll außerdem sichergestellt werden, dass das Gesetz mit der Datenschutzgrundverordnung (DSGVO) der Europäischen Union kompatibel ist.

 

Was ist denn nun zu tun?

Das Datenschutzrecht auferlegt den Verantwortlichen einer Datenbearbeitung zahlreiche Pflichten, wovon einige neu sind, aber einige auch bereits jetzt bestehen. Im Folgenden findest du einen Überblick über die wichtigsten Pflichten der Verantwortlichen.

 

Grundsätze der Datenbearbeitung

Die Bearbeitungsgrundsätze ändern sich durch die Revision nicht wesentlich, weshalb bisher zulässige Datenbearbeitungen gewöhnlich auch unter dem neuen Recht weiter zulässig sein sollten. Personendaten dürfen nur rechtmässig bearbeitet werden, die Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein. Wichtig ist, dass Daten nur zu dem Zweck bearbeitet werden dürfen, für welchen sie erhoben wurden, und der Zweck für die betroffene Person auch erkennbar ist (Zweckbindung). Werden Personendaten entgegen den datenschutzrechtlichen Grundsätzen bearbeitet (z.B. zu einem anderen Zweck), kann dies zu einer Persönlichkeitsverletzung der betroffenen Person führen. Eine solche kann jedoch gerechtfertigt werden, wenn ein überwiegendes privates oder öffentliches Interesse besteht (z.B. Datenbearbeitung in unmittelbarem Zusammenhang mit einem Vertrag) oder die betroffene Person einwilligt.

 

Löschen von Personendaten

Personendaten müssen gelöscht oder anonymisiert werden, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind.

 

Inventar der Bearbeitungen

Unternehmen und Organisationen mit 250 Mitarbeitenden und mehr müssen ein Inventar über sämtliche Bearbeitungen führen. Unternehmen mit weniger als 250 Mitarbeitenden sind grundsätzlich davon befreit, ausser es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet oder ein Profiling mit hohem Risiko durchgeführt.

 

Informationspflichten und Datenschutzerklärung

Wenn Personendaten bearbeitet werden, so müssen die betroffenen Personen über den Umfang und den Zweck der Datenbearbeitungen informiert werden. Dies geschieht meistens mittels einer Datenschutzerklärung. Dazu empfiehlt es sich, folgende Tipps zu befolgen:

• Es sollte über sämtliche Datenbearbeitungen informiert werden, nicht nur über die Bearbeitung der Daten mittels der Website.
• Die Datenschutzerklärung sollte auf einer Website einfach auffindbar sein, am besten auf jeder Seite im Footer.
• Datenschutzerklärungen sollten gewöhnlich nicht durch den Benutzer akzeptiert werden müssen (z.B. bei Formularen). Stattdessen kann darauf hingewiesen werden, wo die Datenschutzerklärung zu finden ist.
• Bitte beachte, dass aufgrund der neuen, umfangreicheren Informationspflichten gegebenenfalls die bestehende Datenschutzerklärung angepasst werden muss.

Zum Datenschutz-Generator

 

Auftragsbearbeiter

Mit Providern wie Hostpoint, welche Personendaten im Auftrag des Verantwortlichen bearbeiten, sollte ein Auftragsbearbeitungsvertrag bzw. Auftragsdatenverarbeitungsvertrag (ADV) abgeschlossen werden (auch Data Processing Agreement bzw. DPA o. ä. genannt). Auch hierzu ist es empfehlenswert, folgende Tipps zu befolgen:

• Ein solcher Vertrag sollte technische und organisatorische Massnahmen (TOMs) enthalten, die der IT-Provider einzuhalten hat (vgl. auch nachführend die Ausführungen zur Datensicherheit sowie Art. 32 der DSGVO).
• Ein ADV nach der europäischen Datenschutz-Grundverordnung (DSGVO) genügt grundsätzlich auch in der Schweiz, sollte aber explizit auch auf das DSG verweisen.
• Der Beizug von weiteren Dritten durch den Auftragsbearbeiter sollte geregelt sein.

Einige Beispiele für Auftragsverarbeitungsverträge:
Metanet
Hostpoint
Cyon

 

Datensicherheit

Der Zugriff auf Personendaten sollte nur für diejenigen Personen (z.B. Mitarbeiter, Vereinsmitglieder) möglich sein, welche den Zugriff auch wirklich benötigen, beispielsweise für die Erfüllung ihrer Arbeit. Dies sollte mit technischen und organisatorischen Massnahmen (TOMs) sichergestellt werden. Technische Massnahmen könnten zum Beispiel eingeschränkte Zugriffsrechte oder Firewalls sein, während organisatorische Massnahmen etwa Weisungen und Schulungen sein können. Websites und sonstige IT-Systeme sollten technisch auf dem aktuellsten Stand gehalten werden, damit keine Sicherheitslücken entstehen, die unter Umständen verheerende Auswirkungen haben könnten.

Sollte es dennoch geschehen, dass die Vertraulichkeit, die Integrität oder die Verfügbarkeit von Personendaten verletzt werden und deswegen ein hohes Risiko für betroffene Personen besteht, muss dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Der Bundesrat plant zudem, eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen einzuführen. Dabei müsste auch das Nationale Zentrum für Cybersicherheit (NCSC) informiert werden. Lasse dich in solchen Fällen beraten, um korrekt zu handeln.

 

Datenbekanntgabe ins Ausland

Werden Daten ins Ausland bekannt gegeben, muss entweder das Land über ein angemessenes Datenschutzniveau verfügen oder es müssen zusätzliche Massnahmen ergriffen werden. Dies ist auch bereits unter dem aktuell geltenden Recht notwendig. Mit der Bekanntgabe ins Ausland ist nicht nur ein aktives Senden von Daten gemeint, sondern beispielsweise auch ein Fernzugriff. Auch der Begriff der «Bekanntgabe» ist somit weiter, als er vielleicht anfänglich vermuten lässt. Zu den Massnahmen, die gegebenenfalls ergriffen werden müssen, gehören unter anderem der Abschluss von Standardvertragsklauseln («EU SCCs») sowie die für die Schweiz notwendigen Ergänzungen («Swiss amendments»).

Prüfe, welche Dienstleister und Anbieter du im Zusammenhang mit deiner Website und sonstigen Angeboten nutzt. Sollten sich diese im Ausland befinden, vergewissere dich, dass das jeweilige Land über einen angemessenen Datenschutz verfügt, und falls nicht, dass du die notwendigen zusätzlichen Massnahmen ergriffen hast.

Beispiel für EU SCC’s:
Google Cloud
Microsoft

 

Betroffenenrechte

Personen, deren Personendaten bearbeitet werden, haben das Recht, Auskunft über ihre eigenen Daten zu erhalten. Diese Auskunft sollte in der Regel innert 30 Tagen und ohne Kostenfolge für die Betroffenen erfolgen. Ferner besteht auch das Recht der Personen, fehlerhafte Daten korrigieren zu lassen oder die Löschung von Daten zu verlangen. Diese Rechte gelten jedoch nicht absolut und es gibt Einschränkungen.

 

Einwilligung

Ist für eine Datenbearbeitung eine Einwilligung nötig, muss die betroffene Person über die Folgen der Einwilligung informiert werden und die Einwilligung muss freiwillig erfolgen. Bei besonders schützenswerten Personendaten (z.B. Gesundheitsdaten) oder Hochrisiko-Profiling muss die Einwilligung sogar explizit geschehen.

 

«Privacy by Default und Privacy by Design»

Damit ist der Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen gemeint. Neu besteht die Pflicht, Datenbearbeitungen technisch und organisatorisch so auszugestalten, dass das Datenschutzrecht eingehalten wird, sowie dass Voreinstellungen möglichst datenschutzfreundlich ausgestaltet sind. Bieten Betreiber von Websites, Apps oder anderer Software unterschiedliche Einstellungen zum Datenschutz an, muss stets die datenschutzfreundlichste Variante als Standardeinstellung definiert sein. Verfügt eine Website beispielsweise über einen Mitgliederbereich, in welchem die registrierten Benutzer entscheiden können, ob andere Benutzer ihren Namen sehen können oder nicht, muss in der Standardeinstellung die Sichtbarkeit des Namens deaktiviert sein.

 

Kleines Berufsgeheimnis

Neben den allgemein bekannten Berufsgeheimnissen (z.B. Anwalts- oder Arztgeheimnis) wurde auch das Berufsgeheimnis im Datenschutzrecht ausgebaut. Geheime Personendaten, die du im Rahmen der Ausübung Ihrer beruflichen Tätigkeit anvertraut erhalten, müssen geheim gehalten werden. Wenn du das nicht garantieren willst, musst du dies also vorgängig klarstellen bzw. sagen, mit wem du die Angaben möglicherweise teilst. Geheime Personendaten liegen vor, wenn sie nicht allgemein bekannt sind und die betroffene Person ein schützenswertes Interesse an der Geheimhaltung der Daten hat. Das bedeutet aber nicht, dass nicht geheime Personendaten ohne Einschränkungen bekannt gegeben werden dürfen. Auch bei solchen ist eine Bekanntgabe nur im Rahmen des Datenschutzrechts zulässig.

 

Datenschutz-Folgenabschätzung

Werden neue Datenbearbeitungen geplant, welche potenziell ein hohes Risiko für betroffene Personen haben können, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. In einer solchen sind sowohl das genaue Vorhaben zu dokumentieren als auch entsprechende Massnahmen zum Schutz der betroffenen Personen zu prüfen.

 

Datenschutzberater und Vertreter in der Schweiz

Es ist unter dem neuen Datenschutzrecht möglich, einen Datenschutzberater im Unternehmen zu benennen. Es besteht hingegen keine Pflicht, dies zu tun. Der freiwillige Datenschutzberater nach Schweizer Recht ist zu unterscheiden vom Datenschutzbeauftragten nach der DSGVO. Letzterer ist bei Anwendbarkeit der DSGVO in gewissen Fällen sogar zwingend einzusetzen.

Verantwortliche mit Sitz im Ausland, welche Personendaten in der Schweiz bearbeiten, müssen unter gewissen Voraussetzungen einen Vertreter in der Schweiz bestimmen. Dies gilt für folgende Fälle:

• Wenn die Datenbearbeitung im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz steht.
• Wenn es sich um eine umfangreiche und regelmässige Bearbeitung handelt.
• Wenn die Datenbearbeitung ein hohes Risiko für die betroffene Person mit sich bringt.

 

Strafbarkeit

In Bezug auf die Strafbarkeit ist insbesondere zu berücksichtigen, dass ab dem 1. September 2023 die Verletzung gewisser Pflichten eine Strafbarkeit begründet, welche – im Gegensatz zu der DSGVO – nicht das Unternehmen trifft, sondern die dafür verantwortliche natürliche Person. Die verantwortlichen Personen können sowohl Mitglieder der Geschäftsleitung als auch andere entscheidungsbefugte Personen im Unternehmen oder aber auch diejenigen Personen sein, welche eine Pflichtverletzung (z.B. Verletzung der Geheimhaltung) begangen haben. Im Schweizer Recht ist jedoch nur die bewusste Begehung strafbar.

Mit einer Busse von bis zu CHF 250’000 ist insbesondere Folgendes strafbar:

• Verletzung von Informationspflichten (z.B. keine oder nur eine ungenügende Datenschutzerklärung)
• Kein Vertrag mit Auftragsbearbeiter
• Verletzung der Datensicherheit (Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität der Daten, TOMs)
• Bekanntgabe von Personendaten in Länder ohne ein angemessenes Datenschutzniveau, ohne das Treffen zusätzlicher Schutzmassnahmen oder ohne dass eine Ausnahme einschlägig ist (z.B. Einwilligung)
• Verletzung von Auskunftspflichten
• Verletzung des «kleinen Berufsgeheimnisses»

 

Wie soll das nun umgesetzt werden?

Es ist empfehlenswert, im Unternehmen, in der Organisation oder auch in einem Verein eine Person zu bestimmen, die sich um den Datenschutz kümmert. Dabei handelt sich nicht um einen Datenschutzberater im Sinne des Gesetzes (siehe oben), sondern um eine Person im Unternehmen oder im Verein, welche sich ein datenschutzrechtliches Grundwissen aneignet und bei diesbezüglichen Fragestellungen auch die Ansprechperson im Unternehmen ist. Die notwendigen Grundkenntnisse kann sich die Person dabei mittels öffentlicher Quellen oder durch Weiterbildungen aneignen und bei Bedarf externe Unterstützung beiziehen.