Mit dem Inkrafttreten des revidierten Datenschutzgesetzes (revDSG) am 1. September 2023 ergeben sich neue Anforderungen an Schweizer Unternehmen und deren Datenschutzmaßnahmen. Das aktualisierte DSG wurde insbesondere an den technischen Fortschritt angepasst und soll den Schutz von Personendaten in Zukunft verbessern. Das neue Gesetz stärkt die Selbstbestimmung und erhöht die Transparenz bei der Beschaffung von Personendaten. Das revidierte Gesetz verschärft die Vorschriften für Unternehmen und zwingt sie, ihre bestehenden Datenschutzrichtlinien und -konzepte anzupassen. Wir haben die wichtigsten Änderungen hier zusammengefasst.
Das revidierte DSG gilt nur noch für Daten von natürlichen Personen, juristische Personen sind nicht mehr durch das DSG geschützt. Schweizer Unternehmen und internationale Organisationen, die Personendaten von in der Schweiz ansässigen Personen bearbeiten und grenzüberschreitende Transaktionen durchführen, müssen das revidierte DSG anwenden. Der Anwendungsbereich der revidierten DSG entspricht in dieser Hinsicht demjenigen der DSGVO, die sich ebenfalls nur auf den Schutz der Privatsphäre natürlicher Personen in Bezug auf ihre personenbezogenen Daten konzentriert.
Private Unternehmen haben die Möglichkeit, einen Datenschutzbeauftragten zu ernennen, der entweder ein Angestellter oder ein Externer des Unternehmens sein kann. Im Gegensatz zur europäischen Datenschutz-Grundverordnung sind private Unternehmen nicht gesetzlich verpflichtet, Berater zu ernennen, und nur Bundesbehörden sind dazu angehalten. Der Datenschutzbeauftragte muss eine unabhängige Beratung in Datenschutzfragen leisten und jegliche Beeinflussung durch andere Unternehmensaktivitäten vermeiden. Es wird empfohlen, die datenschutzrechtliche Beratung von der sonstigen rechtlichen Beratung und Vertretung zu trennen. In Situationen, in denen es zu Meinungsverschiedenheiten kommt, sollte der Datenschutzbeauftragte die Möglichkeit haben, seine Bedenken gegenüber der Unternehmensleitung vorzubringen.
Das revidierte DSG erweitert zudem die Auskunftspflicht. In diesem Fall wird die betroffene Person bei jeder Erhebung von Personendaten vorgängig informiert. Das alte Recht sah eine Informationspflicht nur vor, wenn besonders schützenswerte Personendaten erhoben wurden. Zumindest müssen die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen, der Zweck der Verarbeitung und die Kategorien von Empfängern mitgeteilt werden. Wenn Daten ins Ausland fließen, muss diese Tatsache sowie weitere Informationen wie die vorliegende Datenschutzregelung kommuniziert werden.
Eine wichtige Änderung betrifft die Liste der so genannten sensiblen Daten, zu denen in Zukunft auch genetische und biometrische Daten gehören werden. Genetische Daten, die aus biologischen Proben gewonnen werden können, geben Aufschluss über die genetischen Merkmale einer Person, z. B. über ihre Gesundheit. Beispiele hierfür sind DNA-Analysen und ähnliche Tests. Biometrische Daten ermöglichen die eindeutige Identifizierung von Personen. Beispiele hierfür sind Gesichtsbilder oder Fingerabdrücke.
Neu in das Gesetz aufgenommen wurde auch der Begriff Profiling, also die automatisierte Auswertung von personenbezogenen Daten. Wenn in einem Profil einzigartige Merkmale einer Person identifiziert werden können, handelt es sich um risikoreiches Profiling. Hierfür muss immer vorher die ausdrückliche Zustimmung der betroffenen Person eingeholt werden.
Was die Dokumentationspflicht betrifft, so ist nun auch ein umfassendes Verzeichnis der Verarbeitungstätigkeiten verpflichtend, mit Ausnahme von kleinen und mittleren Unternehmen mit weniger als 250 Beschäftigten. Eine weitere Ausnahme gilt für Unternehmen, deren Datenverarbeitung ein geringes Risiko für die Verletzung des Schutzes personenbezogener Daten darstellt. Das Register ist eine Bestandsaufnahme aller Datenverarbeitungstätigkeiten, die zur Transparenz beiträgt und hilft festzustellen, ob die Datenverarbeitung rechtmäßig war. Art und Umfang der verarbeiteten personenbezogenen Daten sowie deren Empfänger müssen ebenfalls angegeben werden.
Eine weitere wichtige Ergänzung ist die Datenschutz-Folgenabschätzung. Diese wird relevant, sobald ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht. Eine Datenschutz-Folgenabschätzung beinhaltet eine Bewertung des potenziellen Schadens, der durch mangelnde Datensicherheit entstehen könnte. Ziel ist es, diejenigen Prozesse, die mit einem hohen Risiko behaftet sind, mit zusätzlichen Schutzmaßnahmen auszustatten, um den möglichen Schaden zu reduzieren.
Das neue DSG ermutigt Berufs-, Handels- und Wirtschaftsverbände, eigene Verhaltenskodizes zu formulieren und sie dem EDÖB zur Überprüfung vorzulegen. Die Stellungnahmen des EDÖB zu diesen Kodizes werden dann veröffentlicht und können Einwände oder Empfehlungen für Änderungen oder Klarstellungen enthalten. Organisationen, die eine positive Stellungnahme des EDÖB erhalten, können davon ausgehen, dass das in ihrem Kodex festgelegte Verhalten mit dem Datenschutzrecht übereinstimmt. Zu allgemein gehaltene Kodizes entbinden die Organisationen jedoch nicht von allfälligen Risiken, die nicht detailliert beschrieben sind. Durch die Einhaltung eines Verhaltenskodexes können die Verbandsmitglieder vermeiden, eigene Hilfestellungen und Richtlinien zur Einhaltung des neuen DSG zu entwickeln. Eine solche Selbstregulierung hat den Vorteil, dass die für die Datenverarbeitung Verantwortlichen keine eigene Datenschutz-Folgenabschätzung durchführen müssen, wenn sie sich an einen Verhaltenskodex halten, der auf einer früheren Datenschutz-Folgenabschätzung beruht, weiterhin gültig ist, Maßnahmen zum Schutz der Privatsphäre und der Grundrechte enthält und vom EDÖB genehmigt wurde.
Das neue DSG erlaubt neu nicht nur die Zertifizierung von Managementsystemen und Produkten, sondern auch von Dienstleistungen und Prozessen. Diese Zertifizierung dient den Unternehmen als Nachweis, dass sie den Grundsatz des „privacy-by-default“ einhalten und über ein angemessenes Datenschutzmanagementsystem verfügen. Durch den Einsatz eines zertifizierten Systems, Produkts oder Dienstes werden die für die private Datenverarbeitung Verantwortlichen von der Erstellung einer Datenschutz-Folgenabschätzung befreit. Der Bundesrat hat mit einer Verordnung, der so genannten Datenschutz-Zertifizierungsverordnung, zusätzliche Regelungen zum Zertifizierungsprozess und zu den Gütesiegeln eingeführt.
Eine weitere wichtige Neuerung ist das Recht, Auskunft über die verarbeiteten Personendaten zu verlangen. Die neue Gesetzesnovelle enthält eine Mindestliste von Informationen, die der für die Datenverarbeitung Verantwortliche übermitteln muss, z.B. wie lange die personenbezogenen Daten gespeichert werden. Im Allgemeinen müssen die betroffenen Personen die Informationen so transparent und umfassend wie möglich erhalten, um ihre Rechte geltend machen zu können. Wie bisher hat der für die Datenverarbeitung Verantwortliche das Recht, unter bestimmten Umständen Informationen zu verweigern, einzuschränken oder zurückzuhalten. Dies kann zum Beispiel der Fall sein, wenn die Anfrage offensichtlich unbegründet und übertrieben ist. Allerdings müssen dann auch die Gründe für eine Ablehnung mitgeteilt werden.
Betroffene Personen haben nun das Recht, ihre personenbezogenen Daten von einem privaten für die Verarbeitung Verantwortlichen in einem gängigen und maschinenlesbaren Format anzufordern oder sie an einen Dritten zu übermitteln. Der für die Verarbeitung Verantwortliche muss die Daten in automatisierter Form und mit Einwilligung der betroffenen Person verarbeiten oder wenn dies in direktem Zusammenhang mit einem Vertrag steht. Dieses Recht ist unentgeltlich, es sei denn, die Offenlegung oder Übermittlung erfordert einen unverhältnismäßigen Aufwand oder unverhältnismäßige Kosten. Ein Beispiel hierfür könnten Kommunikationsdaten sein, bei denen eine Triage erforderlich ist, um die Aussagen der betroffenen Person von denen Dritter zu trennen, was zeitaufwendig sein kann.
Neuerdings ist auch eine sofortige Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) im Falle einer Datenschutzverletzung erforderlich. Die Meldepflicht gilt für jede Datenpanne und erfordert nicht nur eine Meldung an den Datenschutzbeauftragten, sondern auch an die betroffenen Personen, deren Daten nicht mehr sicher sind. Die betroffenen Personen müssen jedoch nur benachrichtigt werden, wenn ihre persönlichen oder grundlegenden Rechte infolge der Datenverletzung beeinträchtigt werden.
Besonders relevant für Unternehmen, die im Ausland tätig sind, ist ein weiterer Artikel des revidierten DSG, der vorsieht, dass Daten im Ausland nur bekannt gegeben werden dürfen, wenn der Bundesrat bestätigt, dass die Gesetzgebung des ausländischen Staates einen ausreichenden Schutz gewährleistet. Die bisherige, vom EDÖB veröffentlichte Liste ist öffentlich auf der Website der EDÖB einsehbar. Ist das Zielland nicht auf der Liste des Bundesrates aufgeführt, können die Daten wie nach bisherigem Recht dorthin übermittelt werden, sofern ein angemessener Schutz auf andere Weise gewährleistet ist. Beispiele für solche Mittel sind internationale Verträge, dem EDÖB mitgeteilte Datenschutzklauseln oder verbindliche Unternehmensregeln. Standardvertragsklauseln, die von der Europäischen Kommission unter GDPR genehmigt wurden, werden vom EDÖB ebenfalls anerkannt.
Das DSG geht weiter als die DSGVO, indem es vorschreibt, dass die betroffenen Personen über die Länder informiert werden müssen, die an der grenzüberschreitenden Weitergabe von Personendaten beteiligt sind, einschließlich der Speicherung auf ausländischen Systemen (Cloud), unabhängig davon, ob diese einen angemessenen Datenschutz bieten. Darüber hinaus muss bei der Offenlegung angegeben werden, welche Datenschutzgarantien (z. B. EU-Standardvertragsklauseln) oder Ausnahmen der für die Verarbeitung Verantwortliche ggf. in Anspruch nimmt. Auch hier geht das revDSG einen Schritt weiter als die EU-Datenschutz-Grundverordnung.
Darüber hinaus gelten die Grundsätze des eingebauten und des Standard-Datenschutzes, die von den Entwicklern verlangen, den Datenschutz von Anfang an in die Struktur von Produkten und Diensten einzubauen. Der Grundsatz des „eingebauten Datenschutzes“ gewährleistet, dass bereits bei der Markteinführung eines Produkts oder Dienstes ein Höchstmaß an Sicherheit gegeben ist. Software, Hardware und Dienste müssen daher so konfiguriert werden, dass sie Daten schützen und die Privatsphäre der Nutzer wahren.
Schließlich sieht das revidierte Datenschutzgesetz eine Anpassung der Bussen für natürliche Personen vor, die für Bearbeitungstätigkeiten verantwortlich sind. Konkret geht es um Bussen von bis zu 250’000 Franken pro Verstoß, wenn die Informations- und Auskunftspflichten sowie gewisse Sorgfaltspflichten vorsätzlich verletzt werden. Für die Durchsetzung der strafrechtlichen Sanktionen sind die kantonalen Strafverfolgungsbehörden zuständig. Auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz sind möglich.
Neben den bereits bekannten Anpassungen zum 1. September 2023 ist schon heute absehbar, dass sich das DSG auch in Zukunft weiter der Datenschutz-Grundverordnung annähert. Zum einen um die Rechte der Schweizer Bürgerinnen und Bürger zu stärken, zum anderen um den wirtschaftlichen Austausch mit der EU zu vereinfachen. Um den mittel- und langfristigen Anforderungen gerecht zu werden, ist es sinnvoll, sich mit einem starken Partner für den digitalen Datenschutz zusammenzutun. Ein solcher weiß, wie die Prozesse aus dem neuen Gesetz umgesetzt und digitalisiert werden können, schafft aber auch ein Bewusstsein für künftige regulatorische Änderungen und gibt Ihnen die Chance, entsprechende Projekte frühzeitig und rechtssicher abzuschließen.