Blog
Totalrevidiertes Datenschutzgesetz in der Schweiz: Überblick über die wichtigsten Änderungen per 1. September 2023
Am 1. September 2023 tritt die Totalrevision des Datenschutzgesetzes (nDSG) und die Ausführungsbestimmungen in der Datenschutzverordnung (nDSV) in Kraft. Nachfolgend gehen wir auf die aus unserer Sicht wichtigsten Neuerungen gegenüber dem bisherigen Recht ein, damit Unternehmen wissen, welche neuen Pflichten sie haben und welcher allfällige Handlungsbedarf für sie besteht.
Neuer Geltungsbereich und erweiterter Umfang (Art. 2 und 5 nDSG)
Künftig sind im revidierten schweizerischen Datenschutzgesetz wie bei der Datenschutzgrundverordnung der Europäischen Union (DSGVO) nur noch die Daten von natürlichen Personen betroffen, diejenigen von juristischen Personen hingegen nicht mehr. Neu gelten auch genetische und biometrische Daten als besonders schützenswerte Personendaten. Weitere Beispiele von besonders schützenswerten Personendaten sind u.a. religiöse und politische Ansichten, Gesundheitsdaten oder die Intimsphäre.
Einführung «Privacy by Design» und «Privacy by Default» (Art. 7 nDSG)
Die Grundsätze «Privacy by Design» (Datenschutz durch Technikgestaltung) und «Privacy by Default» (datenschutzfreundliche Voreinstellungen) sind ausdrücklich im Gesetz verankert. Unternehmen sind verpflichtet, die Datenbearbeitungsgrundsätze bereits bei der Planung und Ausgestaltung von Applikationen, wie zum Beispiel Apps oder Webseiten, zu berücksichtigen. Datenschutzeinstellungen sollten standardmässig neu so gesetzt sein, dass eine Datenbearbeitung auf das vorgesehene Mindestmass beschränkt wird und z.B. eine Einwilligung von Betroffenen, welche über die zwingend nötige Datenbearbeitung hinausgeht, nicht durch entsprechende Voreinstellungen zu erreichen. Zusammengefasst müssen sämtliche Software, Hardware sowie die Dienstleistungen von Unternehmen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer gewahrt wird.
Datenschutz-Folgenabschätzungen (Art. 22 nDSG)
Wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der von der Datenbearbeitung betroffenen Personen nach sich zieht, sind Unternehmen neu verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen. Die geplante Bearbeitung, die entstehenden Risiken sowie dagegen geeignete Massnahmen sind in diesem Zusammenhang näher zu beschreiben.
Ausweitung der Informationspflichten (Art. 19 ff. nDSG)
Im Vergleich zum geltenden Recht wurden die Informationspflichten für Unternehmen unter dem revidierten Datenschutzgesetz ausgeweitet, was in der Praxis grosse Relevanz haben wird. Die Unternehmen müssen die von der Datenbearbeitung Betroffenen neu über jede Datenbeschaffung angemessen informieren, wie z.B. mit Hilfe einer sogenannten Datenschutzerklärung. Bisher war eine solche Informationspflicht lediglich bei besonders schützenswerten Personendaten angezeigt. So müssen u.a. die Identität und die Kontaktdaten des Verantwortlichen als auch der Bearbeitungszweck selbst mitgeteilt werden (vgl. Art. 19 Abs. 2 nDSG). Eine Informationspflicht besteht dabei unabhängig davon, ob die Daten bei der betroffenen Person selbst oder Dritten beschafft werden.
Verzeichnis der Datenbearbeitungstätigkeiten (Art. 12 nDSG und Art. 24 nDSV)
Unternehmen müssen ein Verzeichnis der Datenbearbeitungstätigkeiten mit den vorgeschriebenen Angaben führen. Unternehmen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sind grundsätzlich von der Pflicht befreit, ein solches Verzeichnis der Bearbeitungstätigkeiten zu führen (für Ausnahmen von dieser Befreiung vgl. Art. 24 nDSV). Die Mindestangaben sind in Art. 12 Abs. 2 nDSG näher umschrieben.
Rasche Meldung von Datenschutzverletzungen an den EDÖB (Art. 24 nDSG)
Verletzungen der Datensicherheit, wie z.B. unbeabsichtigtes oder widerrechtliches Verlieren bzw. Löschen von Personendaten, müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zukünftig so rasch als möglich (Vergleich EU-DSGVO: Innerhalb von 72 Stunden) gemeldet werden, sofern diese Datenverletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Weiter informiert der Verantwortliche die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
Ausbau Auskunftsrechte (Art. 25 nDSG)
Jede betroffene Person hat das Recht vom Verantwortlichen Auskunft darüber zu verlangen, ob und welche Personendaten über sie bearbeitet werden. Der Inhalt der Auskunft ist neu ausführlicher als unter dem bisherigen Recht beschrieben (vgl. Art. 25 Abs. 2 nDSG). Somit ist es mit dem neuen Datenschutzgesetz für eine betroffene Person einfacher, von einem Unternehmen die Herausgabe der über sie bearbeiteten Personendaten zu verlangen.
Profiling
Der Begriff des Profiling, d.h. die automatisierte Datenbearbeitung, um bestimmte persönliche Aspekte einer Person wie z.B. wirtschaftliche Lage, Gesundheit, Interessen etc. zu bewerten, wurde in das nDSG aufgenommen. Im Unterschied zur DSGVO sieht das nDSG keine allgemeine Pflicht zur Einholung einer Einwilligung vor. Diese besteht nur bei Profiling mit hohem Risiko (vgl. Art. 5 lit. g nDSG).
Sanktionen (Art. 60 ff. nDSG)
Die handelnden natürlichen Personen, wie z.B. Geschäftsführer, Datenberater, Verwaltungsräte, können bei vorsätzlicher Verletzung – hierbei reicht Eventualvorsatz, d.h. ein in Kauf nehmen der tatsächlich eingetretenen Verletzung, aus – besonders wichtiger Pflichten (z.B. Informations-, Auskunfts- und Mitwirkungspflichten oder Sorgfaltspflichten) neu mit Busse bis CHF 250’000.00 bestraft werden. Im Unterschied zur DSGVO kann das Unternehmen selbst nur ausnahmsweise mit Busse bestraft werden, wenn die Ermittlung der verantwortlichen natürlichen Person mit unverhältnismässigem Aufwand verbunden wäre (vgl. Art. 64 nDSG).
Was sollten Unternehmen nun tun?
Das totalrevidierte Datenschutzgesetz und die dazugehörigen Ausführungsbestimmungen in der Datenschutzverordnung enthalten keine Übergangsfristen, weshalb die Unternehmen die neuen Datenschutzbestimmungen bis spätestens 1. September 2023 umgesetzt haben müssen. Vorab ist zu empfehlen, dass Unternehmen eine interne Bestandesaufnahme ihrer Bearbeitung von Personendaten durchführen, um so den Handlungsbedarf in Bezug auf das nDSG zu eruieren. Im Rahmen dieser Analyse sind insbesondere Auftragsbearbeitungen und der Transfer von Personendaten ins Ausland zu identifizieren und Verträge (insbesondere Auftragsverarbeitungsverträge) auf die Vorgaben des nDSG hin zu überprüfen und nötigenfalls anzupassen bzw. bei Nichtvorhandensein entsprechend abzuschliessen (datenschutzrechtliche Absicherung des Outsourcings und Datenexports). Diese interne Bestandesaufnahme sollte unabhängig von allenfalls bereits getroffenen Massnahmen im Zusammenhang mit der DSGVO erfolgen, da einige Unterschiede zwischen dem nDSG und der DSGVO auszumachen sind.
Unternehmen sollten Verantwortlichkeiten, Zuständigkeiten und Prozesse im Zusammenhang mit dem Datenschutz intern definieren und regeln. Dies umfasst bspw. auch ein Prozess zur Erfassung, Meldung und Bearbeitung von Verletzungen der Datensicherheit sowie zur Beantwortung von Auskunftsbegehren von betroffenen Personen betreffend der über sie gesammelten Daten. Solche Monitoring- und Reviewprozesse sind zur Gewährleistung der Datenschutzcompliance unabdingbar, um auch später hinzutretende oder geänderte Datenbearbeitungen entsprechend erfassen zu können. Im Weiteren sollte die Datenschutzerklärung in Bezug auf die neuen Vorgaben des nDSG hin überprüft und angepasst bzw. eine solche neu erstellt werden, sofern noch keine Datenschutzerklärung vorliegt. Letztlich steht und fällt ein effektiver Datenschutz mit den Mitarbeitenden, welche die datenschutzrechtlichen Vorgaben täglich leben. Dies gelingt nur, wenn diese betreffend Datenschutz auf allen Stufen entsprechend sensibilisiert und geschult werden, was auch eine Anpassung interner bestehender Weisungen mit sich bringt.
Unternehmen, die bereits die geltenden Regelungen der DSGVO umgesetzt haben, müssen nicht mit viel zusätzlichem Aufwand rechnen, um die Vorgaben des nDSG umzusetzen. Unterschiede in der Praxis sind beim nDSG vor allem bei der Informationspflicht, bei den Rechten der Betroffenen, bei der Meldung von Datenschutzverletzungen sowie bei der Ernennung eines Datenschutzbeauftragten auszumachen.
PETERER Rechtsanwälte Notare AG berät und unterstützt Sie in datenschutzrechtlichen Fragen im Zusammenhang mit dem neuen schweizerischen Datenschutzgesetz sowie prüft und erstellt die entsprechenden Dokumente für die Einhaltung bzw. Umsetzung der für Ihr Unternehmen gültigen Datenschutzbestimmungen.
© PETERER Rechtsanwälte Notare AG, Mai 2023