Blog
Überblick über das totalrevidierte Datenschutzgesetz der Schweiz (DSG)
Am 1. September 2023 sind die Totalrevision des Datenschutzgesetzes (DSG) und die Ausführungsbestimmungen in der Datenschutzverordnung (DSV) in Kraft getreten. Nachfolgend gehen wir auf die wesentlichsten Bestandteile des Gesetzes ein, wobei wir einen Fokus auf die datenschutzrechtlichen Pflichten von Unternehmen legen.
Zentrale Begriffe
Einleitend stellen wir die zentralen Begriffe des Datenschutzrechts vor:
- Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
- Besonders schützenswerte Personendaten: (unter anderem) Daten über die Gesundheit oder über religiöse und politische Ansichten.
- Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren (z.B. Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Löschen etc.).
- Betroffene Person: natürliche Person, über die Personendaten bearbeitet werden.
- Verletzung der Datensicherheit: eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, verändert, offengelegt oder vernichtet werden.
- Verantwortliche Person: private (juristische oder natürliche) Person, die über den Zweck und die Mittel der Bearbeitung entscheidet.
Bearbeitungsgrundsätze
Bei der Bearbeitung von Personendaten müssen gewisse Grundsätze eingehalten werden (vgl. Art. 6, 8 und 30 DSG):
- Rechtmässigkeit: die Bearbeitung muss in Einklang mit den geltenden Vorschriften und Gesetzen geschehen (z.B. das Recht am eigenen Bild).
- Zweckbindung: die Daten dürfen nur zu dem Zweck bearbeitet werden, für welchen sie erhoben wurden und welcher für die betroffene Person erkennbar ist.
- Treu und Glauben: die Bearbeitung hat transparent zu erfolgen (z.B. wem die Daten allenfalls mitgeteilt werden).
- Verhältnismässigkeit: die Bearbeitung darf nur so weit gehen, wie dies für den verfolgten Zweck nötig, geeignet und zumutbar ist. Daraus folgt ausserdem, dass Daten vernichtet oder anonymisiert werden müssen, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
- Richtigkeit: wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern.
- Informierte Einwilligung: sofern die Einwilligung erforderlich ist, muss diese nach angemessener Information freiwillig erfolgen. Bei der Bearbeitung von besonders schützenswerten Personendaten muss die Einwilligung zudem ausdrücklich erfolgen.
- Datensicherheit: der Verantwortliche gewährleistet durch geeignete technische und organisatorische Massnahmen («TOM») eine dem Risiko angemessene Datensicherheit. Diese TOM müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden (z.B. durch Verschlüsselungen, Passwörter, Firewalls, Pseudonymisierung etc.).
- Einschränkung der Datenweitergabe: besonders schützenswerte Personendaten dürfen Dritten (d.h. eigenständige Verantwortlichen, nicht Auftragsbearbeiter) nicht ohne Rechtfertigungsgrund bekanntgegeben werden.
- Opt-out-Prinzip: Personendaten dürfen nicht gegen den ausdrücklichen Willen der betroffenen Person bearbeitet werden. Wenn eine betroffene Person eine Datenbearbeitung nicht will, kann bzw. muss sie ihr ganz oder teilweise widersprechen.
Eine Missachtung dieser Grundsätze kann zu einer Persönlichkeitsverletzung führen, sofern kein Rechtfertigungsgrund vorliegt. Als Rechtfertigungsgrund kommen die Einwilligung der betroffenen Person, ein überwiegendes privates oder öffentliches Interesse (z.B. Bearbeitungen in unmittelbarem Zusammenhang mit einem Vertrag) oder eine gesetzliche Bestimmung in Frage.
Auftragsdatenbearbeitung (Art. 9 DSG)
Der Verantwortliche kann die Bearbeitung von Personendaten (vertraglich) an einen Auftragsbearbeiter (d.h. einen Dienstleister, z.B. IT-Dienstleister oder Payroll-Provider) übertragen. Dabei hat er sich zu vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Auftragsbearbeiter sind «Empfänger» im Sinne der Informationspflicht und müssen daher offengelegt werden (zumindest die Kategorien der Auftragsbearbeiter). Es wird empfohlen, einen schriftlichen Auftragsdatenbearbeitungsvertrag abzuschliessen (wird i.d.R. vom Dienstleister gestellt).
Der Auftragsbearbeiter darf die Personendaten nur so bearbeiten, wie es der Verantwortliche selbst tun darf. Ausserdem darf er weitere Unter-Auftragsbearbeiter nur mit vorgängiger Genehmigung des Verantwortlichen beiziehen.
Bekanntgabe ins Ausland (Art. 16 ff. DSG)
Als «Bekanntgabe» wird das Übermitteln oder Zugänglichmachen von Personendaten verstanden. Es genügt also, wenn jemand aus dem Ausland auf Daten in der Schweiz zugreifen kann. Auch wenn sich der Server, auf welchem die Daten gespeichert sind, im Ausland befindet, ist dies bereits eine Bekanntgabe ins Ausland. Unproblematisch ist die Bekanntgabe von Personendaten in ein Land, welches einen angemessenen Datenschutz gewährleistet (grundsätzlich trifft dies auf EU- und EWR-Länder zu). Sofern das Land keinen angemessenen Datenschutz aufweist, müssen zusätzliche Sicherheiten (z.B. Standardvertragsklauseln, US Data Privacy Framework etc.) eingeführt werden. Dies ist z.B. der Fall bei Bekanntgaben in die USA, Indien oder China.
Datenschutzrechtliche Pflichten des Verantwortlichen
Dem Verantwortlichen stellen sich bei der Bearbeitung von Personendaten verschiedene Pflichten. Im Folgenden werden diese vorgestellt.
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 7 DSG)
Datenbearbeitungen müssen technisch und organisatorisch so ausgestaltet werden, dass die Datenschutzvorschriften eingehalten werden (insbesondere die Bearbeitungsgrundsätze). Dabei ist dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko für die betroffene Person Rechnung zu tragen. Datenschutz durch Technik wird auch «Privacy by Design» genannt.
Der Verantwortliche muss mittels geeigneter Voreinstellungen («Privacy by Default») sicherstellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
Führung eines Bearbeitungsverzeichnisses (Art. 12 DSG)
Unternehmen (Verantwortliche) müssen ein Verzeichnis der Datenbearbeitungstätigkeiten mit den vorgeschriebenen Angaben führen. Unternehmen, die am 1. Januar eines Jahres weniger als 250 Mitarbeitende beschäftigen, sind von dieser Pflicht befreit, sofern sie nicht in grossem Umfang besonders schützenswerte Personendaten bearbeiten oder Profiling mit hohem Risiko betreiben. Nach eigener Aussage wird der Eidgenössische Datenschutz- und
Öffentlichkeitsbeauftragte («EDÖB») grosses Gewicht auf dieses Verzeichnis legen.
Das Verzeichnis muss über folgendes Auskunft geben:
- Identität des Verantwortlichen
- Bearbeitungszweck
- Beschreibung der Kategorien betroffener Personen (z.B. «Patienten», «Kunden», «Mitarbeiter» etc.) und der Kategorien bearbeiteter Personendaten (z.B. «Gesundheitsdaten», «Kontaktdaten», «Leistungsbeurteilungen» etc.)
- Kategorien der Empfänger
- Aufbewahrungsdauer oder die Kriterien zur Festlegung dieser Dauer
- Allgemeine Beschreibung der TOM
- bei Bekanntgabe ins Ausland: Staat und – falls nötig – die Garantien zum Schutz der Daten
Informationspflicht (Art. 19 DSG)
Die Informationspflicht ist eine der zentralen Pflichten, um einen angemessenen Datenschutz zu gewährleisten. Der Verantwortliche hat die betroffene Person (z.B. Kunden, Mitarbeiter, Bewerber, Webseitenbesucher etc.) angemessen über die Beschaffung von Personendaten zu informieren. Die Information erfolgt in der Regel durch eine Datenschutzerklärung (z.B. auf der Webseite, durch Abgabe an die Kunden oder die Mitarbeiter etc.). Die Informationspflicht gilt auch, falls die Daten nicht bei der betroffenen Person selbst, sondern bei Dritten beschafft werden.
Folgende Informationen müssen mitgeteilt werden:
- Identität und Kontaktdaten des Verantwortlichen
- Bearbeitungszweck
- Kategorien der Empfänger (falls Daten bekanntgegeben werden)
- Bei Bekanntgabe ins Ausland: Staat und – falls nötig – die Garantien zum Schutz der Daten
- Bei Beschaffung bei Dritten: Kategorien der bearbeiteten Daten
Datenschutz-Folgenabschätzung (Art. 22 DSG)
Sofern eine geplante Datenbearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Person mit sich bringen kann, hat der Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung («DSFA») zu erstellen. Ein hohes Risiko ist immer dann gegeben, wenn umfangreich besonders schützenswerte Personendaten (also z.B. Gesundheitsdaten) bearbeitet werden. Die DSFA dient der Sicherstellung und dem Nachweis der Einhaltung der Datenschutzvorschriften durch den Verantwortlichen. Im Rahmen einer DSFA müssen die geplanten Bearbeitungen beschrieben, die Risiken für die Persönlichkeit der betroffenen Person bewertet und die Massnahem zum Schutz der Persönlichkeit aufgezeigt werden. Ergibt sich aus der DSFA, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohse Risiko für die Persönlichkeit der betroffenen Person zur Folge hat, so holt der Verantwortliche vorgängig die Stellungnahme des EDÖB ein.
Meldungen von Verletzungen der Datensicherheit (Art. 24 DSG)
Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit der betroffenen Person führen, sind so rasch als möglich dem EDÖB zu melden. Während die Meldung in der EU innert 72 Stunden erfolgen muss, gibt das DSG keine spezifische Frist vor. Jedoch sollte man sich auch in der Schweiz nicht mehr als 72 Stunden Zeit lassen für die Meldung an den EDÖB. Ausserdem informiert der Verantwortliche die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
Beispiele von Verletzungen der Datensicherheit sind Hacker-Angriffe oder das Liegenlassen eines Laptops mit Personendaten im Zug. Der Verantwortliche hat sicherzustellen, dass solche Verletzungen der Datensicherheit erkannt und rechtzeitig gemeldet werden (daher z.B. auch Schulung der Mitarbeiter).
Auskunftsrecht (Art. 25 DSG)
Jede betroffene Person hat das Recht vom Verantwortlichen Auskunft darüber zu verlangen, ob Personendaten über sie bearbeitet werden. Der Verantworliche hat die Person zu identifizieren und i.d.R. innert 30 Tagen kostenlos Auskunft zu erteilen. Der Verantwortliche hat sicherzustellen, dass solche Anfragen zeitnah erkannt und den gesetzlichen Vorschriften entsprechend behandelt werden (daher z.B. auch Schulung der Mitarbeiter und Erlass interner Richtlinien). Folgende Informationen müssen mitgeteilt werden:
- Identität und Kontaktdaten des Verantwortlichen
- Die bearbeiteten Personendaten als solche
- Bearbeitungszweck
- Aufbewahrungsdauer oder Kriterien zu deren Festlegung
- Angaben über die Herkunft (soweit nicht bei der betroffenen Person direkt beschafft)
- Kategorien der Empfänger
Konsequenzen bei Verletzung der Datenschutzvorschriften
Verletzungen der Datenschutzvorschriften können Persönlichkeitsverletzungen darstellen und somit zivilrechtliche Konsequenzen (Unterlassung, Beseitigung und Schadenersatz) zur Folge haben. Ausserdem können Verletzungen auch strafrechtliche Konsequenzen nach sich ziehen (Busse bis zu CHF 250’000). Die strafrechtlichen Konsequenzen sind grundsätzlich von natürlichen Personen zu tragen (i.d.R. die Geschäftsleitung oder der Verwaltungsrat). Dazu muss eine (eventual-) vorsätzliche Tatbegehung vorliegen, d.h. mindestens ein in Kauf nehmen der tatsächlich eingetretenen Verletzung. Unter gewissen Umständen (Busse < CHF 50’000 und Ermittlung der verantwortlichen Person wäre unverhältnismässig) kann die Busse auf das Unternehmen überwälzt werden.
Die Verletzung folgender Pflichten bzw. Bestimmungen des revidierten DSG kann zu einer Busse führen:
- Keine angemessene Datensicherheit nach Art. 8 DSG
- Beauftragung eines Auftragsbearbeiters, ohne dass die Voraussetzungen von Art. 9 DSG eingehalten sind
- Bekanntgabe von Personendaten ins Ausland, ohne dass die Voraussetzungen von Art. 16 DSG eingehalten sind
- Nichterfüllung der Informationspflichten gemäss Art. 19 DSG
- Verletzung des Auskunftsrechts gemäss Art. 25 DSG
- Verletzung der Mitwirkungspflichten in Untersuchungsverfahren des EDÖB
Handlungsbedarf
Vorab ist zu empfehlen, eine interne Bestandesaufnahme der Bearbeitungen von Personendaten durchführen. Aufgrund dieser Erkenntnisse kann aus den verschiedenen datenschutzrechtlichen Grundsätzen und Pflichten der unternehmensspezifische Handlungsbedarf abgeleitet werden. Im Rahmen dessen empfiehlt es sich, interne Verantwortlichkeiten, Zuständigkeiten und Prozesse im Zusammenhang mit dem Datenschutz klar zu definieren und regeln.
Letztlich steht und fällt ein effektiver Datenschutz mit den Mitarbeitenden, welche die datenschutzrechtlichen Vorgaben täglich leben. Dies gelingt nur, wenn diese betreffend Datenschutz auf allen Stufen entsprechend sensibilisiert und geschult werden.
Im Anhang findet sich eine grobe Übersicht über die allenfalls notwendigen oder empfohlenen Massnahmen im Sinne einer Datenschutz-Checkliste. Diese kann als Unterstützung bei der Einschätzung des unternehmensspezifischen Handlungsbedarfs dienen.
PETERER Rechtsanwälte Notare AG berät und unterstützt Sie in datenschutzrechtlichen Fragen im Zusammenhang mit dem revidierten schweizerischen Datenschutzgesetz und prüft und erstellt die entsprechenden Dokumente für die Einhaltung bzw. Umsetzung der für Ihr Unternehmen gültigen Datenschutzbestimmungen.
© PETERER Rechtsanwälte Notare AG, September 2023
Datenschutz-Checkliste
| Massnahmen/Dokumente | Notwendigkeit |
|---|---|
| Internes Merkblatt zum Datenschutz | Empfohlen |
| Bearbeitungsverzeichnis | Zwingend für: Unternehmen mit mehr als 250 Mitarbeitenden oder Unternehmen, die in grossem Umfang besonders schützenswerte Personendaten bearbeiten oder Profiling mit hohem Risiko betreiben |
| Bearbeitungsreglement | Zwingend für: Unternehmen, die automatisierte Bearbeitung von besonders schützenswerten Personendaten in grossem Umfang oder Profiling mit hohem Risiko betreiben |
| Datenschutzerklärungen (Website, Mitarbeitende, Patienten etc.) | Zwingend |
| Merkblatt zum Umgang mit Betroffenenbegehren | Empfohlen |
| Auftragsbearbeitungsverträge | Zwingend |
| Standardvertragsklauseln | Zwingend bei Bekanntgabe von Daten in einen Staat, in welchem kein angemessenes Datenschutzniveau herrscht |
| Datenschutz-Folgenabschätzung | Zwingend für: Unternehmen, die in grossem Umfang besonders schützenswerte Personendaten bearbeiten oder systematisch umfangreiche öffentliche Bereiche überwachen |
| Technische und organisatorische Massnahmen (TOM) zur Gewährleistung der Datensicherheit | Zwingend |
| Dokumentierung der technischen und organisatorischen Massnahmen (TOM) | Empfohlen |
| Protokollierung der Datenbearbeitung | Zwingend für: Unternehmen, die automatisierte Bearbeitung von besonders schützenswerten Personendaten in grossem Umfang oder Profiling mit hohem Risiko betreiben, sofern präventive Massnahmen den Datenschutz nicht gewährleisten |
| Prozess für die Erkennung und Meldung von Verletzungen der Datensicherheit | Zwingend |
| Merkblatt zum Prozess für die Erkennung und Meldung von Verletzungen der Datensicherheit | Empfohlen |
| Merkblatt mit Aufbewahrungsfristen und Löschprozessen pro Datenkategorie | Empfohlen |