Einleitung
Der Bundesrat (BR) hat die vom Parlament beschlossene Revision des Datenschutzgesetzes (DSG) per 01.09.2023 in Kraft gesetzt.
Wir berichteten:
Agenda
- Einleitung
- Revisionspunkte
- Grundlage
- Geltungsbereich
- Betroffene Unternehmen
- Weitergeltung bisheriger DSG-Grundsätze
- Neue Instrumente
- Neuerungen
- Datenschutzerklärung
- Datenbearbeitungsverzeichnis
- Auftragsbearbeitung der Daten
- Sicherungsmassnahmen
- Betroffenenrechte
- Meldung einer Datenschutzverletzung («Data Breach Notification»)
- Strafbestimmungen
- Wichtigste DSG-Massnahmen
- Fazit
Revisionspunkte
Ab 01.09.2023 gelten für alle Unternehmen erhöhte
- Auskunftspflichten
- Informationspflichten
- Meldepflichten.
Die meisten Unternehmen haben sich auf die neuen Anforderungen an den Datenschutz vorbereitet. Die Compliance kennt die Thematas auch.
Generell gilt, die Datenbearbeitungen festhalten, die Auskunfts- und Informationspflichten erfüllen sowie den korrekten Ablauf der Datenprozesse sicherzustellen.
Gleichwohl sollen die wesentlichen Punkte vor dem Inkrafttreten in Erinnerung gerufen werden.
Überblick „Begriffe und Funktionen“
- Personendaten
- = Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (revDSG 5 lit. a)
- Betroffene Person
- = direkt identifizierbare natürliche Person (revDSG 5 lit. b)
- Bearbeiten
- = Behandlung von Personendaten, unabhängig von den dabei verwendeten Verfahren und Mitteln (Datenbeschaffung, Datenspeicherung, Datenaufbewahrung, Datenverwendung, Datenveränderung, Datenbekanntgabe, Datenarchivierung, Datenlöschung oder Datenvernichtung)
- Verantwortlicher
- = private Person, die allein oder zusammen mit anderen über den Zweck und die Mittel der Datenbearbeitung entscheidet (revDSG 5 lit. j)
- Auftragsbearbeiter
- = Person, die im Auftrag des Verantwortlichen Daten bearbeitet (revDSG 5 lit. k)
Grundlage
Datenschutzgesetz (DSG), gültig ab 01.09.2023
Geltungsbereich
Die wesentlichste Änderung des DSG ist der geänderte Geltungsbereich. Neu gibt es im revidierten Datenschutzgesetz (revDSG) zudem einen räumlichen Geltungsbereich (revDSG 3).
- Persönlicher und sachlicher Geltungsbereich
- Das revDSG bringt folgende Neuigkeit
- Kein Schutz mehr für die Personendaten juristischer Personen
- Schutz nur noch der Personendaten natürlicher Personen
- Das revDSG bringt folgende Neuigkeit
- Räumlicher Geltungsbereich
- Es gilt neu das sog. Auswirkungsprinzip»:
- Das revDSG soll nur auf Sachverhalte wirken, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst wurden.
- Es gilt neu das sog. Auswirkungsprinzip»:
Betroffene Unternehmen
Von der Datenschutz-Novelle sind betroffen
- alle Unternehmen mit Sitz in der Schweiz oder
- alle Unternehmen mit sich in der Schweiz auswirkender Datenbearbeitung.
Rechtsform, Grösse und Tätigkeitsbereich des Unternehmens sind für die Betroffenheit ohne Belang.
Weitergeltung bisheriger DSG-Grundsätze
Die bisherigen Grundsätze des DSG bleiben bestehen:
- Prinzip, wonach für die Bearbeitung von Personendaten im privaten Bereich (im Gegensatz zur Bearbeitung durch Bundesorgane) grundsätzlich weder eine Einwilligung noch ein Rechtfertigungsgrund erforderlich sind.
- Prinzip, wonach die Datenvernichtung (bzw. datenschutzkonforme Löschung) oder Anonymisierung erfolgen soll, sobald die Daten zum Bearbeitungszweck nicht mehr erforderlich sind.
Diese Grundsätze ergaben sich und ergeben sich aus der Notwendigkeit der Verhältnismässigkeit der Datenbearbeitung.
Überblick „Bisherige Datenschutzgrundsätze“
- Grundsatz der Rechtmässigkeit
- = Die Daten dürfen nur rechtmässig bearbeitet werden (revDSG 6 Abs. 1)
- Grundsatz von Treu und Glauben sowie Verhältnismässigkeit
- = Die Daten sollen nur bearbeitet werden, wenn sie für den vorausgesetzten Gebrauch geeignet und erforderlich sind (revDSG 6 Abs. 2)
- Grundsatz von Zweckbindung und Transparenz
- = Die Datenbeschaffung, Datenverarbeitung, Datenanonymisierung und -vernichtung haben mit dem für die betroffene Person erkennbaren Zweck vereinbar zu sein (revDSG 6 Abs. 3 + 4)
- Grundsatz der Richtigkeit
- = Das Unternehmen hat sich über die Datenrichtigkeit zu vergewissern und Massnahmen zur Berichtigung oder Löschung unrichtiger oder unvollständiger Daten vorzusehen (revDSG 6 Abs. 5)
- Grundsatz der Datensicherheit
- = Der Verantwortliche und der Auftragsbearbeiter haben Datenschutzverletzungen durch geeignete, dem Risiko angemessene, organisatorische und technische Vorkehren vorzubeugen.
Neue Instrumente
Das revDSG führt folgende neue Instrumente ein:
- Datenbearbeitungsverzeichnis (auch: Verzeichnis der Bearbeitungstätigkeiten)
- Datenschutz-Folgenabschätzung (DSFA)
- Meldung von Datenschutzverletzungen („Data Breach Notification“)
Neuerungen
Die wichtigsten Neuerungen sollen kurz angesprochen werden:
- Datenschutzerklärung
- Verwendungspflicht
- Die Formulierung und Verwendung einer Datenschutzerklärung wird nun auch unter dem revidierten DSG wegen der erweiterten Informationspflichten notwendig werden.
- Inhalt
- Das DSG verlangt neu, dass den betroffenen Personen bei Beschaffung von Personendaten folgende Angaben mitgeteilt werden müssen:
- Identität und Kontaktdaten des Verantwortlichen
- Bearbeitungszweck
- ggf. Kategorien der Empfänger und der Daten
- Bei Bekanntgabe der Personendaten ins Ausland
- die Empfängerstaaten
- allf. Schutzvorkehrungen.
- Das DSG verlangt neu, dass den betroffenen Personen bei Beschaffung von Personendaten folgende Angaben mitgeteilt werden müssen:
- Veröffentlichung
- Die Datenschutzerklärung wird in der Regel auf der Unternehmens-Homepage aufgeschaltet.
- Verwendungspflicht
- Datenbearbeitungsverzeichnis (auch: Verzeichnis der Bearbeitungstätigkeiten)
- Inventar der Bearbeitungstätigkeiten
- Das revDSG verlangt die Führung eines Verzeichnisses, welches die verschiedenen Bearbeitungstätigkeiten erfasst.
- Format
- Das revDSG überlässt die Ausgestaltung und Führung des Bearbeitungsverzeichnisses dem Unternehmen:
- Excel-Tabelle
- Eigens für das revDSG entwickeltes Tool
- Das revDSG überlässt die Ausgestaltung und Führung des Bearbeitungsverzeichnisses dem Unternehmen:
- Mindestinhalt
- Der Mindestinhalt des Bearbeitungsverzeichnisses wird vom revDSG vorgegeben:
- Identität des Verantwortlichen oder Auftragsdatenbearbeiters
- Zweck der Bearbeitung
- Kategorien der betroffenen Personen
- Kategorien der bearbeiteten Personendaten
- Kategorien der Empfänger
- Aufbewahrungsdauer resp. Datenschutzmassnahmen
- Empfängerstaaten
- Angabe betreffend Schutzmassnahmen.
- Der Mindestinhalt des Bearbeitungsverzeichnisses wird vom revDSG vorgegeben:
- Datentransfer ins Ausland
- Transfer in sichere Staaten
- Das revDSG erlaubt es, Personendaten ins Ausland bekanntzugeben, wenn die Gesetzgebung des betreffenden Staates ein angemessenes Schutzniveau gewährleistet.
- Transfer in unsichere Drittstaaten
- Ein Datentransfer in sog. «unsichere» Drittstaaten» ist nur zulässig,
- wenn ein gleichwertiger Datenschutzausgleich sichergestellt ist.
- Folgende besondere Schutzvorkehrungen gelten als anerkannt:
- die vom EDÖB genehmigten Standard-Vertragsklauseln oder
- sog. «Binding Corporate Rules (BCR)».
- Ein Datentransfer in sog. «unsichere» Drittstaaten» ist nur zulässig,
- BR-Sicherheitsqualifikationen
- Der Bundesrat bestimmt, welche Länder als sicher gelten.
- Transfer in sichere Staaten
- Inventar der Bearbeitungstätigkeiten
- Auftragsbearbeitung der Daten
- Datenschutz-Folgenabschätzung (DFSA)
- Der Verantwortliche muss eine Datenschutz-Folgenabschätzung (DSFA) erstellen, wenn bei Personendatenbearbeitungen ein hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen erkennbar ist.
- Die DSFA ist ein Instrument um datenschutzrechtliche Risiken erfassen, bewerten und behandeln.
- Outsourcing
- Wer als Verantwortlicher einem Dritten (zB Dienstleister) die Bearbeitung von Personendaten überträgt, hat sich vertraglich abzusichern.
- Dienstleistungsvertrag
- Der Verantwortliche muss mit diesem Dienstleister ein Vertrag abschliessen, der folgende Kautelen zG des Auftraggebers enthält:
- Weisungsrechte
- Kontrollrechte gegenüber dem Dritten
- Gewährleistung der Datensicherheit
- Zustimmungsrecht des Auftraggebers bei Unterbeauftragung an einen Subunternehmer (neu)
- Der Verantwortliche muss mit diesem Dienstleister ein Vertrag abschliessen, der folgende Kautelen zG des Auftraggebers enthält:
- Datenschutz-Folgenabschätzung (DFSA)
- Sicherheitsmassnahmen
- Technische und organisatorische Datenschutzmassnahmen
- Es gelten folgende Prinzipien:
- Datenschutz durch Technik (Privacy by Design)
- Datenschutzfreundliche Voreinstellungen (Privacy by Default)
- Es gelten folgende Prinzipien:
- Pflicht des Verantwortlichen
- Das revDSG sieht vor, dass der Verantwortliche bemüht sein muss, angemessene technische und organisatorische Datenschutzmassnahmen zu treffen.
- Technische und organisatorische Datenschutzmassnahmen
- Betroffenenrechte
- Auskunfts- und Widerspruchsrecht
- Unter dem revDSG haben betroffene Personen das Recht,
- Auskunft über ihre Daten und Korrekturen derselben zu verlangen;
- einer Daten-Bearbeitung zu widersprechen.
- Unter dem revDSG haben betroffene Personen das Recht,
- Auskunftsfrist 30 Tage
- Im Falle eines Auskunftsersuchens muss das Unternehmen innert 30 Tagen antworten.
- «Datenportabilität»
- Das revDSG gibt dem Betroffenen ein Recht auf Datenherausgabe bzw. -übertragung («Datenportabilität»):
- Unter gewissen Bedingungen kann der Betroffene die Herausgabe resp. Übertragung seine Personendaten in einem gängigen elektronischen Format verlangen.
- Das revDSG gibt dem Betroffenen ein Recht auf Datenherausgabe bzw. -übertragung («Datenportabilität»):
- Kostenfreiheit
- Die Geltendmachung der Betroffenenrechte ist grundsätzlich kostenfrei.
- Auskunfts- und Widerspruchsrecht
- Meldung einer Datenschutzverletzung («Data Breach Notification»)
- Benachrichtigung über Datenschutzverletzung an EDÖB
- Gemäss revDSG hat der Verantwortliche dem EDÖB eine Datenschutzverletzung so rasch als möglich zu melden, sofern und soweit ein hohes Risiko für die Betroffenen besteht.
- Information der Betroffenen
- Zusätzlich müssen sie die Betroffenen informieren, wenn dies zu deren Schutz erforderlich ist, zB zur Änderung von Zugangsdaten.
- Es empfiehlt sich, eine konkrete Stelle im Unternehmen zu bestimmen, an welche Mitarbeiter Vorfälle melden müssen.
- Benachrichtigung über Datenschutzverletzung an EDÖB
- Strafbestimmungen
- Untersuchungsfokus vs. Verantwortlichen
- Das Untersuchungsverfahren wegen Verstössen gegen datenschutzrechtliche Bestimmungen richtet sich grundsätzlich gegen die für die betreffende Datenbearbeitung verantwortliche Person (und nicht gegen das Unternehmen).
- Bestrafung
- Die Strafbestimmungen sind im revDSG deutlich verschärft worden.
- Der Strafrahmen für Datenschutzverstösse wurde neu auf CHF 250’000.00 erhöht (vgl. revDSG 60 ff.)
- Untersuchungsfokus vs. Verantwortlichen
Überblick „Rechte“
- Auskunftsrechte
- = Recht auf Datenbekanntgabe des Betroffenen (revDSG 25), damit ihm ermöglicht wird, die auf ihn bezogenen und bearbeiteten Daten zu kontrollieren und die Einhaltung der datenschutzrechtlichen Grundsätze durchzusetzen, unter Vorbehalt der Auskunftseinschränkungen von revDSG 26 f.
- Betroffenenrechte
- = Rechte des Betroffenen gegenüber dem Verantwortlichen auf Auskunft sowie Anspruch auf ein klagen, namentlich die Klagen des Persönlichkeitsschutzes nach ZGB 28 ff. und die in revDSG 32 Abs. 2 ausdrücklich erwähnten Klagen
- Recht auf Datenherausgabe und Datenübertragung (sog. „Datenportabilität)
- = Recht des Betroffenen, seine Daten in einem gängigen elektronischen Format zu erhalten.
Wichtigste DSG-Massnahmen
Sofern und soweit nicht bereits erfolgt, sind von den Unternehmen folgende Massnahmen zu ergreifen:
- Analyse der Personendaten-Verwendung
- Ermittlung, welche Personendaten, wo, wie, durch wen und zu welchen Zwecken erhoben sowie bearbeitet werden.
- Ergänzungsarbeiten zur Beachtung der revDSG
- Prüfung, ob und wenn ja, welche Prozesslücken zur Erfüllung der Normen des revDSG bestehen.
- Dokumentation
- Dokumentierung der Datenschutzmassnahmen und Prozesse
- Notwendige Massnahmen
- Organisation
- Erstellung oder Anpassung der Datenschutzerklärung
- Erstellung des Datenbearbeitungsverzeichnisses
- Abschluss oder Anpassung der Verträge mit dem/den Auftragsbearbeitern
- Festlegung der internen Prozesse und Zuständigkeiten zur Gewährleistung der Betroffenenrechte
- Recht auf Information
- Recht auf Auskunft
- Recht auf Berichtigung
- Löschung
- Widerspruch
- Ausarbeitung von internen Weisungen
- Redaktion von Mustervorlagen zur Beantwortung von Datenschutzanfragen
- Implementierung von Verfahren und Zuständigkeiten bei Datenschutzverletzungen
- Infrastruktur
- Ausstattung des Unternehmens mit ausreichender Datenverarbeitungs- und -bearbeitungs-Ressourcen (IT, Tools, Reportings usw.)
- Personenmassnahmen
- Benennung der im Unternehmen für die Datenverarbeitung verantwortliche Personen
- Schulung und Support der Mitarbeiter, die mit der Personendaten-Verarbeitung zu tun haben.
- Organisation
Fazit
Ziel für jedes Unternehmen: Am 01.09.2023 für die neuen DSG-Regeln bereit und Datenschutz-compliant zu sein.
Wichtig sind weiterhin die Grundsätze:
- Rechtzeitige Löschung oder Anonymisierung von Personendaten
- Einführung der Pflicht zur Führung eines Datenbearbeitungsverzeichnisses
- Ausbau der Informationspflicht bei der Beschaffung von Personendaten
- Erweiterte Vorgaben betreffend Auftragsdatenbearbeitung
- Meldepflicht bei Datenschutzverletzungen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innerhalb von 72 Stunden
- Kenntnis des Strafrahmens für Datenschutzverstösse (Bussen bis CHF 250’000).