Am 1. September 2023 tritt das revidierte Datenschutzgesetz in der Schweiz in Kraft. In diesem Blogbeitrag fassen wir die wichtigsten Änderungen zusammen und erklären, was Unternehmen beachten müssen, um sich bestmöglich auf das neue Gesetz vorzubereiten.
Unternehmen, welche die Vorschriften der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) bereits erfüllen, sind bei der Implementierung der Neuregelungen bereits einen Schritt voraus. Das revidierte Schweizer Datenschutzgesetz (rDSG) nähert sich in vielen Punkten der DSGVO an. Trotzdem gibt es im rDSG einige abweichende oder weitergehende Regelungen, die es zu beachten gilt. Bei Auskunftsgesuchen von Betroffenen in Bezug auf den Inhalt oder Auskunftserteilung weicht das rDSG beispielsweise von der DSGVO ab. Die Melde- und Genehmigungspflichten beim Datenexport unter rDSG müssen ausserdem separat beurteilt werden. Im Gegensatz zum DSGVO ist weiterhin im Grundsatz keine Pflicht vorgesehen, einen Datenschutzbeauftragten einzusetzen.
Was sind die wichtigsten Veränderungen?
- Nur noch Daten natürlicher Personen sind künftig betroffen, die von juristischen Personen nicht mehr
- Genetische (ererbte oder erworbene genetische Eigenschaften, z.B. Blut- oder Speichelprobe) und biometrische Daten (messbare biologische Merkmale, z.B. Gesichtsgeometrie, Zahnabdruck, DNA etc.) werden in die Definition der besonders schützenswerten Daten aufgenommen
- Die Grundsätze «Privacy by Design» und «Privacy by Default» werden eingeführt. «Privacy by Design» bedeutet für Entwickler*innen der Schutz und die Privatsphäre der Nutzer*innen in die Struktur der Produkte oder Dienstleistungen einzubauen, welche personenbezogene Daten sammeln werden. Der Grundsatz «Privacy by Default» stellt sicher, dass schon beim Inverkehrbringen des Produktes oder der Dienstleistung die höchste Sicherheitsstufe vorhanden ist, indem standardmässig, also ohne Eingreifen der Nutzer, alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. Sämtliche Soft- und Hardware sowie Dienstleistungen müssen also so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer*innen gewahrt wird.
- Folgenabschätzungen müssen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte betroffener Personen besteht
- Die Informationspflicht wird ausgeweitet: Bei der Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden.
- Ein Verzeichnis der Bearbeitungstätigkeit wird obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt
- Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) zu richten.
- Der Begriff «Profiling» (automatisierte Bearbeitung von personenbezogenen Daten) wurde in das Gesetz aufgenommen
Quelle: KMU-Portal des SECO
Was muss alles im Rahmen des revidierten Datenschutzgesetz geprüft werden?
Mit Blick auf die neuen Vorschriften des revidierten Datenschutzgesetz sollten Unternehmen frühzeitig ihre Datenschutzerklärung anpassen. Folgende Punkte sind zu prüfen:
- Besteht für mein Unternehmen die Pflicht zur Erstellung eines Datenbearbeitungsverzeichnisses?
- Entsprechen die Verträge den rechtlichen Vorgaben?
- Sind sämtliche Auslandtransfer von personenbezogenen Daten Identifiziert und überprüft?
- Wurde ein Prozess zur Datenschutz-Folgenabschätzung (DSFA) eingeführt bzw. der bestehende DSFA an die Vorgaben angepasst?
- Wurde ein Prozess zur Meldung und Bearbeitung von Verletzungen betreffend der Datensicherheit eingeführt bzw. bestehende Prozesse an die neuen Vorschriften angepasst?
- Wurde eine zuständige Stelle bestimmt um Betroffenenrechte zu gewähren?
- Wurden automatisierte Einzelentscheide innerhalb der Organisation identifiziert und wenn nötig neu geregelt?
- Wurden die Mitarbeitenden im Kontext des Datenschutzes und allfälliger drohender Sanktionen geschult und eine periodische Weiterbildung festgelegt?
Wo finde ich Dokumente und Vorlagen zum revidierten Datenschutzgesetz?
David Rosenthal verfügt über eine breite Erfahrung in der Beratung und Vertretung von nationalen und multinationalen Klienten in den Bereichen Datenschutz, Technologierecht, eDiscovery, Technologie-Schiedsverfahren und interne Untersuchungen. Er hat an der Universität Basel Rechtswissenschaften studiert und ist nun Partner bei VISCHER, einer der führender Schweizer Wirtschafskanzleien, wo er die Gruppe Daten & Datenschutz leitet. Ausserdem ist er Mitverfasser des führenden Kommentars zum Datenschutzrecht in der Schweiz.
Gemeinsam mit David Vasella hat er das DSAT (Datenschutz Self Assesment Tool) verfasst. Das DSAT besteht aus einem Satz von Formularen, der eine strukturierte Selbstbeurteilung der Datenschutz-Compliance eines Unternehmens erlaubt, daher die Überprüfung, inwieweit die Bestimmungen des Datenschutzes sowohl unter dem revidierten DSG als auch der DSGVO eingehalten sind.
Des weiteren hat Rosenthal vor kurzem einen LinkedIn Beitrag veröffentlicht, in welchem er die XS-Variante einer an das neue Datenschutzgesetz angepassten AGB vorstellt. Mit dieser Vorlage soll es Unternehmen möglich gemacht werden, das neue Datenschutzgesetz im Bezug auf die Anpassung der AGB so einfach wie möglich zu erfüllen. Hier geht’s zum Beitrag.
Die XS-Variante ist auch als Vorlage im DSAT auffindbar.
Übersicht – Checkliste
Untenstehend führen wir nun alle neuen Anforderungen auf und erklären, was innerhalb der Anforderungen umgesetzt werden muss und welche Dokumente dafür erstellt oder überabeitet werden müssen.
Bearbeitungsverzeichnis
Anforderung:
- Dokumentationspflichten
- Bearbeitungsgrundsätze (insbesondere Datenminimierung und Speicherbegrenzung)
Umsetzung:
- Bearbeitungen dokumentieren
- Bearbeitung kennen (Welche Personendaten bearbeitet unser Unternehmen zu welchen Zwecken? Von wem erhalten wir die Personendaten? Wie lange speichern wir die Personendaten und wie sind sie geschützt?)
Betroffene Dokumente:
- Applikationsverzeichnis
- Bearbeitungsverzeichnisse
Datenschutzerklärung
Anforderung:
- Informationspflichten / Transparenz gegenüber Kund*innen
- Informationspflichten / Transparenz gegenüber Mitarbeiter*innen
Umsetzung:
- Erfüllen wir die Informationspflicht gegenüber Kund*innen (B2C), Mitarbeiter*innen von Kund*innen (B2B) und weiteren Kontakten (inkl. Website Nutzer*innen)?
- Erfüllen wir die Informationspflichten gegenüber Mitarbeiter*innen?
Betroffene Dokumente:
- Allg. Datenschutzerklärung für Kund*innen und andere Kontakte
- Datenschutzerklärung für Mitarbeiter*innen
Datenschutzorganisation
Anforderung:
- Datenschutz als Organisationsaufgabe
- Betroffenenbegehren (Auskunfts-, Berichtigungs-, Datenportabilitäts-, Widerspruchs- oder Löschungsbegehren) bearbeiten
Umsetzung:
- Unser Unternehmen muss so organisiert sein, dass rasch auf Fragen reagiert werden kann (interne Richtlinien und Prozesse)
Betroffene Dokumente:
- interne Datenschutzrichtlinie
- Prozessbeschreibung betreffend Umgang mit Betroffenenbegehren
- Musterschreiben für Beantwortung von Betroffenenbegehren
Verträge mit Dienstleistenden
Anforderung:
- Kontrolle über Dienstleister*innen / Auftragsbearbeiter*innen
- Vereinbarungen mit Auftragsbearbeiter*innen
Umsetzung:
- Das Unternehmen muss für eine sorgfältige Auswahl, Instruktion und Kontrolle der Dienstleister*innen sorgen
- Die Verträge mit Auftragsbearbeiter*innen müssen verschriftlicht werden
Betroffene Dokumente:
- Datenschutz-Risikoanalyse
- Merkblätter und Checklisten sowie Vendor Management-Tools
- Vereinbarungen mit den Anbieter*innen
- Vereinbarungen über die Auftragsbearbeitung
Absicherung von Auslandbekanntgaben
Anforderung:
- Absicherung von Auslandbekanntgaben
Umsetzung:
- Die Sicherheitsmassnahmen müssen ausreichend dokumentiert werden, bevor Personendaten ins Ausland übermittelt werden
Betroffene Dokumente:
- Datenschutzrichtlinien
Datensicherheit
Anforderung:
- Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Personendaten (Datensicherheit)
- Datensicherheitsverletzungen untersuchen, gegebenenfalls melden und dokumentieren
Umsetzung:
- Klare Aufgaben, Zuständigkeiten und Kompetenzen innerhalb des Unternehmens definieren
- Technische und organisatorische Sicherheitsmassnahmen implementieren (TOM)
- Interne Organisation, dass schnell auf Datensicherheitsverletzungen reagiert werden kann
Betroffene Dokumente:
- Interne Datenschutzrichtlinie
- Prozessbeschreibung betreffend Umgang mit Datensicherheitsverletzungen
- TOM
Welche Rechtsgrundlagen sind betroffen?
Die oben genannten Änderungen betreffen die Informationspflicht, das Auskunftsrecht, die Strafbestimmungen, die Datenschutz-Folgenabschätzung, die Gebühren und die Datenschutzberaterinnen und Berater.
ProCloud – Vertrauen Sie dem Pionier
Wir sind ein Cloud Services und Cyber Security fokussierter Dienstleister. Die ProCloud setzt seit der Unternehmensgründung und damit seit über 10 Jahren 100% auf die Cloud. Das macht uns zum Pionier im Cloud Bereich. In dieser Zeit haben wir > 600 Kunden und Kundinnen auf ihrem Weg in die Cloud begleiten dürfen. Wenn Sie einen modernen IT Partner suchen, sind wir der Richtige. Bei Fragen sind wir für Sie verfügbar, wir beraten Sie gerne.
