Das revidierte Datenschutzgesetz (DSG Link) wurde am 25. September 2020 vom Parlament verabschiedet. Inzwischen sind auch die Ausführungsbestimmungen in einer neuen Datenschutzverordnung (DSV Link) nachgeführt sowie die Verordnung über Datenschutzzertifizierungen (VZSZ Link) überarbeitet worden.
Das neue Schweizer Datenschutzrecht lehnt sich an die Europäische Datenschutzgrundverordnung (DSGVO) an, weist aber davon auch abweichende und weitergehende Regeln auf. Grundsätzlich verändert sich jedoch das datenschutzrechtliche Regelungskonzept durch das neue DSG nicht, das heisst, Datenbearbeitungen, welche bisher erlaubt waren, sind es auch unter dem neuen DSG. Weiterhin müssen dabei die - teilweise überarbeiteten - Bearbeitungsgrundsätze (Rechtmässigkeit, Verhältnismässigkeit, Zweckbindungsgrundsatz, Transparenz- und Informationsprinzip, Prinzip der Datenrichtigkeit, Prinzip der Datensicherheit) eingehalten werden.
Besonderes Augenmerk ist auf die Datensicherheit zu legen, d.h. den Schutz von Personendaten bezüglich Vertraulichkeit, Integrität, Verfügbarkeit sowie der Nachvollziehbarkeit der Bearbeitung. Die revidierte Datenschutzschutzverordnung definiert dazu Mindestanforderungen (DSV, Art. 1ff.).
Die Strafbestimmungen wurden im Vergleich zum alten Recht ausgebaut, beispielweise auch im Zusammenhang mit einer Missachtung der Mindestanforderungen zur Datensicherheit und können neu auch zu einer persönlichen Strafbarkeit der verantwortlichen MitarbeiterInnen und der Organen führen (Busse bis CHF 250'000.--, jedoch nur bei Vorsatz und auf Strafantrag hin).
Handlungsbedarf, um die datenschutzrechtliche Konformität nach neuem DSG im Unternehmen zu erstellen, könnte sich für die Mitglieder in den folgenden Punkten ergeben (Checkliste):
- Verzeichnis der Datenbearbeitungen erstellen (für Unternehmen mit mehr als 250 Mitarbeitenden Pflicht, für andere Unternehmen eventuell hilfreich);
- Datenschutzerklärungen auf die neuen Anforderungen, insbesondere die ausgebaute Informationspflicht hin überprüfen, allenfalls anpassen;
- Datenauftragsbearbeitungen (d.h. Datenbearbeitungen im Auftrag durch Dritte) identifizieren und auf die Einhaltung der Vorgaben hin überprüfen, insbesondere Vergewisserung der Datensicherheit (inkl. Meldepflicht bei Verletzung der Datensicherheit) sowie setzt eine Datenweitergabe durch den Auftragsbearbeiter an einen Subunternehmer neu die vorgängige Genehmigung (oder Widerspruchsmöglichkeit) voraus;
- Vorgaben zur Beantwortung von Gesuchen von Betroffenen (Betroffenenrechte) erstellen (Auskunftsersuchen zu bearbeiteten Daten, Ersuchen um Datenberichtigung und -löschung sowie Datenherausgabe und -übertragung);
- Prozess zur Erfüllung der Meldepflicht bei einer Verletzung der Datensicherheit[1] definieren;
- Datenbearbeitung zur Prüfung der Kreditwürdigkeit überprüfen, insbesondere dürfen die dabei bearbeiteten Daten nicht älter als 10 Jahre sein;
- Bei internationalen Datentransfers, wenn Personendaten in Länder mit nicht angemessenem Datenschutz übermittelt werden sollen (als solche Länder gelten aus Schweizer Sicht alle Länder ausser den EU/EWR-Staaten, Argentinien, Kanada, Israel, Neuseeland, Uruguay), Massnahmen treffen, die einen angemessenen Datenschutz gewährleisten (z.B. Abschluss von EU-Standardvertragsklauseln, Binding Corporate Rules, etc.);
- Weiterhin die Pflicht zu «Privacy by Design» beachten, d.h. bei allen Aktivitäten und z.B. bei der Entwicklung und Einführung neuer Produkte, die zu einer Datenbearbeitung führen, von Beginn an und als Teil der Unternehmenskultur den Datenschutz und die Informationssicherheit risikobasiert berücksichtigen, später überprüfen und allenfalls verbessern.
Für Fragen und Unterstützung können Sie sich gerne an Stefan Flück, Leiter Rechtsdienst, wenden (stefan.flueck[at]suissedigital.ch, Tel. 031 328 27 28).
[1] Eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden (Art. 5 lit. h DSG).
Art. 24 Abs. 1 DSG: Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.
Art. 24 Abs. 4 DSG: Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
Ausserdem ist in diesem Zusammenhang auch die Meldepflicht nach Art. 96b FDV (vgl. M-Info vom 06.12.2022 (Link)) sowie in absehbarer Zeit die geplante Meldepflicht bei Cybervorfällen nach dem Informationssicherheitsgesetz (ISG) zu berücksichtigen.