Voraussichtlich Anfang 2023 tritt das revidierte Schweizer Datenschutzgesetz ohne Übergangsfrist in Kraft. Unternehmen tun gut daran, ihren Handlungsbedarf schon vorher zu analysieren und prioritäre Massnahmen umzusetzen.
Nach drei Jahren Beratung hat das Parlament am 25. September 2020 den Schlusstext des revidierten Datenschutzgesetzes des Bundes (nachfolgend nDSG) gutgeheissen. Noch ausstehend sind die Revisionen der Verordnung zum Datenschutzgesetz (VDSG) und der Verordnung über die Datenschutzzertifizierungen (VDSZ). Am 23. Juni 2021 hat der Gesetzgeber allerdings das Vernehmlassungsverfahren zum Entwurf der revidierten VDSG (E-VDSG) gestartet.
Leider enthält der E-VDSG einige Fehler und Ungenauigkeiten, die insgesamt den Eindruck einer zumindest teilweise unsorgfältigen Überarbeitung der VDSG erwecken. Es ist daher zu erwarten, dass im Nachgang des Vernehmlassungsverfahrens, das am 14. Oktober 2021 endet, noch Anpassungen erfolgen werden. Mit dem Inkrafttreten des nDSG und der dazugehörenden Verordnungen ist deshalb erst am 1. Januar 2023 zu rechnen.
Die revidierten Datenschutz-Bestimmungen werden eine Reihe von neuen Pflichten einführen. Nachfolgend erläutert die Autorin einige davon detaillierter und gibt Empfehlungen ab, welche Massnahmen Unternehmen bereits vor Inkrafttreten des nDSG analysiert und allenfalls umgesetzt haben sollten.
1. Verzeichnisse der Bearbeitungstätigkeiten erheben
Unternehmen müssen neu sogenannte Verzeichnisse ihrer Bearbeitungstätigkeiten erstellen und laufend aktualisieren (Art. 12 nDSG). Das nDSG verlangt, dass für alle Bearbeitungstätigkeiten ein Verzeichnis erstellt wird, was eine erhebliche Ausweitung der Dokumentationspflicht im Vergleich zur Führung der Listen von meldepflichtigen Datensammlungen nach geltendem Recht darstellt. Neu sind nicht mehr Datensammlungen zu dokumentieren, sondern Bearbeitungstätigkeiten.
Leider hat es der Gesetzgeber versäumt, den Begriff der Bearbeitungstätigkeiten zu definieren, weshalb in der Praxis verschiedene Ansatzpunkte für die Dokumentation der Verzeichnisse gewählt werden. Berücksichtigt man den gesetzlich verlangten Mindestinhalt der Verzeichnisse, ist der Zweck, zu dem die Personendaten bearbeitet werden, ein wesentliches Merkmal einer Bearbeitungstätigkeit. Unternehmen sollten sich daher überlegen, für welche Zwecke sie Personendaten bearbeiten und auf dieser Basis ihre Bearbeitungstätigkeiten festlegen. Beispielsweise können die Datenbearbeitungen im Personalbereich grob in den Rekrutierungsprozess und den Personalverwaltungsprozess unterteilt und entsprechende Verzeichnisse erstellt werden.
Mit der Erstellung der Verzeichnisse verschafft sich das Unternehmen eine Übersicht über die eigenen Datenbearbeitungen. Durch diese Übersicht können die damit verbundenen Risiken eingeschätzt und entsprechende Massnahmen definiert werden. Das Führen der Verzeichnisse ermöglicht dem Unternehmen eine systematische Umsetzung der datenschutzrechtlichen Vorgaben. Wenig sinnvoll erscheint daher die vorgesehene Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden betreffend Datenbearbeitungen mit einem geringen Risiko einer Persönlichkeitsverletzung.
Zur Autorin
Maria Winkler, mag. iur., ist Juristin und Inhaberin der IT & Law Consulting GmbH, die sie 2004 gegründet hat. Das KMU mit Sitz in Zürich ist auf Informatikrecht und Datenschutzrecht spezialisiert und berät Unternehmen sowie Behörden und öffentlich-rechtliche Körperschaften bei Rechtsfragen mit Bezug zu Informationstechnologien.
Seit 2002 ist Winkler auch als Dozentin für Informatikrecht und Recht im Internet an verschiedenen Fachhochschulen tätig. Zudem ist sie langjährige Fachexpertin und Auditorin für Datenschutzzertifizierungen in der Schweiz und in Österreich, bei der SQS seit 2007.
2. Datenschutzerklärungen anpassen
Mit dem Inkrafttreten des nDSG werden die Informationspflichten der Unternehmen im Vergleich zum geltenden Recht erheblich ausgeweitet. Neu muss ein Unternehmen über alle Datenbearbeitungen informieren, die es in der Rolle des «Verantwortlichen» vornimmt, weshalb die Datenschutzerklärungen geprüft und allenfalls angepasst werden sollten. Dabei ist es hilfreich, wenn die Verzeichnisse der Bearbeitungstätigkeiten bereits erstellt sind, da ein Grossteil der Informationen, über die in einer Datenschutzerklärung informiert werden muss, bereits in den Verzeichnissen dokumentiert sind.
3. Verträge mit Dienstleistern prüfen
Bereits das geltende Datenschutzgesetz verlangt, dass bei einer Auslagerung der Bearbeitung von Personendaten an Dienstleister (sogenannte Auftragsbearbeitung) sichergestellt wird, dass der Dienstleister die Daten nur so bearbeitet, wie es der Auftraggeber selbst darf und die Daten mit angemessenen technischen und organisatorischen Massnahmen schützt. Da der Auftraggeber weiterhin für die gesetzeskonforme Datenbearbeitung verantwortlich bleibt, muss er gegenüber seinem Auftragsbearbeiter zudem Kontrollrechte haben, die es ihm ermöglichen, diese Verantwortung wahrzunehmen. Neu darf der Auftragsbearbeiter zudem nur mit Zustimmung seines Auftraggebers wiederum Unterauftragnehmer beiziehen. Es ist zu empfehlen, die Verträge mit den externen Dienstleistern daher insbesondere hinsichtlich der Kontrollrechte und der Angemessenheit der vereinbarten Datensicherheitsmassnahmen zu kontrollieren und gegebenenfalls nachzubessern.
Schulungstipps
Mit dem totalrevidierten Schweizer Datenschutzgesetz (nDSG) nähern wir uns Anfang 2023 der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) an, gewisse Unterschiede bleiben jedoch. Auch bei vielen Schweizer Unternehmen, welche die EU-DSGVO bereits umgesetzt haben, besteht somit ein Handlungsbedarf.
Werden Personendaten ins Ausland bekanntgegeben, beispielsweise, weil ein Cloud-Dienst bezogen wird, dann muss geprüft werden, ob im Empfängerland ein angemessener Datenschutz vorhanden ist. Die Angemessenheit des Datenschutzes im Empfängerland kann heute anhand der Staatenliste, die der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) auf seiner Website publiziert hat, geprüft werden. Ist die Angemessenheit nicht gegeben, müssen Massnahmen ergriffen werden, um den Datenschutz dennoch zu gewährleisten. Dies erfolgt in erster Linie durch den Abschluss von Verträgen, wobei insbesondere die EU-Standardvertragsklauseln (SCC) weit verbreitet sind und häufig verwendet werden. Seit dem 27. Juni 2021 gelten neue, modular aufgebaute SCC. Der EDÖB hat die SCC grundsätzlich anerkannt, sofern die für eine Verwendung unter Schweizer Datenschutzrecht notwendigen Anpassungen und Ergänzungen vorgenommen werden.
Bei Datenübermittlungen in die USA konnte bisher auf solche Massnahmen verzichtet werden, wenn der Empfänger nach dem sogenannten Swiss-US-Privacy Shield zertifiziert war. Der Europäische Gerichtshof (EuGH) erklärte vor Kurzem das EU-US-Privacy Shield jedoch für ungültig. Zudem sollen nach dem EuGH die EU-Standardvertragsklauseln nicht mehr per se einen angemessenen Schutz bieten, weshalb im Einzelfall eine Risikobeurteilung vorgenommen und die Klauseln ergänzt werden müssen. In einer aktuellen Stellungnahme schloss sich der EDÖB dieser Beurteilung an, weshalb Schweizer Unternehmen aktuell prüfen sollten, ob sie in diesem Zusammenhang Handlungsbedarf haben.
5. Know-how aufbauen
Gemäss dem nDSG bleibt es den Unternehmen weiterhin freigestellt, ob sie einen Datenschutzberater oder eine Datenschutzberaterin (Art. 10 nDSG) benennen. Auch wenn diese Funktion offiziell nicht besetzt wird, sollten sich eine oder mehrere Personen im Unternehmen mit dem Datenschutz generell und mit dem nDSG im Speziellen auseinandersetzen. Kann das Know-how nicht intern aufgebaut werden, sollte externe Hilfe in Anspruch genommen werden.
6. Umsetzung planen
Der Entwurf des Bundesrats vom 15. September 2017 sah eine zweijährige Übergangsfrist für Datenbearbeitungen vor, die unter bisherigem Recht begonnen wurden und nach Inkrafttreten des nDSG fortgesetzt werden. Im Verlauf der parlamentarischen Beratungen wurde diese Übergangsfrist gestrichen. Daher müssen mit wenigen Ausnahmen, ab dem Inkrafttreten des nDSG die revidierten gesetzlichen Anforderungen nicht nur bei neuen, sondern auch bei bereits laufenden Datenbearbeitungen erfüllt werden.
Es ist Unternehmen daher zu empfehlen, mit der Umsetzung des nDSG frühzeitig zu beginnen. Bei den oben ausgeführten Punkten handelt es sich nur um eine Auswahl an Massnahmen zur Umsetzung des nDSG. Sie sind als Empfehlung für die zeitliche Priorisierung aller im Zusammenhang mit dem Inkrafttreten des nDSG erforderlichen Handlungen zu verstehen.
Die Umsetzung der von der Autorin empfohlenen Massnahmen sollte den Unternehmen dabei helfen, viele weitere datenschutzrechtliche Pflichten zu erfüllen, wie beispielsweise die neue Pflicht, den betroffenen Personen ihre Daten in einem gängigen Format auszuhändigen oder an einen anderen Dienstleister zu übermitteln (sogenannte Datenportabilität). Diese Umsetzung sollte sehr ernst genommen werden, zumal insbesondere die nicht datenschutzkonforme Auslagerung der Datenbearbeitung an externe Dienstleister sowie die Verletzung der Vorgaben für die Datenübermittlung ins Ausland künftig strafbar sein wird.
Unser Newsletter bringt relevante und interessante Inhalte zu Ihnen
Möchten Sie informiert werden, wenn wir einen neuen Beitrag aufschalten? Dann abonnieren Sie unseren SQS-Blog-Newsletter. Sie können sich jederzeit wieder abmelden.
