Da sich mit der Revision des schweizerischen Datenschutzgesetzes (DSG) ab September 2023 wichtige Bestimmungen über die Bearbeitung von Personendaten ändern, müssen Unternehmen in Zukunft verschärfte Regeln beachten. Entsprechend empfehlen wir dringend, die bestehenden Richtlinien und Datenschutzerklärungen bis zum Inkrafttreten zu überprüfen und gegebenenfalls anzupassen.
Warum ist die Revision so wichtig?
Bisher waren die Datenschutz-Regeln in der EU deutlich strenger als in der Schweiz. Sollte die EU-Kommission also die Angemessenheit des Datenschutzniveaus in der Schweiz nicht mehr anerkennen, würden schweizerischen Unternehmen in der EU künftig massive Wettbewerbsnachteile drohen, da der Datenaustausch mit Unternehmen in der EU erschwert werden würde. Hauptziel der Totalrevision war es deshalb, das schweizerische Datenschutzrecht auf das Niveau der EU anzuheben.
Wann tritt das neue DSG in Kraft? Was passiert, wenn die Vorschriften nicht umgesetzt werden?
Das neue DSG tritt am 1. September 2023 in Kraft. Bis zu diesem Datum müsse Unternehmen die neuen Datenschutzvorschriften umsetzen. Achtung: Es gibt keine Übergangsfristen. Wenn die neuen Datenschutzvorschriften nicht rechtzeitig umgesetzt werden, besteht die Gefahr, dass der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) von Amtes wegen oder auf Anzeige hin eine Untersuchung gegen ein Unternehmen einleitet. Bei Verstössen können Massnahmen angeordnet werden, so bspw. die Anpassung oder Unterbrechung der Datenbearbeitung oder sogar die Datenlöschung.
Mit welchen Bussen muss ein Unternehmen bei einem Verstoss gegen das neue DSG im schlimmsten Fall rechnen?
Bei vorsätzlichen Verstössen gegen das neue DSG wie bspw. die Verletzung von Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten können Privatpersonen (bspw. Arbeitnehmerinnen und Arbeitnehmer) mit Bussen bis CHF 250’000 bestraft werden. Bei Widerhandlungen in Geschäftsbetrieben können die Unternehmen mit einer Busse bis CHF 50’000 bestraft werden, wenn die Ermittlung der fehlbaren Personen mit unverhältnismässigem Aufwand verbunden wäre.
Welche Unternehmen sind einem besonders hohen Risiko ausgesetzt, gegen das neue DSG zu verstossen?
Betroffen sind grundsätzlich alle Unternehmen. Ein besonderes Risiko besteht für Unternehmen, welche mit ausländischen Kunden oder Lieferanten agieren und entsprechende Mengen an schützenswerten Daten bearbeiten und ins Ausland (ausserhalb der EU) übermitteln.
Müssen sich auch ausländische Firmen an das neue Gesetz halten?
Aufgrund der Tatsache, dass das neue DSG bezüglich des Geltungsbereichs an das Auswirkungsprinzip anknüpft, gilt es auch für ausländische Firmen, die im Schweizer Markt tätig sind beziehungsweise deren Datenbearbeitung sich in der Schweiz auswirkt. Dem gegenüber wirkt die EU-DSGVO genauso für schweizerische Unternehmen, die im EU-Raum tätig sind. Im Übrigen müssen schweizerische Unternehmen gemäss DSG sogar immer einen Datenschutzverantwortlichen ernennen, wenn sie Personendaten von Einwohnern der EU bearbeiten.
Welcher Aufwand kommt mit der Totalrevision des DSG auf Unternehmensinhaberinnen und -inhaber zu?
Dies hängt davon ab, ob ein Unternehmen aufgrund seiner bisherigen Tätigkeit und geographischen Ausrichtung bereits EU-DSGVO-konforme Richtlinien intern aufgesetzt hat oder nicht. Wer hingegen nur in der Schweiz tätig ist und bisher noch nichts unternommen hat – was wohl ein Grossteil der Unternehmen betrifft -, sollte umgehend mit einer datenschutzrechtlichen Analyse beginnen und entsprechende Anpassungen vornehmen.
Muss nun jedes Unternehmen einen Datenschutzbeauftragten ernennen oder einstellen?
Nein, die Ernennung eines Datenschutzbeauftragten ist im Unterschied zur EU-DSGVO freiwillig, bringt aber einige Vorteile. Er ist einerseits Anlaufstelle für Mitarbeitende, Kunden (bei Ausübung ihrer Betroffenenrechte) und Behörden zu Datenschutzthemen. Andererseits entfällt die obligatorische Konsultation des EDÖB im Zusammenhang mit Datenschutz-Folgenabschätzungen bei hohen Risiken, wenn stattdessen der Datenschutzbeauftragte konsultiert wird. Ein Unternehmen kann auch externe Datenschutzbeauftragte ernennen. Unsere Kanzlei bietet diesen Service an und agiert bereits für mehrere Unternehmen als externe Datenschutzbeauftragte.
Was sind die wichtigsten Änderungen?
a) Neuer Geltungsbereich: Das neue DSG beschränkt sich wie die EU-DSGVO auf den Datenschutz natürlicher Personen statt wie bisher auch auf Daten juristischer Personen.
b) Erweiterung der Informationspflichten: Die Informationspflichten im neuen DSG wurden ausgebaut. Im Unterschied zum bestehenden Gesetz, muss neu die bzw. der Verantwortliche bei jeder Beschaffung von Personendaten informieren, sofern keine der gesetzlich festgeschriebenen Ausnahmen vorliegen.
c) Verzeichnis der Bearbeitungstätigkeiten: Das neue DSG sieht die Pflicht für Verantwortliche und Auftragsbearbeiterinnen bzw. Auftragsbearbeiter vor, je ein Verzeichnis ihrer Datenbearbeitungstätigkeiten zu führen. Die Angaben müssen dabei aktuell und genau sein. In bestimmen Konstellationen gibt es jedoch Ausnahmen.
d) Privacy by Design und Privacy by Default: Das der DSGVO bereits bekannte «Privacy by Design-Prinzip» findet nun auch im neuen DSG Eingang. Dieses Prinzip besagt, dass schon im Stadium der Projektplanung die Datenbearbeitung technisch und organisatorisch so ausgestaltet werden muss, dass die Datenschutzvorschriften eingehalten werden.
e) Meldung von Verletzungen des Datenschutzes: Wenn eine Verletzung der Datensicherheit auftaucht, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, müssen die Datenverantwortlichen den EDÖB umgehend informieren. Eine solche Verletzung liegt vor, wenn sie dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden.
f) Verschärfte Sanktionen und Ausbau der Befugnisse des EDÖB: Im Gegensatz zum bestehenden Gesetz sieht das neue DSG klarere Sanktionen vor. So werden zukünftig vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit, bestraft. Verglichen mit der bestehenden Regelung wurden die Strafbestimmungen deutlich ausgebaut und verschärft. Wer die Auskunftspflichten, die Informationspflichten oder die Mitwirkungspflichten verletzt, kann auf Antrag mit einer Busse von bis zu CHF 250’000 bestraft werden. Für Unternehmen ist es daher umso wichtiger, dass bspw. Auskunftsbegehren korrekt beantwortet werden. Die Verfolgung und die Beurteilung strafbarer Handlungen fallen in den Zuständigkeitsbereich der Kantone. Der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte kann allerdings ebenfalls Strafanzeige erstatten.
Fazit
Das neue DSG enthält einige Stolperfallen und stellt die meisten Unternehmen vor grosse Herausforderungen. Dabei sind Unternehmen jeglicher Grösse betroffen und insbesondere solche, welche sich bisher nur wenig oder gar nicht dem Thema Datenschutz gewidmet haben. Entsprechend wichtig ist es, sich mit der Thematik intensiv auseinanderzusetzen, um finanzielle oder gar strafrechtliche Risiken zu verhindern.
Unsere Kanzlei hat bereits mehrere Unternehmen im Zusammenhang mit Datenschutz beraten und entsprechende Konzepte erarbeitet, Datenschutzerklärungen und Betriebsdokumente erstellt, Prozessoptimierungen vorgenommen sowie Mitarbeiter geschult. Zusätzlich bieten wir an, als externer Datenschutzbeauftragter für Unternehmen zu fungieren. Gerade dieser Service wird oft in Anspruch genommen, da sich Unternehmen so die umfangreiche Ausbildung eines internen Datenschutzbeauftragten sowie die oft komplizierten und aufwendigen betriebsinternen Prozesse ersparen können. Und last but not least möchten viele Unternehmen von der guten Aussenwirkung profitieren, wenn Kunden oder Lieferanten gegenüber mitgeteilt werden kann, dass sich eine Anwaltskanzlei als externe Datenschutzbeauftragte um sämtliche Datenschutzthemen kümmert.
