10. Okt 2022
Am 31. August 2022 hat der Bundesrat nach langer Vorlaufzeit nun definitiv beschlossen, dass am 1. September 2023 das neue Datenschutzgesetz und die dazugehörige Verordnung in Kraft treten.
Es wird keine Übergangsfrist geben, weshalb insbesondere Unternehmen gut beraten sind, bereits jetzt mit der Umsetzung zu beginnen. Eine Revision des momentanen Datenschutzgesetzes aus dem Jahr 1992 war notwendig geworden, da ansonsten die Gefahr bestand, dass v.a. aus Sicht der Europäischen Union (EU) die Schweiz über kein angemessenes Datenschutzniveau verfügt. Das hätte die Wirtschaftsbeziehungen zwischen der Schweiz und der EU erheblich verkompliziert und den Wirtschaftsstandort Schweiz geschwächt. Wichtig ist, dass das neue Datenschutzgesetz auf schweizinterne Sachverhalte respektive auf Sachverhalt mit Auswirkungen auf Schweiz zur Anwendung kommt. Sobald ein grenzüberschreitender Sachverhalt vorliegt, ist immer zu überprüfen, ob nicht allenfalls andere Rechtsnormen, v.a. die Europäischen Datenschutzgrundverordnung (DSGVO), einschlägig sind.
Auch nach Inkrafttreten des neuen Datenschutzgesetzes in der Schweiz bleibt – im Gegensatz zur EU – die Bearbeitung von Personendaten grundsätzlich erlaubt, das Verbot der Verarbeitung bleibt die Ausnahme. Das ist einer der zentralen Unterschiede zur DSGVO. Die Datenbearbeitung ist hier grundsätzlich verboten und steht unter einem Erlaubnisvorbehalt, d.h. es bedarf stets eines Rechtsgrundes zur Datenerhebung. Oftmals wird dies durch eine Einwilligung der betroffenen Personen gewährleistet. Das merkt man v.a. online, wo oftmals Häkchen gesetzt bzw. angeklickt werden müssen. Unter dem Geltungsbereich des neuen Datenschutzgesetzes ist das meistens aber nicht notwendig.
Unter Personendaten werden neu nur noch die Daten von natürlichen Personen verstanden. Juristische Personen werden nicht mehr vom Schutzbereich des Gesetzes erfasst. Begrifflich hat sich zudem geändert, dass «Inhaber der Datensammlung», «Persönlichkeitsprofile» und «Datensammlung» gestrichen wurden. Dafür wurden neu die zentralen Figuren des/der Verantwortliche/n und des/der Auftragsbearbeiter/in geschaffen. Diese sind private Personen oder Bundesorgane, die oder das allein oder zusammen mit anderen respektive im Auftrag über den Zweck und die Mittel der Bearbeitung entscheiden. Ebenso fand das sogenannte Profiling Eingang in das Gesetz und als besonders schützenswerte Personendaten gelten nun auch Daten über die Zugehörigkeit zu einer Ethnie, genetische Daten und biometrische Daten, die eine natürliche Person eindeutig identifizieren. Die Informationspflicht wird ausgeweitet, sodass bei jeder Beschaffung von Personendaten die betroffene Person vorgängig informiert werden muss. Sofern Personendaten ins Ausland übermittelt werden sollen, gibt es eine Reihe an Vorschriften zu beachten. Insbesondere müssen die betreffenden Personen ebenfalls vorgängig informiert werden. Das galt bisher nur bei besonders schützenswerten Personendaten. Sofern ein hohes Risiko für eine Persönlichkeitsrechtsverletzung oder Grundrechte der betroffenen Person besteht, muss nun auch eine Datenschutzfolgeabschätzung durchgeführt werden. Unternehmen sind verpflichtet, technische und organisatorisches Massnahmen (sog. TOMs) zu treffen, um die Datensicherheit zu gewährleisten. Hierbei sind auch die aus der DSGVO bekannten Prinzipien «Privacy by Design» und «Privacy by Default» einzuhalten. Diese besagen, dass der/die Verantwortliche verpflichtet ist, mittels geeigneter technischer Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass zu beschränken ist, soweit die betroffene Person nicht etwas anderes bestimmt. Weiterhin freiwillig bleibt der Einsatz von Datenschutzberatenden. Bei bestimmten Verstössen gegen das neue Datenschutzgesetz (z.B. Verletzung des Auskunftsrechts) drohen Bussen von bis zu CHF 250'000, die nicht von den jeweiligen Unternehmen geschuldet werden, sondern von privaten Personen. Dies aber nur, sofern die Verletzung vorsätzlich erfolgt und ein Antrag gestellt wird. Es ist nicht zu erwarten, dass jede Verletzung direkt zur Höchstbusse führt.
Als ersten Schritt sollten Unternehmen ein Verzeichnis (beispielsweise eine Liste oder Tabelle) erstellen, welche Personendaten sie überhaupt bearbeiten. Nur anhand einer solchen Liste kann z.B. eine Datenschutzerklärung erstellt werden. Auch allfällige Auftragsbearbeiter müssen ein solches Verzeichnis erstellen. Ab einer Arbeitnehmendenanzahl von 250 sind Unternehmen im Übrigen auch verpflichtet, ein solches sogenanntes Verzeichnis der Bearbeitungstätigkeiten zu führen. Eine spezielle Formvorschrift gibt es hierfür nicht, jedoch ist der Mindestinhalt gesetzlich vorgeschrieben.
Das bereitet zunächst einmal einiges an Arbeit, ist aber aus meiner Sicht essentiell für die Umsetzung. Nur wer weiss, welche Daten überhaupt wie und von wem bearbeitet werden, kann entsprechende Vorkehrungen treffen und die gesetzlichen Vorgaben korrekt umsetzen.
Kontakt
Kathrin Moosmann, Rechtsanwältin
CAS Datenschutz
Muri Partner Rechtsanwälte AG
Sangenstrasse 3
8570 Weinfelden
+41 (0) 71 622 00 22
Kathrin.Moosmann@muri-anwaelte.ch
www.muri-anwaelte.ch