Recht

Datenschutzrecht

Die Unternehmensleitung steht in der Verantwortung

Das neue Schweizer Datenschutzgesetz (nDSG) ist am 1. September 2023 in Kraft getreten. Die revidierten Bestimmungen haben bereits die Prozesse innerhalb der Unternehmen ­bedeutend beeinflusst. Der Beitrag zeigt auf, welche Aspekte unbedingt berücksichtigt ­werden müssen, und gibt wichtige praktische Umsetzungstipps.
PDF Kaufen

Das neue Schweizer Datenschutzgesetz (nDSG) regelt den Datenschutz für alle Datenverantwortlichen, egal ob privat oder staatlich, und bezieht sich ausschliesslich auf die Bearbeitung per­sonenbezogener Daten von natürlichen Personen, das heisst, die Daten von juristischen Personen (zum Beispiel einer GmbH oder AG) sind von der Regelung nicht umfasst. Beispiel: Die Daten einer GmbH oder AG dürfen uneingeschränkt bearbeitet, das heisst gespeichert, gelöscht etc. werden, wohingegen die Daten des Geschäftsführers nur unter bestimmten Bedingungen bearbeitet werden können. 

Achtung: Das nDSG ist nicht nur auf sämtliche Bearbeitungstätigkeiten anwendbar, die in der Schweiz stattfinden, sondern auch auf diejenigen, die sich (vom Ausland aus) auf die Schweiz auswirken, das heisst, die gar nicht in der Schweiz stattfinden. Hat ein Unternehmen zum Beispiel einen Standort in 
der EU, also ausserhalb der Schweiz, sind die Regeln des nDSG deshalb ebenfalls anwendbar, sobald sie eine in der Schweiz lebende natürliche Person betreffen. Und auch die DSGVO gilt für Schweizer Un­ternehmen ohne Standort in der EU: eine Kundenbeziehung in der EU reicht für die Anwendbarkeit aus. Massgebend ist diesbezüglich also immer nur, wo die Waren oder Dienstleistungen angeboten werden!

Was neu ist 

Nachfolgend stellen wir die wichtigsten Neuerungen des nDSG vor, insbesondere diejenigen, die für die betroffenen Unternehmen besonders von Bedeutung sind, da diese mit konkreten Umsetzungsmassnahmen verbunden sind. Dabei weisen wir jeweils darauf hin, ob die Rechtslage mit der DSGVO identisch ist, damit für Unternehmen, die die Anforderungen der DSGVO bereits ganz oder teilweise umgesetzt haben, klar ist, ob bei der jeweiligen Massnahme überhaupt noch konkreter Handlungsbedarf besteht: 

Erheblich verbesserte Infor­mations- und Auskunftsrechte

Die Rechte der von der Datenbearbeitung betroffenen Personen wurden stark ausgeweitet, das heisst, Unternehmen müssen klare Informationen über die Rechte und Möglichkeiten der Betroffenen sowie die Erhebung, Speicherung etc. bereitstellen und die Betroffenen vor der Beschaffung der Personendaten informieren. Ausserdem besteht nunmehr ein Recht auf Datenherausgabe und -über­tragung (identisch mit der DSGVO).

Obligatorische Abfassung eines Verzeichnisses der Datenbearbeitungen im Unternehmen 

Alle Datenbearbeitungsprozesse des Unternehmens müssen in einem Verzeichnis erfasst werden. Ausnahmen gelten nur für KMU mit weniger als 250 Mitar­beitern, wenn deren Datenbearbeitung ein geringes Risiko für Persönlichkeitsverletzungen mit sich bringt (identisch mit der DSGVO).

Datenschutzerklärung und Informationsrecht

Personen, deren Daten bearbeitet werden, müssen über Umfang und Zweck sämtlicher Datenbearbeitungen informiert werden. Dies erfolgt durch eine sogenannte Datenschutzerklärung, die auf der Homepage für alle Nutzer zu­gänglich ist. Informiert werden muss ­darin über die Identität und die Kontaktdaten des Verantwortlichen, den Bearbeitungszweck, eventuelle Empfänger, denen Personendaten bekannt gegeben werden, und die Staaten, in die Daten ­exportiert werden (identisch mit der ­DSGVO).  

Auftragsdatenbearbeiter

Die Übertragung der Datenbearbeitung an einen externen Dienstleister ist möglich, sollte allerdings unbedingt vertraglich geregelt werden. Dies insbesondere, weil die Haftung des externen Auftragsbearbeiters unbeschränkt ist, das heisst, er haftet selbst für eigene Verstösse. Er kann also von den betroffenen Personen direkt (auch gerichtlich) in Anspruch ­genommen werden. Die Haftung des ­Auftraggebers bleibt jedoch bestehen (Abweichung: in der DSGVO haftet immer nur der Verantwortliche, das heisst der Auftraggeber).

Datenschutzfolgeabschätzung

Für neue Datenbearbeitungsvorgänge (z. B. das Installieren von Kameras in einem bestimmten Bereich des Unternehmens), die ein hohes Risiko für Betroffene mit sich bringen können, muss eine so­genannte Datenschutzfolgeabschätzung erstellt werden. Das heisst, das Vorhaben selbst und die Massnahmen zum Schutz der betroffenen Personen sind genau zu prüfen und schriftlich festzuhalten. 

Achtung: Es handelt sich dabei jeweils ­ausschliesslich um die Beurteilung einer Einzelmassnahme im Unternehmen (identisch mit der DSGVO).

Datenschutzberater

Im nDSG besteht keine Verpflichtung zur Bestellung im Unternehmen, die Ernennung ist freiwillig. Der Datenschutzberater muss fachlich ungebunden und weisungsunabhängig sein, über das nötige Fachwissen verfügen und laufend ­geschult werden. Ein bereits in der Schweiz ernannter Datenschutzberater kann auch für einen Standort innerhalb der EU zuständig sein. Es bedarf dafür ­allerdings der nötigen fachlichen Kenntnisse. 

Achtung: Seine Kontaktdaten müssen auf der Homepage veröffentlicht werden (Abweichung: in der DSGVO ist die Benennung unter bestimmten gesetzlichen Voraussetzungen Pflicht).

Datenbekanntgabe ins Ausland

Die Länder, in die aus der Schweiz heraus Daten versandt werden, müssen ein angemessenes Datenschutzniveau haben. Die Liste der Länder mit angemessenem Datenschutzniveau wird in der Schweiz vom Bundesrat (für den Datenexport aus der Schweiz heraus) und in der EU von der EU-Kommission (für den Datenexport aus der EU heraus) festgelegt. Achtung: Die Listen sind nicht zwingend identisch und sollten bei internationaler Handelstätigkeit immer wieder abgeglichen werden.

Für Länder ohne angemessenes Datenschutzniveau sind im Geschäftsbetrieb entweder ein völkerrechtlicher Vertrag, Datenschutzklauseln in den jeweiligen Verträgen oder, wie im häufigsten Fall, die Standarddatenschutzklauseln der EU (sog. EU SCCs) erforderlich. Diese Klauseln können auch auf Basis des nDSG genutzt werden. Prüfen Sie, welche Ihrer Vertragspartner im Ausland angesiedelt sind und ob dieses Land auf den Listen der CH oder der EU aufgeführt ist (identisch mit der DSGVO).

Meldung einer Verletzung des Schutzes personenbezogener ­Daten bzw. einer Datensicherheitsverletzung

Bei einer Datenpanne oder einem Datenzugriff durch unbefugte Dritte muss der Datenverantwortliche, das heisst der Unternehmer, den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) «so rasch als möglich» informieren. Ein solcher Fall liegt immer dann vor, wenn Personendaten verloren gehen, gelöscht, vernichtet, verändert oder Un­befugten zugänglich gemacht wurden. Die Meldung an die betroffenen Personen ist dann erforderlich, wenn es zu ihrem Schutz notwendig ist (zum Beispiel bei dem Verlust von sensiblen Daten, wie Gehalts- oder Gesundheitsdaten) oder der EDÖB es verlangt. Bezüglich Hacker­at­tacken haben die Schweizer Behörden personell aufgerüstet und unterstützen insbesondere die KMU, die häufig keine eigene IT-Abteilung haben (Abweichung: in der DSGVO ist ein Datenverstoss spätestens 72 Stunden nach seinem Bekanntwerden zu melden).

Sanktionen

Verletzungen der Meldepflicht oder der Informations-, Auskunfts- beziehungsweise der Sorgfaltspflicht können bei ­privaten Personen eine Busse bis 250 000 CHF mit sich bringen. Achtung: Im Geschäftsbetrieb, das heisst gegenüber ­Unternehmen, ist das Wirtschaftsstrafrecht anwendbar und führt zu deutlich höheren Bussen (Abweichung: die DSGVO sieht grundsätzlich sehr viel höhere Bussen vor).

Was Unternehmen tun müssen

Unsere Empfehlung geht dahin, auch ohne gesetzliche Verpflichtung eine Analyse (Verzeichnis) sämtlicher Datenbe­arbeitungsprozesse im Unternehmen zu erstellen, um vorhandene Risiken im ­Datenschutz zu ermitteln und entsprechende Abhilfemassnahmen zu implementieren. Mindestens sollten interne Praktiken, Verfahren und Zuständigkeiten für das Speichern, die Nutzung, die Übermittlung und die Löschung von ­Daten aufgelistet werden, denn der konkrete Zugriff darf nur Personen erlaubt sein, die ihn zwingend benötigen.

Es sollte auch ohne gesetzliche Verpflichtung ein geschulter Datenschutzberater benannt werden. Dies kann auch ein externer Dienstleister sein. 

Es müssen Prozesse und Zuständigkeiten für das Auskunftsrecht oder sonstige Betroffenenrechte, den Umgang mit Da­tenschutzverletzungen und der Datenschutz-Folgeabschätzung definiert werden. Dies sind jeweils Einzelfallthemen, die bei konkret auftretenden Fällen – fristgemäss – zu bearbeiten sind. Idealerweise sollte ein «Auskunftsfall» simuliert werden, um zu testen, ob innerhalb des Unternehmens den gesetzlichen Ansprüchen fristgemäss nachgekommen werden kann. 

Auch sollten die Mitarbeiter in Bezug auf das nDSG geschult werden (intern oder extern): nur dadurch erreicht ein Unternehmen die notwendige Sensibilisierung für dieses Thema und kann so das Verhalten innerhalb des Unternehmens anpassen. Achtung: Interne Da­tenschutzberater müssen regelmässig geschult werden!

Porträt