Das neue Schweizer Datenschutzgesetz (nDSG) regelt den Datenschutz für alle Datenverantwortlichen, egal ob privat oder staatlich, und bezieht sich ausschliesslich auf die Bearbeitung personenbezogener Daten von natürlichen Personen, das heisst, die Daten von juristischen Personen (zum Beispiel einer GmbH oder AG) sind von der Regelung nicht umfasst. Beispiel: Die Daten einer GmbH oder AG dürfen uneingeschränkt bearbeitet, das heisst gespeichert, gelöscht etc. werden, wohingegen die Daten des Geschäftsführers nur unter bestimmten Bedingungen bearbeitet werden können.
Achtung: Das nDSG ist nicht nur auf sämtliche Bearbeitungstätigkeiten anwendbar, die in der Schweiz stattfinden, sondern auch auf diejenigen, die sich (vom Ausland aus) auf die Schweiz auswirken, das heisst, die gar nicht in der Schweiz stattfinden. Hat ein Unternehmen zum Beispiel einen Standort in
der EU, also ausserhalb der Schweiz, sind die Regeln des nDSG deshalb ebenfalls anwendbar, sobald sie eine in der Schweiz lebende natürliche Person betreffen. Und auch die DSGVO gilt für Schweizer Unternehmen ohne Standort in der EU: eine Kundenbeziehung in der EU reicht für die Anwendbarkeit aus. Massgebend ist diesbezüglich also immer nur, wo die Waren oder Dienstleistungen angeboten werden!
Was neu ist
Nachfolgend stellen wir die wichtigsten Neuerungen des nDSG vor, insbesondere diejenigen, die für die betroffenen Unternehmen besonders von Bedeutung sind, da diese mit konkreten Umsetzungsmassnahmen verbunden sind. Dabei weisen wir jeweils darauf hin, ob die Rechtslage mit der DSGVO identisch ist, damit für Unternehmen, die die Anforderungen der DSGVO bereits ganz oder teilweise umgesetzt haben, klar ist, ob bei der jeweiligen Massnahme überhaupt noch konkreter Handlungsbedarf besteht:
Erheblich verbesserte Informations- und Auskunftsrechte
Die Rechte der von der Datenbearbeitung betroffenen Personen wurden stark ausgeweitet, das heisst, Unternehmen müssen klare Informationen über die Rechte und Möglichkeiten der Betroffenen sowie die Erhebung, Speicherung etc. bereitstellen und die Betroffenen vor der Beschaffung der Personendaten informieren. Ausserdem besteht nunmehr ein Recht auf Datenherausgabe und -übertragung (identisch mit der DSGVO).
Obligatorische Abfassung eines Verzeichnisses der Datenbearbeitungen im Unternehmen
Alle Datenbearbeitungsprozesse des Unternehmens müssen in einem Verzeichnis erfasst werden. Ausnahmen gelten nur für KMU mit weniger als 250 Mitarbeitern, wenn deren Datenbearbeitung ein geringes Risiko für Persönlichkeitsverletzungen mit sich bringt (identisch mit der DSGVO).
Datenschutzerklärung und Informationsrecht
Personen, deren Daten bearbeitet werden, müssen über Umfang und Zweck sämtlicher Datenbearbeitungen informiert werden. Dies erfolgt durch eine sogenannte Datenschutzerklärung, die auf der Homepage für alle Nutzer zugänglich ist. Informiert werden muss darin über die Identität und die Kontaktdaten des Verantwortlichen, den Bearbeitungszweck, eventuelle Empfänger, denen Personendaten bekannt gegeben werden, und die Staaten, in die Daten exportiert werden (identisch mit der DSGVO).
Auftragsdatenbearbeiter
Die Übertragung der Datenbearbeitung an einen externen Dienstleister ist möglich, sollte allerdings unbedingt vertraglich geregelt werden. Dies insbesondere, weil die Haftung des externen Auftragsbearbeiters unbeschränkt ist, das heisst, er haftet selbst für eigene Verstösse. Er kann also von den betroffenen Personen direkt (auch gerichtlich) in Anspruch genommen werden. Die Haftung des Auftraggebers bleibt jedoch bestehen (Abweichung: in der DSGVO haftet immer nur der Verantwortliche, das heisst der Auftraggeber).
Datenschutzfolgeabschätzung
Für neue Datenbearbeitungsvorgänge (z. B. das Installieren von Kameras in einem bestimmten Bereich des Unternehmens), die ein hohes Risiko für Betroffene mit sich bringen können, muss eine sogenannte Datenschutzfolgeabschätzung erstellt werden. Das heisst, das Vorhaben selbst und die Massnahmen zum Schutz der betroffenen Personen sind genau zu prüfen und schriftlich festzuhalten.
Achtung: Es handelt sich dabei jeweils ausschliesslich um die Beurteilung einer Einzelmassnahme im Unternehmen (identisch mit der DSGVO).
Datenschutzberater
Im nDSG besteht keine Verpflichtung zur Bestellung im Unternehmen, die Ernennung ist freiwillig. Der Datenschutzberater muss fachlich ungebunden und weisungsunabhängig sein, über das nötige Fachwissen verfügen und laufend geschult werden. Ein bereits in der Schweiz ernannter Datenschutzberater kann auch für einen Standort innerhalb der EU zuständig sein. Es bedarf dafür allerdings der nötigen fachlichen Kenntnisse.
Achtung: Seine Kontaktdaten müssen auf der Homepage veröffentlicht werden (Abweichung: in der DSGVO ist die Benennung unter bestimmten gesetzlichen Voraussetzungen Pflicht).
Datenbekanntgabe ins Ausland
Die Länder, in die aus der Schweiz heraus Daten versandt werden, müssen ein angemessenes Datenschutzniveau haben. Die Liste der Länder mit angemessenem Datenschutzniveau wird in der Schweiz vom Bundesrat (für den Datenexport aus der Schweiz heraus) und in der EU von der EU-Kommission (für den Datenexport aus der EU heraus) festgelegt. Achtung: Die Listen sind nicht zwingend identisch und sollten bei internationaler Handelstätigkeit immer wieder abgeglichen werden.
Für Länder ohne angemessenes Datenschutzniveau sind im Geschäftsbetrieb entweder ein völkerrechtlicher Vertrag, Datenschutzklauseln in den jeweiligen Verträgen oder, wie im häufigsten Fall, die Standarddatenschutzklauseln der EU (sog. EU SCCs) erforderlich. Diese Klauseln können auch auf Basis des nDSG genutzt werden. Prüfen Sie, welche Ihrer Vertragspartner im Ausland angesiedelt sind und ob dieses Land auf den Listen der CH oder der EU aufgeführt ist (identisch mit der DSGVO).
Meldung einer Verletzung des Schutzes personenbezogener Daten bzw. einer Datensicherheitsverletzung
Bei einer Datenpanne oder einem Datenzugriff durch unbefugte Dritte muss der Datenverantwortliche, das heisst der Unternehmer, den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) «so rasch als möglich» informieren. Ein solcher Fall liegt immer dann vor, wenn Personendaten verloren gehen, gelöscht, vernichtet, verändert oder Unbefugten zugänglich gemacht wurden. Die Meldung an die betroffenen Personen ist dann erforderlich, wenn es zu ihrem Schutz notwendig ist (zum Beispiel bei dem Verlust von sensiblen Daten, wie Gehalts- oder Gesundheitsdaten) oder der EDÖB es verlangt. Bezüglich Hackerattacken haben die Schweizer Behörden personell aufgerüstet und unterstützen insbesondere die KMU, die häufig keine eigene IT-Abteilung haben (Abweichung: in der DSGVO ist ein Datenverstoss spätestens 72 Stunden nach seinem Bekanntwerden zu melden).
Sanktionen
Verletzungen der Meldepflicht oder der Informations-, Auskunfts- beziehungsweise der Sorgfaltspflicht können bei privaten Personen eine Busse bis 250 000 CHF mit sich bringen. Achtung: Im Geschäftsbetrieb, das heisst gegenüber Unternehmen, ist das Wirtschaftsstrafrecht anwendbar und führt zu deutlich höheren Bussen (Abweichung: die DSGVO sieht grundsätzlich sehr viel höhere Bussen vor).