Recht

Datenschutzgesetz

Worauf Unternehmen achten sollten

Das totalrevidierte Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) und der neuen Verordnung über Datenschutzzerti­fizierungen (VDSZ) sind per 1. September 2023 in Kraft getreten. Der Beitrag zeigt, worauf sich KMU einstellen müssen und was zu unternehmen ist.
PDF Kaufen

Die Revision des Schweizer Datenschutzgesetzes ist seit dem 1. September 2023 in Kraft. Im revidierten Gesetz findet eine weitgehende Annäherung an die euro­päische Datenschutz-Grundverordnung (DSGVO) statt, welche schon seit knapp fünf Jahren gilt. Der Inhalt der DSGVO wurde aber nicht für alle Belange als Vorbild genommen. Damit bleibt die Umsetzung der Datenschutzanforderungen für Schweizer KMU nicht immer einfach. Vorab aber eine kleine Entwarnung: Wer bereits vor fünf Jahren Massnahmen zur Umsetzung der DSGVO getroffen hat, muss diese nicht über den Haufen werfen. Mit ein paar Anpassungen ist auch die Konformität mit dem revidierten Schweizer Datenschutzgesetz gegeben.

Das in den Unternehmen wohl am heis­sesten diskutierte Thema ist die Einführung der neuen Bussenregelung, wonach nicht etwa das Unternehmen, sondern die darin arbeitenden Privatpersonen mit Bussen von bis zu 250 000 CHF zur Verantwortung gezogen werden können. Viele Schweizer KMU fragen sich, wie sie sich mit dem Thema Datenschutz auseinandersetzen sollen und was es für sie konkret zu unternehmen gilt. Denn nicht alle Unternehmen müssen die gleichen Vorkehrungen treffen. Der vorliegende Artikel soll ihnen eine Hilfe bei dieser Einschätzung sein.

Was zu tun ist

Eine Übersicht schaffen 

Unter gewissen Umständen haben Sie ein sogenanntes Bearbeitungsverzeichnis zu erstellen, in welchem Sie verschiedene Informationen über die Datenbearbeitung in Ihrem KMU festhalten. Diese Pflicht ist mit einem beachtlichen Aufwand verbunden. Um zu prüfen, ob das Erstellen von einem solchen Verzeichnis Pflicht für Ihr KMU ist, müssen Sie sich die folgenden Fragen stellen:

  • In Ihrem KMU arbeiten mehr als 250 Personen (Vollzeitstellen)
  • Ihr KMU bearbeitet besonders schützenswerte Personendaten (vergleiche Absatz «Datenschutz-Know-how» am Ende)
  • Ihr KMU bearbeitet Personendaten in einer Weise, welche ein hohes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt

Können Sie all diese Fragen mit gutem Gewissen mit «Nein» beantworten, dann benötigen Sie kein Bearbeitungsverzeichnis. Dies wird vor allem bei kleineren KMU ­zutreffen, welche ausschliesslich im B2B-Bereich tätig sind und gar nie oder nur im geringen Masse mit besonders schützenswerten Personendaten in Berührung kommen. Trotzdem müssen Sie die Antworten zu den Fragen periodisch überprüfen, um allenfalls zu einem späteren Zeitpunkt ein Verzeichnis zu erstellen.

Haben Sie auch nur eine der Fragen mit «Ja» beantwortet, so haben Sie ein Bearbeitungsverzeichnis zu erstellen. Das Bearbeitungsverzeichnis muss Ihnen einen Überblick über sämtliche Applikationen und Prozesse geben, bei denen in Ihrem KMU personenbezogene Daten bearbeitet werden.

Wichtigster Inhalt des Bearbeitungsverzeichnisses ist unter anderem die Auflistung folgender Informationen:

  • Bearbeitungszweck
  • Beschreibung von Kategorien betroffener Personen (zum Beispiel Konsumenten, Arbeitnehmer)
  • Beschreibung von Kategorien bearbeiteter Personendaten (zum Beispiel Wohnadressen, Salär, besonders schützenswerte Personendaten)
  • Kategorien der Empfänger
  • Angabe des Staates und der Garantien, sofern Daten ins Ausland bekannt gegeben werden

Für das Erstellen des Bearbeitungsverzeichnisses benötigen Sie die Unterstützung Ihres IT-Teams genauso wie der einzelnen Verantwortlichen in den Bereichen Verkauf, Einkauf, HR, Finanzen et cetera. Diese können Ihnen sagen, welche Personendaten Ihr KMU wo und wie bearbeitet. Machen Sie sich die Angelegenheit aber nicht schwerer, als sie ist: Eine Excelliste, die sämtliche Bearbeitungen auflistet und die nötigen Informationen enthält, reicht hier völlig aus.

Wir raten auch Unternehmen mit weniger als 250 Mitarbeitern dazu, ein zu­mindest rudimentäres Verzeichnis der Datenbearbeitungen zu führen, sozusagen ein «Bearbeitungsverzeichnis light». Dieses Verzeichnis hilft dabei, zu prüfen, ob die Informationspflicht über Datenbearbeitungen, die von allen Unternehmen zu beachten ist, eingehalten ist. Im Üb­rigen hilft dieser Überblick auch bei der Beantwortung von Auskunfts- oder anderweitigen Begehren von betroffenen Personen.

Unbedingt informieren

Eine grosse Veränderung bringt das neue Datenschutzrecht in Sachen Informationspflicht mit sich. Neu sind, die Betroffenen über jede Bearbeitung ihrer Perso­nendaten im Voraus zu informieren. Die Verletzung dieser Pflicht kann bei vorsätzlichem Handeln, wie eingangs erwähnt, gebüsst werden. Die von der Datenbearbeitung betroffenen Personen in Ihrem KMU können Sie grundsätzlich in die folgenden beiden Kategorien einteilen:

  • Mitarbeitende (interne Kategorie): Proaktive Information mittels einer internen Datenschutzerklärung (zum Beispiel im Personalreglement)
  • Konsumenten, Kunden, Websitenutzende, Lieferanten etc. (externe Kategorie): Information mittels einer externen Datenschutzerklärung

Wissen Ihre Mitarbeitenden heute nicht, wie, wo und welche ihrer Daten Sie bearbeiten, dann müssen Sie zwingend proaktiv darüber informieren. Haben Sie bis heute noch keine Datenschutzerklärung auf Ihrer Website, welche für externe Personen frei zugänglich ist, so haben sie auch dies dringend nachzuholen. Verfügen Sie schon seit längerem über eine externe und interne Datenschutz­erklä­rungen, so empfiehlt sich eine Überprüfung, mittels welcher Sie die Aktua­lität ­sicherstellen.

Keine Weitergabe von Daten an Dritte ohne Vertrag

Es ist kaum denkbar, dass ein Unternehmen heute noch ohne Dienstleister auskommt, welche in irgendeiner Weise Daten Ihrer KMU bearbeiten. Bereits das nicht selbst gehostete HR-Tool oder die Ausla­gerung der Buchhaltung an Drittunter­nehmen führt automatisch zu einer Da­tenbearbeitung durch Dritte (sogenannte Auftragsdatenbearbeiter, vergleiche dazu Absatz «Datenschutz-Know-how» am Ende). Dem Drittunternehmen dürfen Sie die Daten Ihres KMU nur dann weitergeben, wenn Sie mit diesen einen Vertrag geschlossen haben, welcher die Datenbearbeitung in geeigneter Weise regelt (sogenannte Datenbearbeitungsvereinbarungen oder DPA, data processing agreements). 

Mit diesen Vereinbarungen stellen Sie unter anderem sicher, dass das Drittunternehmen nur erlaubte Datenbearbeitungen vornimmt, den Zugriff auf die Daten schützt, die Daten nicht (ins Ausland) weitergibt oder ohne Vorabgenehmigung weitere Datenbearbeiter einsetzt etc.

Kein Transfer ins Ausland ohne Absicherung

Personendaten dürfen ins Ausland bekanntgegeben werden, sofern im entsprechenden Land ein genügend angemessener Schutz der Daten besteht. Eine Liste der Staaten mit angemessenem Datenschutz befindet sich im Anhang zur Verordnung über den Datenschutz (Datenschutzverordnung, DSV). Datentransfers zum Beispiel ins europäische Umfeld sind unproblematisch.

Schwieriger gestaltet sich die rechtliche Lage bei Datentransfers in das sogenannte «unsichere» Ausland, wozu zum Beispiel die USA, Indien oder China gehören. Wenn Sie Daten in eines der besagten Länder transferieren, sind weitere Massnahmen zu treffen (zum Beispiel Abschluss von Standardvertragsklauseln, siehe dazu Absatz «Datenschutz-Know-how»). Alternativ ist im Einzelfall die Einwilligung der Betroffenen für den Transfer ins Ausland einzuholen.

Indem ein Grossteil der Daten elektronisch gespeichert wird, werden Daten rasch weitergegeben. Befindet sich zum Beispiel der Speicherort von Daten Ihres KMU im Ausland (ebenfalls rasch der Fall bei zum Beispiel Cloud-Servern), so haben Sie diese schon ins Ausland weiter­gegeben. Einige amerikanische Dienstleister bieten bereits heute Lösungen an, bei denen die Daten ausschliesslich auf europäischen Servern abgelegt werden. Datenschutzrechtlich ist das Problem damit zwar aufgrund der weiterhin bestehenden Möglichkeit eines Zugriffs des amerikanischen Unternehmens auf die Cloud-Inhalte nicht gelöst, aber sicherlich massiv entschärft.

Prüfen, ob eine Datenschutz-­Folgenabschätzung benötigt wird

Beabsichtigen Sie eine Datenbearbeitung, durch die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person entsteht, so haben Sie vorgängig eine Datenschutz-Folgenabschätzung vorzunehmen. Dies ist insbesondere dann der Fall, wenn Sie neue Technologien verwenden oder wenn Art, Umfang, Umstände und/oder Zweck der Bearbeitung ein hohes Risiko mit sich bringen. Für die Vornahme der Datenschutz-Folgenabschätzung sowie für die daraus ­folgende Risikobewertung wird der Beizug eines externen Experten empfohlen.

Einen Prozess für die Beantwor­tung von Betroffenenbegehren und für Vorfälle festlegen

Betroffene können mit Begehren an Sie gelangen: Sie haben unter anderem ein Recht auf Auskunft, auf Löschung, auf Berichtigung etc. Mit Ausnahme des Rechts auf Datenherausgabe und -übertragung in einem gängigen elektronischen Format sind dies keine neuen Rechte. Wichtig ist aber, dass Sie wissen, wie Sie auf ein allfälliges Begehren reagieren müssen. Auskunftsbegehren müssen innerhalb von 30 Tagen beantwortet werden. Wenn Sie also bereits einen konkreten Prozess festgelegt haben, können Sie umso gelassener sein. Im Prozess sind folgende Aspekte zu regeln:

  • Überprüfung der Berechtigung zur Stellung des Begehrens
  • Festlegung interner Verantwortlich­keiten
  • Form und Inhalt der Beantwortung

Ein Prozess und die Klärung von Verantwortlichkeiten sind ebenfalls notwendig, wenn es zu einer Datenpanne (sogenannter «Data breach», siehe dazu Absatz «Datenschutz-Know-how») kommt. Solche Datenpannen sind gemäss neuem Datenschutzrecht dem EDÖB «so rasch als möglich» zu melden, wenn sie zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen. Unter Umständen ist auch die betroffene Person zu informieren. Da bei einer Datenpanne schnelles Handeln gefordert ist, lohnt es sich, wenn vorab die Verantwortlichkeiten und die Prozesse geklärt sind.

Was nicht schwieriger wird

  • Grundsätzlich bleibt es beim System, wonach Datenbearbeitungen von Personendaten erlaubt sind, solange die Grundsätze des Datenschutzes (vergleiche dazu Absatz «Datenschutz-Know-how») eingehalten sind.
  • Eine Einwilligung zur Datenbearbeitung wird nur in wenigen Fällen vorausgesetzt, besonders dann, wenn die Grundsätze nicht eingehalten werden können.
  • Eine Datenbearbeitung durch Dritte bleibt weitgehend gleichermassen möglich und ein Transfer ins Ausland wird nicht grundsätzlich erschwert.
  • Die Strafbestimmungen kommen nur zum Tragen, wenn vorsätzlich gehandelt wird, nicht jedoch bei fahrlässigem Handeln. Trotzdem lohnt es sich, keine Strafverfahren zu riskieren.
  • Es gibt weiterhin keinen Zwang, einen Datenschutzbeauftragten (unter neuem Recht neu der «Datenschutzberater») zu bestimmen. 

Datenschutz-Know-how

Personendaten

Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (zum Beispiel Name, Adresse, Geburtsdatum, IP-Adresse etc.). Juristische Personen sind unter dem neuen Datenschutzgesetz nicht mehr geschützt. Nur wer Personendaten bearbeitet, untersteht dem Datenschutzgesetz. Nun handelt es sich aber ­bereits bei Mitarbeiterdaten um Perso­nen­daten, zum Teil sogar um «besonders schützenswerte» Personendaten. Genauso sind auch E-Mailadressen und Kontakt­informationen von Mitarbeitern der Geschäftspartner oder Geschäftskunden Personendaten gemäss Datenschutzgesetz. Aus diesem Grund hat sich grundsätzlich jedes KMU die Frage zu stellen, wie sie mit den Anforderungen des Schweizer Datenschutzrechts umgehen sollen. Diese sind – je nach Art der Tätigkeit – unterschiedlich: von KMU etwa im Industrie- und Gewerbebereich, die in erster Linie mit B2B-Partnern arbeiten und keine sensitiven Daten bearbeiten, sind sie geringer als bei KMU mit Daten von Privatkunden (B2C).

Besonders schützenswerte ­Personendaten

  • Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
  • Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie
  • genetische Daten
  • biometrische Daten, die eine natürliche Person eindeutig identifizieren
  • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen;
  • Daten über Massnahmen der sozialen Hilfe

Grundsätze der ­Datenbearbeitung

  • Nur rechtmässiges Bear­beiten
  • Bearbeitung nach Treu und Glauben und Einhaltung der Verhältnismässigkeit
  • Zweckmässigkeit: nur zu bestimmtem für die betroffene Person erkennbaren Zweck
  • Vernichtung oder Anonymisierung, wenn für Bearbeitungszweck nicht mehr erforderlich
  • Richtigkeit und Vollständigkeit der Daten ist zu überprüfen

Können diese Grundsätze der Datenbe­arbeitung nicht eingehalten werden oder ist zweifelhaft, ob diese in einem bestimmten Fall eingehalten sind, ist die Bearbeitung von Daten nicht per se zu unterlassen. Wichtig ist hier, dass bei der ­betroffenen Person eine Einwilligung eingeholt wird.

Bearbeiten

Darunter fällt jede Art von Bearbeitung, zum Beispiel auch der Umgang mit Personendaten, unabhängig von den an­gewandten Mitteln und Verfahren, ins­besondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.

Auftragsbearbeiter

Die Bearbeitung von Personendaten kann einem Auftragsbearbeiter übertragen werden (etwa Outsourcing HR in einem HR-Tool). Als Auftragsbearbeiter gelten nur jene, die Daten so bearbeiten, wie es der Verantwortliche selbst tun dürfte. Der Auftragsbearbeiter hat sich daher genau an die Zweckbestimmung zu halten und darf die Daten nicht für eigene Zwecke verwenden. Eine Auftragsbearbeitung ist zudem dann nicht zulässig, wenn eine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet, die Daten durch jemand anderen bearbeiten zu lassen.

Standardvertragsklauseln

Sogenannte Standard Contracting Clauses (SCC) bieten die Möglichkeit, Personendaten in ein als unsicher geltendes Ausland zu transferieren. Durch die Vereinbarung von solchen Klauseln kann ein angemes­sener Schutz durch Vertrag gewährleistet werden. Eines der bekannten Vertragswerke, das vom EDÖB anerkannt wird, sind die Standardvertragsklauseln der EU gemäss dem Beschluss der Europäischen Kommission. Die meisten grösseren Internet-Dienstleister machen solche Standardvertragsklauseln bereits von vornherein zum Bestandteil ihrer Verträge. Wenn ein Unternehmen diese nicht anbietet, sollten Sie beim Abschluss eines Vertrages vorsichtig sein und diesen Umstand hinter­fragen. Im Juni 2021 wurden neue Standardvertragsklauseln der Europäischen Kommission erlassen. Unternehmen, die Standardvertragsklauseln einsetzen, hätten per Ende 2022 bereits sämtliche Verträge anpassen sollen. Wer noch alte in Gebrauch hat, sollte sich in einem allerersten Schritt um diese Ak­tualisierung kümmern.

Datenpanne

Sogenannte «Data breaches» sind Verletzungen der Datensicherheit. Es geht darum, dass Personendaten verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder ­zugänglich gemacht werden. Zu denken ist hier an Hackerangriffe, versehentlich öffentlich gemachte oder gelöschte Kundendaten etc.

Porträt