Neues Datenschutzgesetz: Schweiz erhöht IT-Sicherheit

Dr. Peter Schmanau
Absolvent Elektrotechnik Ostschweizer Fachhochschule (ehem. FHS), CEO / Founder SCC Schmanau Consulting
  • 20.02.2023
  • 9 min
Am 1. September 2023 tritt ein neues Datenschutzgesetz schweizweit in Kraft. Ursprünglich war ein Inkraftreten auf Mitte 2022 beabsichtigt, später hiess es, der 1. Januar 2023 sei das späteste Datum. Diese Verzögerung dürfte dem Anliegen der Wirtschaft eine Übergangsfrist zu schaffen und wohl der Widerstand gegen den missglückten Entwurf der revidierten VDSG mit dem verbundenen Folgearbeiten zuzuschreiben sein.

Die Revision soll jedoch nicht nur die Transparenz der Datenverarbeitung verbessern, sondern sie sorgt auch für eine erhöhte IT-Sicherheit und einen besseren Schutz der persönlichen Daten. Unternehmen sind aufgefordert, ihre Datenschutzrichtlinien an die neuen Rahmenbedingungen anzupassen.

Seit dem Inkrafttreten der neuen europäischen Datenschutzgrundverordnung (DSGVO) im Frühling 2018 hat auch die Schweiz ihre Datenschutzbestimmungen überarbeitet. Das neue Schweizer Datenschutzgesetz (revDSG) soll ab 1. September 2023 gelten und es bringt für Unternehmen einige Neuerungen mit sich. Das Datenschutzgesetz hat zwei Ziele: Es schreibt vor, welche Grundsätze bei der Bearbeitung von persönlichen Daten einzuhalten sind und es regelt die Rechte der Personen, deren Daten gesammelt werden. Ein frühzeitiges Überarbeiten der eigenen Datenschutzrichtlinien sowie eine sorgfältige Dokumentation sind notwendig, um die Anforderungen an die Datensicherheit unter dem neuen Gesetz zu erfüllen. Auch KMU’s und Kleinstunternehmen müssen reagieren.

Grundsätze der Datensammlung

Das Datenschutzgesetz betrifft Bundesbehörden und private Unternehmen mit Rechtssitz in der Schweiz. Es berücksichtigt ausschliesslich Daten, bei denen sich der Bezug zu einer Person herstellen lässt. So fallen beispielsweise anonymisierte Daten nicht unter das Gesetz. Anders als es in der Europäischen Union der Fall ist, sind Datensammlungen in der Schweiz grundsätzlich zulässig. Die Voraussetzungen sind, dass ein Unternehmen die Datensicherheit garantiert, die Bearbeitungsgrundsätze befolgt und die betroffene Person nicht widerspricht. Erst wenn eine dieser Bedingungen nicht gegeben ist, braucht das Unternehmen einen zusätzlichen Rechtfertigungsgrund. Als Bearbeitungsgrundsätze versteht das revDSG die Rechtmässigkeit, die Verhältnismässigkeit, die Zweckbindung der Datenbearbeitung sowie die Datenrichtigkeit. Als Rechtfertigungsgrundsätze gilt die Einwilligung der Betroffenen oder ein überwiegendes privates oder öffentliches Interesse.

Erweiterte Selbstbestimmungsrechte der betroffenen Personen

Personen, deren Daten man bearbeitet, profitieren massgeblich vom neuen Datenschutzgesetz, denn sie erhalten mit dem neuen Gesetz deutlich mehr Rechte über ihre eigenen Daten. Dieser Rechtsanspruch äussert sich in den folgenden Bereichen besonders deutlich.

Auskunftsrecht:

  • Betroffene Personen dürfen eine Auskunft darüber verlangen, welche Daten über sie bearbeitet werden. Dieses Recht ist im neuen Gesetz umfangreicher als bisher geregelt und es lässt sich nur unter bestimmten Umständen umgehen.

Widerspruchsrecht:

  • Sind Betroffene mit der Datenbearbeitung nicht einverstanden, so dürfen sie widersprechen und eine weitere Bearbeitung der Daten, oder die Weitergabe an Dritte verbieten.
  • Dank des Berichtigungsanspruchs und des Löschungsanspruchs können Betroffene eine Korrektur der Daten oder gar die Löschung verlangen.

Umfangreiche Pflichten für Unternehmen

Auch die Pflichten für Unternehmen werden mit dem neuen Datenschutzgesetz deutlich ausgeweitet. Laut Gesetzgeber ist es das Ziel, insbesondere die Transparenz der Datenverarbeitungen weiter zu verbessern:

  • Neu gilt bei der Beschaffung von Personendaten eine generelle Informationspflicht für Unternehmen. Betroffene Personen sind beispielsweise über die Identität des Datenverantwortlichen (Unternehmen oder natürliche Person), über den Bearbeitungszweck, über Auftragsbearbeiter (z.B. der eingesetzte Cloud-Anbieter, der die Daten verarbeitet und speichert) oder über einen allfälligen Export ins Ausland zu informieren. Ihrer Informationspflicht können Unternehmen in der Regel durch entsprechende Einträge in der für die betroffenen Personen zugänglichen Datenschutzerklärung auf der Unternehmenswebsite nachkommen.
  • Zusätzlich gilt neu auch eine Informationspflicht bei automatisierten Einzelentscheidungen. Wenn also Maschinen datenbasiert Entscheidungen treffen, sind die betroffenen Personen ebenfalls darüber in Kenntnis zu setzen. Ein Beispiel dafür ist die maschinelle Vorselektion von Bewerbenden.
  • Eine allgemeine Schweigepflicht trifft sämtliche Arbeitnehmenden, welche mit Personendaten in Kontakt sind.
  • Unternehmen bzw. deren Datenverantwortliche müssen neu ein Bearbeitungsverzeichnis führen. Es wird empfohlen, sachlich zusammenhängende Bearbeitungen zusammenzufassen wie etwa z.B. Personaladministration, Rekrutierung, Kundendatenverwaltung, Kundendienst, Onlineshop, Newsletter, Produktentwicklung, Lieferantenverwaltung, Finanz- und Rechnungswesen, Auswertung der Webseitennutzung, Videoüberwachung, Gebäudemanagement, Finanz- und Rechnungswesen und E-Mail. Der Inhalt des Verzeichnisses ist in Artikel 12 des revDSG festgelegt. Eine besondere Form des Verzeichnisses ist nicht vorgeschrieben. Es kann als Excel- oder Worddatei oder in der Form einer dedizierten IT-Lösung geführt werden. Unternehmen mit weniger als 250 Mitarbeitenden sind von dieser Pflicht ausgenommen, sofern sie nicht umfangreich besonders schützenswerte Personendaten bearbeiten oder ein Profiling der Daten mit hohem Risiko vornehmen.

Mit der Zunahme der Pflichten für Unternehmen hat die Schweiz auch die potenziellen Straftatbestände im revDSG ausgeweitet. Eine Reihe wichtiger Bestimmungen des Datenschutzgesetzes sind unter strafrechtlichen Schutz gestellt. Die Klagen richten sich in der Regel an eine natürliche Person, etwa an eine Führungsperson des Unternehmens und sehen Bussen bis zu CHF 250'000 vor.

Welche Themen rund um Datensicherheit sind betroffen?

Im Grundsatz fordert das revidierte Datenschutzgesetz Unternehmen dazu auf, alle erforderlichen und angemessenen Massnahmen zu ergreifen, um die Datensicherheit im eigenen Betrieb zu gewährleisten. In den folgenden vier Punkten offenbart sich dabei Handlungsbedarf:

1. Mindestanforderungen an die Datensicherheit

Die Mindestanforderungen an die Datensicherheit sind in einer Verordnung festgehalten und von jedem Unternehmen zwingend zu erfüllen. Der Bundesrat hat dazu sogenannte Schutzziele definiert, welche die IT-Sicherheit in Unternehmen verbessern sollen. Diese umfassen unter anderem Zugriffs- und Zugangskontrollen, Benutzerkontrollen, Datenträgerkontrollen oder auch Speicherkontrollen.

Unter dem neuen Datenschutzgesetz liegt es in der Verantwortung der Unternehmen zu beurteilen, welche Massnahmen notwendig sind, um diese Forderungen zu erfüllen.

2. Export der Daten

Bereits heute ist der Export von Personendaten nur in Länder erlaubt, deren Gesetzgebung einen ausreichenden Datenschutz sicherstellt. Ist diese Bedingung nicht gegeben, so ist der Export durch zusätzliche Massnahmen zu sichern und vertraglich abzustützen. Anderenfalls ist vorgängig eine ausdrückliche Einwilligung der vom Datenexport betroffenen Personen notwendig.

Hat ein Unternehmen die notwendigen Schritte für einen sicheren Datenexport umgesetzt, so entfällt unter dem revidierten Schweizer Datenschutzgesetz die bisher geltende Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

3. Datenschutz-Folgeabschätzugnen

Plant ein KMU eine Datenverarbeitung, welche die Persönlichkeitsrechte oder die Grundrechte der betroffenen Person gefährden könnte, so muss das verantwortliche Unternehmen vorgängig eine sogenannte Datenschutz-Folgeabschätzung durchführen. Dabei analysieren sie potenziell negative Folgen und treffen die notwendigen Vorkehrungen, um das Risiko abzuschwächen oder zu unterbinden. Beim Aufbau einer umfassenden Kundendatenbank oder bei der automatisierten Datenbearbeitung kann eine solche Folgeabschätzung beispielsweise verlangt werden.

Bei der Datenschutz-Folgeabschätzung handelt es sich um eine Selbstbeurteilung. Im Zweifelsfall ist eine Konsultation des EDÖB möglich.

4. Verletzungen der Datensicherheit

Auch Verletzungen der Datensicherheit sind unter dem neuen Schweizer Datenschutzgesetz geregelt: Bei schwerwiegenden Zwischenfällen ist das Unternehmen verpflichtet, den Vorfall so rasch wie möglich dem EDÖB zu melden. Zu solchen Hochrisiko-Vorfällen gehören etwa der Diebstahl von Passwörtern bei einem Hackerangriff auf einen Online-Shop, die Entwendung von Kundendaten durch einen Bankmitarbeiter oder der Verlust eines Notebooks oder Smartphones mit Zugang zu vertraulichen Daten.

Allfällige Auftragsbearbeiter (z.B. Cloud-Anbieter), die mit dem Verarbeiten und Speichern von Daten betraut sind, trifft eine noch umfangreichere Meldepflicht. Sie müssen jede Missachtung der Datensicherheit ihrem Auftraggeber mitteilen. Auch in diesen Fällen sind die Unternehmen selbst dafür verantwortlich, die Auswirkungen auf die Datensicherheit einzuschätzen und der Meldepflicht an den EDÖB nachzukommen.

Revidiertes Datenschutzgesetz Schweiz: 10 Empfehlungen für die Umsetzung in KMU

Um die Umstellung auf das neue Datenschutzgesetz problemlos und regelkonform zu meistern, empfehlen Rechtsexperten Unternehmen, folgende Massnahmen umzusetzen:

  1. Prüfung und Aktualisierung der bestehenden Datenschutzerklärungen.
  2. Frühzeitige Definition der organisatorischen Verantwortlichkeiten für den Datenschutz im Unternehmen und unternehmensinterne Information über die Schweigepflicht.
  3. Regeln der Prozesse rund um die Auskunfts-, Berichtigungs-und Löschungsbegehren von Betroffenen sowie der Umgang mit Widersprüchen.
  4. Die Prozesse zur Datenbearbeitung, zur Meldung von Verletzungen der Daten­sicherheit sowie zur Löschung und Archivierung von Daten sind auszuarbeiten und festzuhalten.
  5. Sind Drittpersonen mit der Bearbeitung der Daten beauftragt, so sind deren Rechte und Pflichten vertraglich abzusichern.
  6. Vorbereiten des Verarbeitungsverzeichnisses, sofern das Unternehmen ein solches zu erstellen hat.
  7. Findet ein Datenexport ins Ausland statt, so ist sicherzustellen, dass der Export in ein als sicher geltendes Land geht. Andernfalls sind die geforderten zusätzlichen Sicherheitsmassnahmen zu treffen.
  8. Der Ablauf der Datenschutz-Folgeabschätzungen ist zu klären, sofern die Datenbearbeitung Persönlichkeitsrechte oder Grundrechte der betroffenen Personen verletzten könnte.
  9. KMU sollten die getroffenen Massnahmen für die Gewährleistung der Datensicherheit sorgfältig dokumentieren.
  10. Sämtliche Verantwortlichkeiten und definierten Prozesse sind ebenfalls in geeigneter Form und nachvollziehbar festzuhalten.

Dank IT-Experten auf das neue DSG vorbereitet

Bald tritt das revidierte Datenschutzgesetz schweizweit in Kraft und Unternehmen sind gefordert, ihre Governance-Richtlinien möglichst frühzeitig zu analysieren und gesetzeskonform anzupassen. Während KMU’s ihren Informations- und Dokumentationspflichten mit internen Prozessen und einer überarbeiteten Datenschutzrichtlinie nachkommen können, ist es mit Blick auf die Daten- und IT-Sicherheit ratsam, sich von IT-Experten mit fundierten Fachkenntnissen in Cyber Security unterstützen zu lassen.

Dank einem umfassenden Fachwissen können so wichtige technische Massnahmen ergriffen werden, die für die Umsetzung des neuen Datenschutzgesetzes notwendig sind. Es wir Unterstützung bei der Identifikation von Datentransfers in unsichere Drittländer geboten und bei den Kontrollen von Datenträgern, Speichern, Benutzern, Zugriffen etc. Im besten Fall können die Datenspeicherung und -sicherung mit den eingesetzten Tools ausschliesslich über in der Schweiz platzierte Server gewährleistet werden – damit lassen sich zusätzliche vertragliche Absicherungen im Falle von Datenexporten in unsichere Drittländer vermeiden.

Ein sorgsamer IT-Dienstleister erstellt mit den eingesetzten IT- Security-Lösungen darüber hinaus eine nachvollziehbare und umfangreiche Dokumentation, die im Sinne des revDSG getroffenen technischen Massnahmen, sowie den zugrunde liegenden Überlegungen. Dies ist insbesondere hinsichtlich der weitreichenden Selbstverantwortung, sowie der drohenden strafrechtlichen Konsequenzen wichtig.

Kommentare