Die Revision soll jedoch nicht nur die Transparenz der Datenverarbeitung verbessern, sondern sie sorgt auch für eine erhöhte IT-Sicherheit und einen besseren Schutz der persönlichen Daten. Unternehmen sind aufgefordert, ihre Datenschutzrichtlinien an die neuen Rahmenbedingungen anzupassen.
Seit dem Inkrafttreten der neuen europäischen Datenschutzgrundverordnung (DSGVO) im Frühling 2018 hat auch die Schweiz ihre Datenschutzbestimmungen überarbeitet. Das neue Schweizer Datenschutzgesetz (revDSG) soll ab 1. September 2023 gelten und es bringt für Unternehmen einige Neuerungen mit sich. Das Datenschutzgesetz hat zwei Ziele: Es schreibt vor, welche Grundsätze bei der Bearbeitung von persönlichen Daten einzuhalten sind und es regelt die Rechte der Personen, deren Daten gesammelt werden. Ein frühzeitiges Überarbeiten der eigenen Datenschutzrichtlinien sowie eine sorgfältige Dokumentation sind notwendig, um die Anforderungen an die Datensicherheit unter dem neuen Gesetz zu erfüllen. Auch KMU’s und Kleinstunternehmen müssen reagieren.
Das Datenschutzgesetz betrifft Bundesbehörden und private Unternehmen mit Rechtssitz in der Schweiz. Es berücksichtigt ausschliesslich Daten, bei denen sich der Bezug zu einer Person herstellen lässt. So fallen beispielsweise anonymisierte Daten nicht unter das Gesetz. Anders als es in der Europäischen Union der Fall ist, sind Datensammlungen in der Schweiz grundsätzlich zulässig. Die Voraussetzungen sind, dass ein Unternehmen die Datensicherheit garantiert, die Bearbeitungsgrundsätze befolgt und die betroffene Person nicht widerspricht. Erst wenn eine dieser Bedingungen nicht gegeben ist, braucht das Unternehmen einen zusätzlichen Rechtfertigungsgrund. Als Bearbeitungsgrundsätze versteht das revDSG die Rechtmässigkeit, die Verhältnismässigkeit, die Zweckbindung der Datenbearbeitung sowie die Datenrichtigkeit. Als Rechtfertigungsgrundsätze gilt die Einwilligung der Betroffenen oder ein überwiegendes privates oder öffentliches Interesse.
Personen, deren Daten man bearbeitet, profitieren massgeblich vom neuen Datenschutzgesetz, denn sie erhalten mit dem neuen Gesetz deutlich mehr Rechte über ihre eigenen Daten. Dieser Rechtsanspruch äussert sich in den folgenden Bereichen besonders deutlich.
Auskunftsrecht:
Widerspruchsrecht:
Auch die Pflichten für Unternehmen werden mit dem neuen Datenschutzgesetz deutlich ausgeweitet. Laut Gesetzgeber ist es das Ziel, insbesondere die Transparenz der Datenverarbeitungen weiter zu verbessern:
Mit der Zunahme der Pflichten für Unternehmen hat die Schweiz auch die potenziellen Straftatbestände im revDSG ausgeweitet. Eine Reihe wichtiger Bestimmungen des Datenschutzgesetzes sind unter strafrechtlichen Schutz gestellt. Die Klagen richten sich in der Regel an eine natürliche Person, etwa an eine Führungsperson des Unternehmens und sehen Bussen bis zu CHF 250'000 vor.
Im Grundsatz fordert das revidierte Datenschutzgesetz Unternehmen dazu auf, alle erforderlichen und angemessenen Massnahmen zu ergreifen, um die Datensicherheit im eigenen Betrieb zu gewährleisten. In den folgenden vier Punkten offenbart sich dabei Handlungsbedarf:
Die Mindestanforderungen an die Datensicherheit sind in einer Verordnung festgehalten und von jedem Unternehmen zwingend zu erfüllen. Der Bundesrat hat dazu sogenannte Schutzziele definiert, welche die IT-Sicherheit in Unternehmen verbessern sollen. Diese umfassen unter anderem Zugriffs- und Zugangskontrollen, Benutzerkontrollen, Datenträgerkontrollen oder auch Speicherkontrollen.
Unter dem neuen Datenschutzgesetz liegt es in der Verantwortung der Unternehmen zu beurteilen, welche Massnahmen notwendig sind, um diese Forderungen zu erfüllen.
Bereits heute ist der Export von Personendaten nur in Länder erlaubt, deren Gesetzgebung einen ausreichenden Datenschutz sicherstellt. Ist diese Bedingung nicht gegeben, so ist der Export durch zusätzliche Massnahmen zu sichern und vertraglich abzustützen. Anderenfalls ist vorgängig eine ausdrückliche Einwilligung der vom Datenexport betroffenen Personen notwendig.
Hat ein Unternehmen die notwendigen Schritte für einen sicheren Datenexport umgesetzt, so entfällt unter dem revidierten Schweizer Datenschutzgesetz die bisher geltende Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Plant ein KMU eine Datenverarbeitung, welche die Persönlichkeitsrechte oder die Grundrechte der betroffenen Person gefährden könnte, so muss das verantwortliche Unternehmen vorgängig eine sogenannte Datenschutz-Folgeabschätzung durchführen. Dabei analysieren sie potenziell negative Folgen und treffen die notwendigen Vorkehrungen, um das Risiko abzuschwächen oder zu unterbinden. Beim Aufbau einer umfassenden Kundendatenbank oder bei der automatisierten Datenbearbeitung kann eine solche Folgeabschätzung beispielsweise verlangt werden.
Bei der Datenschutz-Folgeabschätzung handelt es sich um eine Selbstbeurteilung. Im Zweifelsfall ist eine Konsultation des EDÖB möglich.
Auch Verletzungen der Datensicherheit sind unter dem neuen Schweizer Datenschutzgesetz geregelt: Bei schwerwiegenden Zwischenfällen ist das Unternehmen verpflichtet, den Vorfall so rasch wie möglich dem EDÖB zu melden. Zu solchen Hochrisiko-Vorfällen gehören etwa der Diebstahl von Passwörtern bei einem Hackerangriff auf einen Online-Shop, die Entwendung von Kundendaten durch einen Bankmitarbeiter oder der Verlust eines Notebooks oder Smartphones mit Zugang zu vertraulichen Daten.
Allfällige Auftragsbearbeiter (z.B. Cloud-Anbieter), die mit dem Verarbeiten und Speichern von Daten betraut sind, trifft eine noch umfangreichere Meldepflicht. Sie müssen jede Missachtung der Datensicherheit ihrem Auftraggeber mitteilen. Auch in diesen Fällen sind die Unternehmen selbst dafür verantwortlich, die Auswirkungen auf die Datensicherheit einzuschätzen und der Meldepflicht an den EDÖB nachzukommen.
Um die Umstellung auf das neue Datenschutzgesetz problemlos und regelkonform zu meistern, empfehlen Rechtsexperten Unternehmen, folgende Massnahmen umzusetzen:
Bald tritt das revidierte Datenschutzgesetz schweizweit in Kraft und Unternehmen sind gefordert, ihre Governance-Richtlinien möglichst frühzeitig zu analysieren und gesetzeskonform anzupassen. Während KMU’s ihren Informations- und Dokumentationspflichten mit internen Prozessen und einer überarbeiteten Datenschutzrichtlinie nachkommen können, ist es mit Blick auf die Daten- und IT-Sicherheit ratsam, sich von IT-Experten mit fundierten Fachkenntnissen in Cyber Security unterstützen zu lassen.
Dank einem umfassenden Fachwissen können so wichtige technische Massnahmen ergriffen werden, die für die Umsetzung des neuen Datenschutzgesetzes notwendig sind. Es wir Unterstützung bei der Identifikation von Datentransfers in unsichere Drittländer geboten und bei den Kontrollen von Datenträgern, Speichern, Benutzern, Zugriffen etc. Im besten Fall können die Datenspeicherung und -sicherung mit den eingesetzten Tools ausschliesslich über in der Schweiz platzierte Server gewährleistet werden – damit lassen sich zusätzliche vertragliche Absicherungen im Falle von Datenexporten in unsichere Drittländer vermeiden.
Ein sorgsamer IT-Dienstleister erstellt mit den eingesetzten IT- Security-Lösungen darüber hinaus eine nachvollziehbare und umfangreiche Dokumentation, die im Sinne des revDSG getroffenen technischen Massnahmen, sowie den zugrunde liegenden Überlegungen. Dies ist insbesondere hinsichtlich der weitreichenden Selbstverantwortung, sowie der drohenden strafrechtlichen Konsequenzen wichtig.