Das revidierte Datenschutzgesetz – Handlungsbedarf für KMU

Management Summary

Das revi­dier­te Daten­schutz­ge­setz tritt am 1. Sep­tem­ber 2023 in Kraft. Dabei wer­den Pflich­ten für Unter­neh­mer aus­ge­baut und Sank­tio­nen bei Ver­let­zun­gen daten­schutz­recht­li­cher Vor­schrif­ten ver­stärkt. Jedes Unter­neh­men ist von der Revi­si­on betrof­fen. Der Zeit­punkt ist daher ide­al, um den Hand­lungs­be­darf im Unter­neh­men zu überprüfen.

Überblick

Das revi­dier­te Daten­schutz­ge­setz (rDSG) legt einen Fokus auf eine ver­stärk­te Gover­nan­ce. Wäh­rend die Grund­sät­ze der Daten­be­ar­bei­tung wei­test­ge­hend unver­än­dert blei­ben, wird die Trans­pa­renz der Daten­be­ar­bei­tun­gen ver­bes­sert und die Rech­te der betrof­fe­nen Per­so­nen wer­den gestärkt. Unter­neh­men, wel­che die Daten­schutz-Grund­ver­ord­nung der EU (DSGVO) bereits umset­zen, haben dabei einen Vor­sprung bei der Imple­men­tie­rung der Neu­re­ge­lun­gen. Den­noch gibt es im rDSG teil­wei­se abwei­chen­de oder wei­ter­ge­hen­de Rege­lun­gen, als die DSGVO sie vor­sieht. Im Rah­men der Über­prü­fung der Daten­schutz­kon­for­mi­tät sowie der Ein­füh­rung der Neu­re­ge­lun­gen des rDSG gibt es diver­se Aspek­te zu berück­sich­ti­gen. In der nach­fol­gen­den Über­sicht wer­den die wich­tigs­ten Hand­lungs­fel­der aufgeführt.

Handlungsbedarf für KMU

Bestandesaufnahme

In einem ers­ten Schritt erfolgt eine Ana­ly­se der Daten­be­ar­bei­tun­gen. Dabei wer­den diver­se Leit­fra­gen beant­wor­tet: Wel­che Per­so­nen­da­ten bear­bei­ten wir zu wel­chen Zwe­cken? Von wem erhal­ten wir Daten? An wen geben wir Daten wei­ter? Etc. Die Iden­ti­fi­zie­rung der Daten­be­ar­bei­tun­gen im Unter­neh­men ist unab­ding­bar, um wei­te­re daten­schutz­recht­li­che Pflich­ten ein­zu­hal­ten sowie um ein gewis­ses Ver­ständ­nis über den Umgang mit den bear­bei­te­ten Per­so­nen­da­ten zu schaf­fen. Das Ergeb­nis der Bestan­des­auf­nah­me kann sodann in einem Bear­bei­tungs­ver­zeich­nis doku­men­tiert wer­den. Obwohl für die meis­ten Unter­neh­men auf­grund der KMU-Aus­nah­me­re­ge­lung gemäss rDSG kei­ne Pflicht zur Füh­rung eines Ver­zeich­nis­ses besteht, ist die­se Vor­ge­hens­wei­se emp­feh­lens­wert. Ins­be­son­de­re dient ein Bear­bei­tungs­ver­zeich­nis als Grund­la­ge zur Erstel­lung einer kon­for­men Datenschutzerklärung.

Datenschutzerklärung

Unter­neh­men müs­sen betrof­fe­ne Per­so­nen über die Bear­bei­tung von Per­so­nen­da­ten  infor­mie­ren. Die meis­ten Unter­neh­men wer­den bereits eine Daten­schutz­er­klä­rung auf ihrer Web­site ver­öf­fent­licht haben. Mit dem rDSG wird jedoch die Infor­ma­ti­ons­pflicht ver­stärkt. Aus die­sem Grund ist es emp­feh­lens­wert, bestehen­de Daten­schutz­er­klä­run­gen auf ihre Voll­stän­dig­keit und Rechts­mäs­sig­keit zu überprüfen.

Auftragsbearbeitungsverträge

Unter­neh­men trifft die Pflicht, für den recht­mäs­si­gen Umgang mit Per­so­nen­da­ten zu sor­gen. Wenn die Bear­bei­tung einem Auf­trags­be­ar­bei­ter (z.B. IT-Pro­vi­der) anver­traut wird, bleibt das Unter­neh­men grund­sätz­lich für die recht­mäs­si­ge Daten­be­ar­bei­tung ver­ant­wort­lich. Daher ist das Unter­neh­men ver­pflich­tet, sämt­li­che Auf­trags­be­ar­bei­ter zu iden­ti­fi­zie­ren und soge­nann­te Auf­trags­be­ar­bei­tungs­ver­trä­ge abzu­schlies­sen. Wur­den bereits Stan­dard-Auf­trags­be­ar­bei­tungs­ver­trä­ge abge­schlos­sen, ist eine Über­prü­fung auf deren Kon­for­mi­tät empfehlenswert.

Daten-Export

Sämt­li­cher Aus­land­trans­fer von per­so­nen­be­zo­ge­nen Daten muss einer Iden­ti­fi­ka­ti­on und Über­prü­fung zugrun­de gelegt wer­den. Wenn im Emp­fän­ger­staat kein ange­mes­se­nes Daten­schutz­ni­veau herrscht, wie z.B. in den USA, muss der Daten-Export beson­ders abge­si­chert wer­den. Ins­be­son­de­re ist die Ver­wen­dung der EU-Stan­dard­ver­trags­klau­seln («SCC») ange­zeigt, wobei die­se punk­tu­ell an schwei­ze­ri­sches Recht ange­passt wer­den müssen.

Technische und organisatorische Massnahmen (TOMs)

Per­so­nen­da­ten müs­sen ange­mes­sen gegen unrecht­mäs­si­ge Bear­bei­tun­gen geschützt wer­den. Unter­neh­men sind daher ver­pflich­tet, ange­mes­se­ne Mass­nah­men (z.B. betref­fend Schutz der IT-Sys­te­me sowie Zutritts-, Zugangs- und Zugriffs­kon­trol­len) zu tref­fen und ent­spre­chend zu dokumentieren.

Betroffenenrechte

Betrof­fe­nen Per­so­nen ste­hen diver­se Rech­te im Zusam­men­hang mit der Bear­bei­tung von Per­so­nen­da­ten zu. Mit dem rDSG wur­den die­se teil­wei­se an die DSGVO ange­gli­chen; eini­ge Abwei­chun­gen blei­ben jedoch bestehen. Im Zusam­men­hang mit den Betrof­fe­nen­rech­ten soll­ten Unter­neh­men ent­spre­chen­de Pro­zes­se zur Umset­zung ein­füh­ren. Bei­spiels­wei­se hat jede betrof­fe­ne Per­son das Recht, Aus­kunft über ihre eige­nen Peso­nen­da­ten zu erhal­ten. Auf Aus­kunfts­ge­su­che muss ein Unter­neh­men inner­halb von 30 Tagen reagie­ren kön­nen. Des Wei­te­ren kön­nen Betrof­fe­ne eine Daten­kor­rek­tur oder die Her­aus­ga­be ihrer Daten ver­lan­gen. Um Betrof­fe­nen­rech­te zu gewäh­ren, soll­ten Unter­neh­men eine zustän­di­ge Stel­le bestimmen.

«Privacy by Design» / «Privacy by Default»

Pri­va­cy by Design ver­langt die Berück­sich­ti­gung der daten­schutz­recht­li­chen Bestim­mun­gen bereits bei der Pla­nung der Daten­be­ar­bei­tun­gen. Dies umfasst bei­spiels­wei­se die Pflicht von Ver­ant­wort­li­chen über ein Sys­tem zu ver­fü­gen, wel­ches einen Zugang zu den bear­bei­te­ten Daten, das Löschen der­sel­ben sowie das Ver­ge­ben von indi­vi­du­el­len Zugriffs­rech­ten ermög­licht. Pri­va­cy by Default ver­langt die Ein­füh­rung von daten­schutz­freund­li­chen Vor­ein­stel­lun­gen, ins­be­son­de­re bei Online-Diensten.

Interne Prozesse

Eine Über­prü­fung oder Ein­füh­rung diver­ser inter­ner Pro­zes­se ist ange­zeigt. Hier­zu gehört ins­be­son­de­re ein Pro­zess zur Daten­schutz-Fol­gen­ab­schät­zung (DSFA). Die DSFA soll der Selbst­be­ur­tei­lung eines daten­schutz­recht­li­che rele­van­ten Vor­ha­bens die­nen. Auch in Bezug auf die Mel­dung und die Bear­bei­tung von Ver­let­zun­gen betref­fend die Daten­si­cher­heit haben Unter­neh­men Pro­zes­se ein­zu­füh­ren, respek­ti­ve bestehen­de an die neu­en Vor­schrif­ten anzu­pas­sen. Nicht zuletzt soll­ten Unter­neh­men ihre Mit­ar­bei­ter im Kon­text des Daten­schut­zes und all­fäl­li­ger dro­hen­der Sank­tio­nen schu­len und peri­odisch weiterbilden.

Sanktionen

Um den Neu­re­ge­lun­gen Nach­druck zu ver­lei­hen, führt das revi­dier­te Daten­schutz­ge­setz eine per­sön­li­che Straf­bar­keit ein. Wäh­rend die DSGVO Bus­sen gegen die Unter­neh­men vor­sieht, kann nach rDSG der ver­ant­wort­li­che Mit­ar­bei­ter straf­recht­lich zur Ver­ant­wor­tung gezo­gen wer­den. Die Ver­let­zung von daten­schutz­recht­li­chen Infor­ma­ti­ons-, Aus­kunfts- und Mit­wir­kungs­pflich­ten kann dabei mit Bus­sen von bis zu CHF 250’000.– bestraft wer­den. Nicht zu ver­nach­läs­si­gen ist über­dies das dro­hen­de Repu­ta­ti­ons­ri­si­ko im Fal­le einer Ver­let­zung von daten­schutz­recht­li­chen Vor­schrif­ten. Kun­den erwar­ten einen ver­ant­wor­tungs­be­wuss­ten Umgang mit ihren Personendaten.

Fazit

Ein sen­si­bler und bewuss­ter Umgang mit Per­so­nen­da­ten ist für jedes Unter­neh­men uner­läss­lich. Um für das Inkraft­tre­ten des revi­dier­ten Daten­schutz­ge­set­zes vor­be­rei­tet zu sein, lohnt sich eine früh­zei­ti­ge Über­prü­fung der Daten­schutz­kon­for­mi­tät sowie Ein­füh­rung der Neu­re­ge­lun­gen. Hue­ber­li Lawy­ers AG berät Sie ger­ne in daten­schutz­recht­li­chen Fra­ge­stel­lun­gen. Wir freu­en uns über Ihre Kon­takt­auf­nah­me.[1]


[1] Stand Mai 2023. Autorin: Rechts­an­wäl­tin Sarah Diet­sch­wei­ler, MLaw.

Kontakt 

Haben wir Ihr Inter­es­se geweckt oder haben Sie Fra­gen zum The­ma Daten­schutz­ge­setz? Ger­ne dür­fen Sie uns unver­bind­lich kontaktieren. 

    Wenn Sie uns per Kon­takt­for­mu­lar Anfra­gen zukom­men las­sen, wer­den Ihre Anga­ben aus dem Anfra­ge­for­mu­lar inklu­si­ve der von Ihnen dort ange­ge­be­nen Kon­takt­da­ten zwecks Bear­bei­tung der Anfra­ge und für den Fall von Anschluss­fra­gen bei uns gespeichert. 

    Wei­te­re Infor­ma­tio­nen zur Bear­bei­tung Ihrer per­so­nen­be­zo­ge­nen Daten und zu unserer
    Kon­takt­adres­se fin­den Sie in unse­rer Daten­schutz­er­kä­rung.

    Die­sen Arti­kel als PDF lesen.