Das revidierte Datenschutzgesetz: Handlungsbedarf für Unternehmen
Management Summary
Das revidierte Datenschutzgesetz wurde am 25. September 2020 durch den National- und Ständerat verabschiedet. Damit ist das Gesetzgebungsvorhaben zur Revision des Datenschutzgesetzes abgeschlossen.[1] Mit der Inkraftsetzung des revidierten Gesetzes ist frühestens im Herbst 2021 zu rechnen. Aber: Das Gesetz sieht keine Übergangsbestimmungen vor. Deshalb sollten Unternehmen die verbleibende Zeit für die unternehmensinterne Implementation der Änderungen nutzen.
Einleitung
Das revidierte Datenschutzgesetz (rDSG) erhöht die Anforderungen an die Dokumentation der Datenbearbeitung und verstärkt die Rechte der Betroffenen durch die Zurverfügungstellung neuer Instrumente. Die Verantwortlichen haben (mit bestimmten Ausnahmen, vgl. Art. 12 Abs. 5 rDSG) Verzeichnisse über die Bearbeitungstätigkeiten zu führen. Für Datenbearbeitungen, welche mit einem hohen Risiko verbunden sind, wird eine Datenschutz-Folgenabschätzung verlangt. Auch die Informationspflichten der Datenbearbeiter werden verschärft.Der Verantwortliche muss die Betroffenen u.a. über seine Identität, die Kontaktdaten, den Bearbeitungszweck sowie die Empfänger resp. die Kategorien von Empfängern informieren. Zudem werden Meldepflichten an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bei Verletzung der Datensicherheit eingeführt.
Die Grundprinzipien des Schweizer Datenschutzrechts wurden von der Revision nicht tangiert. Ziele der Revision sind die Anpassung der Gesetzgebung an die technologischen Entwicklungen. Zudem soll ein mit der Datenschutzgrundverordnung der EU (DSGVO) gleichwertiges Schutzniveau sowie die Kompatibilität mit den EU-Vorschriften sichergestellt werden. [2]
Handlungsbedarf für Unternehmen
Unternehmen, welche die DSGVO bereits umgesetzt haben, haben einen Vorsprung bei der Implementation der Neuregelungen. Dennoch gibt es im rDSG teilweise abweichende oder weitergehende Regelungen, als die DSGVO sie vorsieht: Bei Auskunftsgesuchen von Betroffenen weichen die Vorgaben der rDSG in Bezug auf den Inhalt der Auskunftserteilung z.B. von der DSGVO ab. Auch müssen die Melde- und Genehmigungspflichten beim Datenexport unter der rDSG separat beurteilt werden. Diese Bestimmungen unterscheiden sich, wie diejenigen in Bezug auf die Verletzung der Datensicherheit (wo die Meldepflicht anders geregelt ist), von denjenigen der DSGVO. Ausländische Unternehmen in der Schweiz haben ausserdem künftig einen Vertreter zu ernennen. Eine Pflicht zur Einsetzung eines Datenschutzbeauftragten ist im rDSG jedoch im Grundsatz nicht vorgesehen.
Unternehmen haben ihre Datenschutzerklärungen auf die neuen Vorschriften der rDSG hin anzupassen. Sie haben die Pflicht, ein Verzeichnis über ihre Datenbearbeitungen zu erstellen. Auftragsbearbeitungen sind durch das Unternehmen zu identifizieren, die Verträge sind auf die rechtlichen Vorgaben hin zu überprüfen und gegebenenfalls anzupassen.
Ebenso einer Identifikation und Überprüfung zugrunde gelegt werden muss sämtlichen Auslandstransfers von personenbezogenen Daten.
Weiter haben die Unternehmen einen Prozess zur Datenschutz-Folgenabschätzung einzuführen, resp. den bestehenden an die neuen Vorgaben anzupassen. Dieser soll bei Datenbearbeitungen mit hohem Risiko zur Anwendung kommen.
Auch in Bezug auf die Meldung und die Bearbeitung von Verletzungen betreffend die Datensicherheit haben Unternehmen Prozesse einzuführen, resp. gegebenenfalls Bestehende an die neuen Vorschriften anzupassen.
Stellt eine durch die Datenbearbeitung betroffene Person eine Anfrage bezüglich der in Bezug auf ihre Person stattfindende Datenbearbeitung, muss das Unternehmen die Anfrage nach den Vorgaben des rDSG (und allenfalls der DSGVO) bearbeiten. Auch hier hat das Unternehmen die neuen Vorschriften in seinen Prozessen abzubilden.
Auch hat das Unternehmen automatisierte Einzelentscheide innerhalb der Organisation zu identifizieren und, wenn nötig, neu zu regeln.
Nicht zuletzt sind Unternehmen gut beraten, ihre Mitarbeiter im Zusammenhang mit dem Datenschutz und allfälliger drohender Sanktionen zu schulen und periodisch weiterzubilden.
Sanktionen
Kapitel 8 der rDSG (Art. 60 ff. rDSG) befasst sich mit den Strafbestimmungen. Die Verletzung von datenschutzrechtlichen Informations-, Auskunfts- und Mitwirkungspflichten kann mit Busse von bis zu CHF 250’000.- bestraft werden. Weiter geregelt sind die Konsequenzen bei Verletzung der Sorgfaltspflichten, der beruflichen Schweigepflicht, des Missachtens von Verfügungen (allesamt ebenso bestrafbar mit Busse von bis zu CHF 250’000.-) und bei Widerhandlungen in Geschäftsbetrieben.
Fazit
Mit der Annahme des Schlussabstimmungstexts vom 25. September 2020 durch die Räte steht fest, nach welchen Regelungen sich die Datenbearbeitung in der Schweiz für Unternehmen künftig zu richten hat. Das rDSG sieht jedoch keine Übergangsfristen vor. Wir empfehlen deshalb die Zeit bis zum Inkrafttreten zu nutzen und rechtzeitig die notwendigen Schritte in die Wege zu leiten. Untersteht das Unternehmen sowohl der DSGVO als auch der rDSG ist sicherzustellen, dass auch diese Vorschriften stets eingehalten werden.
Hueberli Lawyers AG ist spezialisiert auf gesellschaftsrechtliche Fragestellungen und berät Sie gerne in Bezug auf das Datenschutzrecht. Wir freuen uns über Ihre Kontaktaufnahme.
Kontakt
Haben wir Ihr Interesse geweckt oder haben Sie Fragen zum Thema Datenschutzgesetz? Gerne dürfen Sie uns unverbindlich kontaktieren.
Diesen Artikel als PDF lesen.
[1] Nach Ablauf der 100-tägigen Referendumsfrist (fakultatives Referendum) am 14. Januar 2021 wird der Bundesrat über das Inkrafttreten bestimmen.
[2] Bei Nichtbestand eines gleichwertigen Schutzniveaus könnten Personendaten aus dem europäischen Wirtschaftsraum (EWR) z.B. nur noch mit zusätzlichen Sicherheitsvorkehrungen in die Schweiz übermittelt werden. Derzeit allerdings noch unklar ist, wann die EU-Kommission über die Angemessenheit des rDSG entscheiden wird.