FAQ zum Datenschutzrecht
Das revidierte Datenschutzgesetz tritt am 1. September 2023 in Kraft. Der Zeitpunkt ist daher ideal, um sich mit datenschutzrechtlichen Themen zu befassen. Nachfolgend finden Sie die wichtigsten Fragen und Antworten zum Datenschutzrecht.
Was regelt das Datenschutzrecht?
Mit der technologischen Entwicklung und der digitalen Transformation unserer Gesellschaft ist es für einzelne Personen immer schwieriger nachzuvollziehen, wo ihre persönlichen Daten gespeichert sind, wer Zugriff auf diese Daten hat und für welche Zwecke diese verwendet werden. Daher regelt das Datenschutzrecht die Pflichten derjenigen, welche die persönlichen Daten bearbeiten und verankert Rechte für betroffene Personen. Durch das Datenschutzrecht wird das Grundrecht auf informationelle Selbstbestimmung gemäss Bundesverfassung konkretisiert.
Wo ist das Datenschutzrecht geregelt?
In der Schweiz ist der Datenschutz insbesondere im Datenschutzgesetz (DSG) sowie in der zugehörigen Verordnung (DSV) geregelt. Am 1. September 2023 tritt das revidierte Datenschutzgesetz (rDSG, teilweise auch neues Datenschutzgesetz (nDSG)) in Kraft. In Europa gilt hingegen vor allem die Datenschutz-Grundverordnung (DSGVO).
Was bedeutet «Bearbeiten» von Personendaten?
«Bearbeiten» im Sinne des Datenschutzrechts ist umfassend zu verstehen. Grundsätzlich ist jeder Umgang mit Personendaten ein Bearbeiten, unabhängig von den angewandten Mitteln und Verfahren. Darunter fallen insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.
Was sind «Personendaten»?
Das Datenschutzrecht legt die Grundsätze für die Bearbeitung von Personendaten fest. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter versteht man zum Beispiel: Name, Adresse, Telefonnummer, Alter, Geschlecht, IP-Adresse, E-Mail-Adresse, Fotos, Gesundheitsdaten.
Was sind «besonders schützenswerte Personendaten»?
Diese besondere Kategorie von Personendaten bedürfen einem höheren Schutzniveau und umfassen Personendaten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe (u.a. Sozialhilfe, Fürsorge, Kindes- und Erwachsenenschutzmassnahmen), administrative oder strafrechtliche Verfolgungen oder Sanktionen.
Was ist ein «Verantwortlicher»?
Ein «Verantwortlicher» ist eine natürliche oder juristische Person, die allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung der Personendaten entscheidet. Ein Verantwortlicher bleibt auch dann verantwortlich, wenn er die Datenbearbeitung an einen Dienstleister auslagert.
Was ist ein «Auftragsbearbeiter»?
Ein «Auftragsbearbeiter» («Auftragsverarbeiter» nach DSGVO) ist eine natürliche oder juristische Person, die im Auftrag des Verantwortlichen Personendaten bearbeitet. Dabei führt der Auftragsbearbeiter bloss aus, was ihm der Verantwortliche aufträgt. Er verfügt über keine massgebliche Entscheidungsmacht über Zweck und Mittel der Bearbeitung. Die Abgrenzung in der Praxis ist teilweise komplex. Grundsätzlich trifft die Rolle als Auftragsbearbeiter auf IT-Dienstleister zu, beispielsweise Cloud-Provider oder Betreiber einer SaaS-Lösung (z.B. Buchhaltungssoftware).
Welche Grundsätze müssen bei der Bearbeitung von Personendaten beachtet werden?
Personendaten müssen rechtmässig und nach Treu und Glauben bearbeitet werden. Insbesondere müssen bei der Bearbeitung von Personendaten die Grundsätze der Transparenz, der Zweckbindung sowie der Verhältnismässigkeit eingehalten werden. Im Unterschied zur DSGVO kennt das Schweizer DSG kein grundsätzliches Verbot der Datenbearbeitungen, sofern sämtliche Grundsätze eingehalten werden. Wird jedoch ein Bearbeitungsgrundsatz verletzt, so wird ein Rechtfertigungsgrund (Einwilligung, überwiegendes öffentliches oder privates Interesse oder Gesetz) vorausgesetzt.
Revision des Schweizer Datenschutzgesetzes – Was heisst das für mein Unternehmen?
Obwohl die Grundsätze der Datenbearbeitung weitestgehend unverändert bleiben, werden einige Neuerungen eingeführt. Das rDSG legt einen Fokus auf eine verstärkte Governance. Dabei wird insbesondere die Transparenz der Datenbearbeitungen verbessert und die Rechte der betroffenen Personen werden gestärkt. Daher besteht aktuell Handlungsbedarf zur Überprüfung der datenschutzrechtlichen Prozesse. Mit Ausnahme bestimmter Verpflichtungen sieht das neue Gesetz keine Übergangsvorschriften vor. Somit wird ein Grossteil der im Gesetz festgelegten Pflichten mit Inkrafttreten des rDSG am 1. September 2023 sofort gelten.
Wie gehe ich vor?
In einem ersten Schritt erfolgt eine Bestandesaufnahme, um einen Überblick über die bearbeiteten Personendaten zu verschaffen. Basierend darauf müssen diverse Handlungsfelder überprüft werden. Darunter fallen insbesondere die Aktualität und Vollständigkeit der Datenschutzerklärung; die Ermittlung der Auftragsbearbeiter sowie Abschluss von Auftragsbearbeitungsverträgen; die Absicherung des Daten-Exports ins Ausland; die Überprüfung der technischen und organisatorischen Massnahmen zum Schutz der Personendaten; die Einführung oder Überprüfung interner Prozesse zur Gewährleistung der Betroffenenrechte; etc. Gerne verweisen wir für detailliertere Ausführungen auf unseren Fachbeitrag zum Handlungsbedarf für KMU.
Welche Risiken gehe ich ein, wenn ich nichts mache?
Um den Neuregelungen Nachdruck zu verleihen, führt das rDSG eine persönliche Strafbarkeit ein. Während die DSGVO Bussen gegen die Unternehmen vorsieht, kann nach rDSG der verantwortliche Mitarbeiter strafrechtlich zur Verantwortung gezogen werden. Die Verletzung von datenschutzrechtlichen Informations-, Auskunfts- und Mitwirkungspflichten kann dabei mit Bussen von bis zu CHF 250’000.- bestraft werden. Nicht zu vernachlässigen ist überdies das drohende Reputationsrisiko im Falle einer Verletzung von datenschutzrechtlichen Vorschriften. Kunden erwarten einen verantwortungsbewussten Umgang mit ihren Personendaten.
Hueberli Lawyers AG berät Sie gerne in datenschutzrechtlichen Fragestellungen. Wir freuen uns über Ihre Kontaktaufnahme.[1]
Ein sensibler und bewusster Umgang mit Personendaten ist für jedes Unternehmen unerlässlich. Um für das Inkrafttreten des revidierten Datenschutzgesetzes vorbereitet zu sein, lohnt sich eine frühzeitige Überprüfung der Datenschutzkonformität sowie Einführung der Neuregelungen. Hueberli Lawyers AG berät Sie gerne in datenschutzrechtlichen Fragestellungen. Wir freuen uns über Ihre Kontaktaufnahme.[1]
[1] Stand Mai 2023. Autorin: Rechtsanwältin Sarah Dietschweiler, MLaw.
Kontakt
Haben wir Ihr Interesse geweckt oder haben Sie Fragen zum Thema Datenschutzgesetz? Gerne dürfen Sie uns unverbindlich kontaktieren.
Diesen Artikel als PDF lesen.