FAQ zum Datenschutzrecht

Das revi­dier­te Daten­schutz­ge­setz tritt am 1. Sep­tem­ber 2023 in Kraft. Der Zeit­punkt ist daher ide­al, um sich mit daten­schutz­recht­li­chen The­men zu befas­sen. Nach­fol­gend fin­den Sie die wich­tigs­ten Fra­gen und Ant­wor­ten zum Datenschutzrecht.

Was regelt das Datenschutzrecht?

Mit der tech­no­lo­gi­schen Ent­wick­lung und der digi­ta­len Trans­for­ma­ti­on unse­rer Gesell­schaft ist es für ein­zel­ne Per­so­nen immer schwie­ri­ger nach­zu­voll­zie­hen, wo ihre per­sön­li­chen Daten gespei­chert sind, wer Zugriff auf die­se Daten hat und für wel­che Zwe­cke die­se ver­wen­det wer­den. Daher regelt das Daten­schutz­recht die Pflich­ten der­je­ni­gen, wel­che die per­sön­li­chen Daten bear­bei­ten und ver­an­kert Rech­te für betrof­fe­ne Per­so­nen. Durch das Daten­schutz­recht wird das Grund­recht auf infor­ma­tio­nel­le Selbst­be­stim­mung gemäss Bun­des­ver­fas­sung konkretisiert.

Wo ist das Datenschutzrecht geregelt?

In der Schweiz ist der Daten­schutz ins­be­son­de­re im Daten­schutz­ge­setz (DSG) sowie in der zuge­hö­ri­gen Ver­ord­nung (DSV) gere­gelt. Am 1. Sep­tem­ber 2023 tritt das revi­dier­te Daten­schutz­ge­setz (rDSG, teil­wei­se auch neu­es Daten­schutz­ge­setz (nDSG)) in Kraft. In Euro­pa gilt hin­ge­gen vor allem die Daten­schutz-Grund­ver­ord­nung (DSGVO).

Was bedeutet «Bearbeiten» von Personendaten?

«Bear­bei­ten» im Sin­ne des Daten­schutz­rechts ist umfas­send zu ver­ste­hen. Grund­sätz­lich ist jeder Umgang mit Per­so­nen­da­ten ein Bear­bei­ten, unabhängig von den ange­wand­ten Mit­teln und Ver­fah­ren. Dar­un­ter fal­len ins­be­son­de­re das Beschaf­fen, Spei­chern, Auf­be­wah­ren, Ver­wen­den, Ver­än­dern, Bekannt­ge­ben, Archi­vie­ren, Löschen oder Ver­nich­ten von Daten.

Was sind «Personendaten»?

Das Daten­schutz­recht legt die Grund­sät­ze für die Bear­bei­tung von Per­so­nen­da­ten fest. Per­so­nen­be­zo­ge­ne Daten sind alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen. Dar­un­ter ver­steht man zum Bei­spiel: Name, Adres­se, Tele­fon­num­mer, Alter, Geschlecht, IP-Adres­se, E-Mail-Adres­se, Fotos, Gesundheitsdaten.

Was sind «besonders schützenswerte Personendaten»?

Die­se beson­de­re Kate­go­rie von Per­so­nen­da­ten bedür­fen einem höhe­ren Schutz­ni­veau und umfas­sen Per­so­nen­da­ten über die reli­giö­sen, welt­an­schau­li­chen, poli­ti­schen oder gewerk­schaft­li­chen Ansich­ten oder Tätig­kei­ten, die Gesund­heit, die Intim­sphä­re oder die Ras­sen­zu­ge­hö­rig­keit, Mass­nah­men der sozia­len Hil­fe (u.a. Sozi­al­hil­fe, Für­sor­ge, Kin­des- und Erwach­se­nen­schutz­mass­nah­men), admi­nis­tra­ti­ve oder straf­recht­li­che Ver­fol­gun­gen oder Sanktionen.

Was ist ein «Verantwortlicher»?

Ein «Ver­ant­wort­li­cher» ist eine natür­li­che oder juris­ti­sche Per­son, die allein oder zusam­men mit ande­ren über den Zweck und die Mit­tel der Bear­bei­tung der Per­so­nen­da­ten ent­schei­det. Ein Ver­ant­wort­li­cher bleibt auch dann ver­ant­wort­lich, wenn er die Daten­be­ar­bei­tung an einen Dienst­leis­ter auslagert.

Was ist ein «Auftragsbearbeiter»?

Ein «Auf­trags­be­ar­bei­ter» («Auf­trags­ver­ar­bei­ter» nach DSGVO) ist eine natür­li­che oder juris­ti­sche Per­son, die im Auf­trag des Ver­ant­wort­li­chen Per­so­nen­da­ten bear­bei­tet. Dabei führt der Auf­trags­be­ar­bei­ter bloss aus, was ihm der Ver­ant­wort­li­che auf­trägt. Er ver­fügt über kei­ne mass­geb­li­che Ent­schei­dungs­macht über Zweck und Mit­tel der Bear­bei­tung. Die Abgren­zung in der Pra­xis ist teil­wei­se kom­plex. Grund­sätz­lich trifft die Rol­le als Auf­trags­be­ar­bei­ter auf IT-Dienst­leis­ter zu, bei­spiels­wei­se Cloud-Pro­vi­der oder Betrei­ber einer SaaS-Lösung (z.B. Buchhaltungssoftware).

Welche Grundsätze müssen bei der Bearbeitung von Personendaten beachtet werden?

Per­so­nen­da­ten müs­sen recht­mäs­sig und nach Treu und Glau­ben bear­bei­tet wer­den. Ins­be­son­de­re müs­sen bei der Bear­bei­tung von Per­so­nen­da­ten die Grund­sät­ze der Trans­pa­renz, der Zweck­bin­dung sowie der Ver­hält­nis­mäs­sig­keit ein­ge­hal­ten wer­den. Im Unter­schied zur DSGVO kennt das Schwei­zer DSG kein grund­sätz­li­ches Ver­bot der Daten­be­ar­bei­tun­gen, sofern sämt­li­che Grund­sät­ze ein­ge­hal­ten wer­den. Wird jedoch ein Bear­bei­tungs­grund­satz ver­letzt, so wird ein Recht­fer­ti­gungs­grund (Ein­wil­li­gung, über­wie­gen­des öffent­li­ches oder pri­va­tes Inter­es­se oder Gesetz) vorausgesetzt.

Revision des Schweizer Datenschutzgesetzes – Was heisst das für mein Unternehmen?

Obwohl die Grund­sät­ze der Daten­be­ar­bei­tung wei­test­ge­hend unver­än­dert blei­ben, wer­den eini­ge Neue­run­gen ein­ge­führt. Das rDSG legt einen Fokus auf eine ver­stärk­te Gover­nan­ce. Dabei wird ins­be­son­de­re die Trans­pa­renz der Daten­be­ar­bei­tun­gen ver­bes­sert und die Rech­te der betrof­fe­nen Per­so­nen wer­den gestärkt. Daher besteht aktu­ell Hand­lungs­be­darf zur Über­prü­fung der daten­schutz­recht­li­chen Pro­zes­se. Mit Aus­nah­me bestimm­ter Ver­pflich­tun­gen sieht das neue Gesetz kei­ne Über­gangs­vor­schrif­ten vor. Somit wird ein Gross­teil der im Gesetz fest­ge­leg­ten Pflich­ten mit Inkraft­tre­ten des rDSG am 1. Sep­tem­ber 2023 sofort gelten.

Wie gehe ich vor?

In einem ers­ten Schritt erfolgt eine Bestan­des­auf­nah­me, um einen Über­blick über die bear­bei­te­ten Per­so­nen­da­ten zu ver­schaf­fen. Basie­rend dar­auf müs­sen diver­se Hand­lungs­fel­der über­prüft wer­den. Dar­un­ter fal­len ins­be­son­de­re die Aktua­li­tät und Voll­stän­dig­keit der Daten­schutz­er­klä­rung; die Ermitt­lung der Auf­trags­be­ar­bei­ter sowie Abschluss von Auf­trags­be­ar­bei­tungs­ver­trä­gen; die Absi­che­rung des Daten-Exports ins Aus­land; die Über­prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men zum Schutz der Per­so­nen­da­ten; die Ein­füh­rung oder Über­prü­fung inter­ner Pro­zes­se zur Gewähr­leis­tung der Betrof­fe­nen­rech­te; etc. Ger­ne ver­wei­sen wir für detail­lier­te­re Aus­füh­run­gen auf unse­ren Fach­bei­trag zum Hand­lungs­be­darf für KMU.

Welche Risiken gehe ich ein, wenn ich nichts mache?

Um den Neu­re­ge­lun­gen Nach­druck zu ver­lei­hen, führt das rDSG eine per­sön­li­che Straf­bar­keit ein. Wäh­rend die DSGVO Bus­sen gegen die Unter­neh­men vor­sieht, kann nach rDSG der ver­ant­wort­li­che Mit­ar­bei­ter straf­recht­lich zur Ver­ant­wor­tung gezo­gen wer­den. Die Ver­let­zung von daten­schutz­recht­li­chen Infor­ma­ti­ons-, Aus­kunfts- und Mit­wir­kungs­pflich­ten kann dabei mit Bus­sen von bis zu CHF 250’000.- bestraft wer­den. Nicht zu ver­nach­läs­si­gen ist über­dies das dro­hen­de Repu­ta­ti­ons­ri­si­ko im Fal­le einer Ver­let­zung von daten­schutz­recht­li­chen Vor­schrif­ten. Kun­den erwar­ten einen ver­ant­wor­tungs­be­wuss­ten Umgang mit ihren Personendaten.

Hue­ber­li Lawy­ers AG berät Sie ger­ne in daten­schutz­recht­li­chen Fra­ge­stel­lun­gen. Wir freu­en uns über Ihre Kon­takt­auf­nah­me.[1]

Ein sen­si­bler und bewuss­ter Umgang mit Per­so­nen­da­ten ist für jedes Unter­neh­men uner­läss­lich. Um für das Inkraft­tre­ten des revi­dier­ten Daten­schutz­ge­set­zes vor­be­rei­tet zu sein, lohnt sich eine früh­zei­ti­ge Über­prü­fung der Daten­schutz­kon­for­mi­tät sowie Ein­füh­rung der Neu­re­ge­lun­gen. Hue­ber­li Lawy­ers AG berät Sie ger­ne in daten­schutz­recht­li­chen Fra­ge­stel­lun­gen. Wir freu­en uns über Ihre Kon­takt­auf­nah­me.[1]


[1] Stand Mai 2023. Autorin: Rechts­an­wäl­tin Sarah Diet­sch­wei­ler, MLaw.

Kontakt 

Haben wir Ihr Inter­es­se geweckt oder haben Sie Fra­gen zum The­ma Daten­schutz­ge­setz? Ger­ne dür­fen Sie uns unver­bind­lich kontaktieren. 

    Wenn Sie uns per Kon­takt­for­mu­lar Anfra­gen zukom­men las­sen, wer­den Ihre Anga­ben aus dem Anfra­ge­for­mu­lar inklu­si­ve der von Ihnen dort ange­ge­be­nen Kon­takt­da­ten zwecks Bear­bei­tung der Anfra­ge und für den Fall von Anschluss­fra­gen bei uns gespeichert. 

    Wei­te­re Infor­ma­tio­nen zur Bear­bei­tung Ihrer per­so­nen­be­zo­ge­nen Daten und zu unserer
    Kon­takt­adres­se fin­den Sie in unse­rer Daten­schutz­er­kä­rung.

    Die­sen Arti­kel als PDF lesen.