Was bedeutet das revidierte Datenschutzgesetz für Ihr Unternehmen?

Unter­neh­men soll­ten früh­zei­tig ihre Daten­schutz­er­klä­rung mit Blick auf die neu­en Vor­schrif­ten des revi­dier­ten Daten­schutz­ge­set­zes anpas­sen. Aus­ser­dem ist zu prü­fen, ob eine Pflicht zur Erstel­lung eines Daten­be­ar­bei­tungs­ver­zeich­nis­ses besteht. Auf­trags­be­ar­bei­tun­gen sind durch das Unter­neh­men zu iden­ti­fi­zie­ren, die Ver­trä­ge sind auf die recht­li­chen Vor­ga­ben hin zu über­prü­fen und gege­be­nen­falls anzu­pas­sen. Eben­so einer Iden­ti­fi­ka­ti­on und Über­prü­fung zugrun­de gelegt wer­den muss sämt­li­cher Aus­lands­trans­fer von per­so­nen­be­zo­ge­nen Daten.

Wei­ter haben die Unter­neh­men einen Pro­zess zur Daten­schutz-Fol­gen­ab­schät­zung (DSFA) ein­zu­füh­ren, resp. den bestehen­den an die neu­en Vor­ga­ben anzu­pas­sen. Die DSFA soll der Selbst­be­ur­tei­lung eines daten­schutz­recht­li­che rele­van­ten Vor­ha­bens die­nen. Auch in Bezug auf die Mel­dung und die Bear­bei­tung von Ver­let­zun­gen betref­fend die Daten­si­cher­heit haben Unter­neh­men Pro­zes­se ein­zu­füh­ren, resp. gege­be­nen­falls bestehen­de an die neu­en Vor­schrif­ten anzu­pas­sen.

Um Betrof­fe­nen­rech­te zu gewäh­ren, soll­ten Unter­neh­men eine zustän­di­ge Stel­le bestim­men. Zudem hat das Unter­neh­men auto­ma­ti­sier­te Ein­zel­ent­schei­de inner­halb der Orga­ni­sa­ti­on zu iden­ti­fi­zie­ren und, wenn nötig, neu zu regeln. Nicht zuletzt sind Unter­neh­men gut bera­ten, ihre Mit­ar­bei­ter im Kon­text des Daten­schut­zes und all­fäl­li­ger dro­hen­der Sank­tio­nen zu schu­len und peri­odisch weiterzubilden.

Stellt eine durch die Daten­be­ar­bei­tung betrof­fe­ne Per­son eine Anfra­ge bezüg­lich der in Bezug auf ihre Per­son statt­fin­den­de Daten­be­ar­bei­tung, muss das Unter­neh­men die Anfra­ge nach den Vor­ga­ben des rDSG (und allen­falls der DSGVO) bear­bei­ten. Auch hier hat das Unter­neh­men die neu­en Vor­schrif­ten in sei­nen Pro­zes­sen abzu­bil­den. Das revi­dier­te Daten­schutz­ge­setz bie­tet jedoch einen gewis­sen Spiel­raum, um gegen miss­bräuch­li­che Aus­kunfts­be­geh­ren vor­ge­hen zu können. 

Das revi­dier­te Daten­schutz­ge­setz führt eine per­sön­li­che Straf­bar­keit ein. Wäh­rend die DSGVO Bus­sen gegen die Unter­neh­men vor­sieht, kann nach rDSG der ver­ant­wort­li­che Mit­ar­bei­ter straf­recht­lich zur Ver­ant­wor­tung gezo­gen wer­den. Die Ver­let­zung von daten­schutz­recht­li­chen Infor­ma­ti­ons-, Aus­kunfts- und Mit­wir­kungs­pflich­ten kann mit Bus­sen von bis zu CHF 250’000.- bestraft wer­den. Wei­ter gere­gelt sind die Kon­se­quen­zen bei Ver­let­zung der Sorg­falts­pflich­ten, der beruf­li­chen Schwei­ge­pflicht, des Miss­ach­tens von Ver­fü­gun­gen (alle­samt eben­so bestraf­bar mit Bus­se von bis zu CHF 250’000.-) und bei Wider­hand­lun­gen in Geschäftsbetrieben.

Set­zen Schwei­zer Unter­neh­men auf ihrer Web­sei­te Coo­kies ein, haben die­se im Mini­mum zwin­gend die Vor­ga­ben des DSG (resp. ab Inkraft­tre­ten im 2023 die­je­ni­gen des rDSG) sowie Art. 45c lit. b FMG zu beach­ten. Zum heu­ti­gen Stand ist es nach Schwei­zer Rechts­la­ge grund­sätz­lich aus­rei­chend, wenn über den Ein­satz von Coo­kies pau­schal in der Daten­schutz­er­klä­rung auf­ge­klärt wird (Aus­nah­me: bei beson­ders schüt­zens­wer­te Per­so­nen­da­ten und Per­sön­lich­keits­pro­fi­len). Auch mit dem revi­dier­ten Daten­schutz­ge­setz, wel­ches im 2023 in Kraft tre­ten wird, wur­den die Rege­lun­gen zu den Coo­kies der EU, wel­che dort insb. in der ePri­va­cy-Richt­li­nie ent­hal­ten sind, nicht ins Schwei­ze­ri­sche Recht über­nom­men. Aber Vor­sicht: Vor­ge­nann­tes gilt nicht, wenn das Schwei­zer Unter­neh­men, wel­ches die Web­sei­te betreibt, auch der DSGVO untersteht!