Am 9. November 2007 kam das erste iPhone in Europa auf den Markt. Seither hat sich unser Umgang mit Daten durch Smartphones, Social Media sowie Cloud-Diensten stark verändert. Durch die Revision soll das 1992 erlassene Datenschutzgesetz an die technologischen und gesellschaftlichen Veränderungen sowie die EU-Datenschutzgrundverordnung (DSGVO) angepasst werden. Unternehmen müssen ihre Richtlinien und Datenschutzerklärungen bis zum 1. September an die neuen Regelungen anpassen. Bei Verfehlungen drohen sowohl der zuständigen natürlichen Person im Unternehmen als auch dem Unternehmen selbst empfindliche Geldbussen.

Grundsätzliche Änderungen

Das revDSG bezieht sich neu ausschliesslich auf den Schutz von natürlichen Personen. Juristische Personen fallen nicht mehr in den Geltungsbereich. Ausserdem werden Daten über die Zugehörigkeit zu einer Ethnie, genetische sowie biometrische Daten, wenn sie eindeutig einer natürlichen Person zugeordnet werden können, als «besonders schützenswert» eingestuft. Eine Neuerung gibt es auch bei den Sanktionsmöglichkeiten. Die zuständige natürliche Person im Unternehmen – nicht das Unternehmen – kann bei vorsätzlichen Verstössen mit bis zu CHF 250'000 gebüsst werden. Dies ist der Fall, wenn sie vorsätzlich gegen die Informations-, Auskunfts- und Mitwirkungspflichten (Art. 60 revDSG) sowie gegen die Sorgfaltspflichten (Art. 61 revDSG) verstösst, die berufliche Schweigepflicht (Art. 62 revDSG) verletzt oder Verfügungen missachtet (Art. 63 revDSG). Entsprechend wichtig ist die Einhaltung der Informationspflicht (siehe unten), eine angemessene Aufklärung über die Verwendung der Personendaten (siehe weiter unten) sowie das Vermeiden einer unzulässigen Übermittlung von Personendaten ins Ausland (vgl. Art. 16 Abs. 1 & Art. 17 revDSG). Sollten allfällige Ermittlungen durch eine nicht sachgemässe Dokumentierung der Daten unverhältnismässig aufwändig sein, kann das Unternehmen mit bis zu CHF 50'000 gebüsst werden.

Ausweitung der Informationspflicht

Das revDSG erweitert die Informationspflicht von Unternehmen im Umgang mit Kunden- und Mitarbeiterdaten. Neu müssen Unternehmen bei jeder Beschaffung von Personendaten über festgelegte Kriterien informieren; unabhängig davon, ob die Daten bei der betroffenen Person direkt oder über Dritte beschafft werden. Bisher galt diese Informationspflicht nur bei der Erfassung von besonders schützenswerten Daten (Religion, politische Gesinnung, Gesundheitsdaten, etc.). Jede Person deren Daten erfasst werden, muss in verständlicher und leicht zugänglicher Form mindestens über folgende Punkte aufgeklärt werden:

• Identität und Kontaktdaten des Verantwortlichen
• Zweck der Bearbeitung
• Kategorien von Empfängerinnen, denen Personendaten bekannt gegeben werden
• Ggf. Kategorien der bearbeiteten Personendaten
• Bei Weitergabe ins Ausland: Staat oder internationales Organ und ggf. Garantien zum Schutz der Personendaten

Am einfachsten können Unternehmen diese Informationspflicht mit einer Datenschutzerklärung mit den oben genannten Mindestanforderungen sicherstellen. Je nachdem macht es Sinn diese auf der Unternehmenswebsite, in Formularen oder gar in einem separaten Schreiben zu kommunizieren.

Verzeichnis der Bearbeitungstätigkeiten

Neu müssen Unternehmen ab 250 Mitarbeitenden ein Verzeichnis über die Bearbeitungstätigkeiten von Personendaten führen. Sobald besonders schützenswerte Personendaten in einem hohen Umfang bearbeitet oder Daten nach gezielten Charakteristiken gesammelt werden («Profiling»), ist ein Verzeichnis für sämtliche Unternehmen zwingend erforderlich. Unabhängig von der Ausnahmeregelung für KMU, ist es jedoch sinnvoll ein entsprechendes Verzeichnis zu führen. Ein Verzeichnis kann beispielsweise die Reaktion auf ein Auskunftsbegehren deutlich vereinfachen. Die Strukturierung eines Verzeichnisses sowie die dazu verwendeten Programme sind den Unternehmen selbst überlassen. Das Verzeichnis muss regelmässig aktualisiert werden und mindestens die folgenden Informationen beinhalten:

• Identität des Verantwortlichen
• Zweck der Bearbeitung
• Kategorien der betroffenen Personen und bearbeiteten Personendaten
• Kategorien der Empfängerinnen
• Bei Weitergabe ins Ausland: Staat und ggf. Garantien zum Schutz der Personendaten

Wenn möglich:

• Aufbewahrungsdauer oder Kriterien zur Festlegung der Dauer
• Allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit.

Für die Weitergabe von Personendaten an Drittstaaten, die kein gleichwertiges Datenschutzniveau wie die Schweiz bieten, sind bestimmte Voraussetzungen zu erfüllen. Die Gewährleistung eines angemessenen Datenschutzes gemäss Art. 16 Abs. 2 und 3 revDSG oder die Erfüllung der Ausnahmen in Art. 17 revDSG sind dabei notwendig. Eine Liste von Drittstaaten, die aus Schweizer Sicht einen angemessenen Schutz der Personendaten gewährleisten, finden Sie hier.

Datenschutz-Folgenabschätzung (DSFA)

Weiter werden Unternehmen dazu verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen und zu dokumentieren, wenn eine geplante Bearbeitung von Daten die Persönlichkeits- oder Grundrechte gefährden könnte. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) erarbeitet zurzeit die Details zur DSFA.

Verhalten bei Datenschutzverletzungen

Bei Datenschutzverletzungen sollte grundsätzlich «so rasch als mögliche» eine Meldung an den EDÖB gemacht werden. In Fällen, in denen ein hohes Risiko dafür besteht, dass sie negative Auswirkungen auf die betroffene Person hat, besteht eine Meldepflicht. Sofern es zu ihrem Schutz erforderlich ist, sind diese Personen direkt zu benachrichtigen. In diesem Kontext ist es für Unternehmen wichtig, eine Stelle zu bestimmen, die verantwortlich ist für die Meldung von Datenschutzverletzungen an den EDÖB. Unternehmen können aber auch eine Datenschutzberaterin, eine weisungsungebundene Drittperson oder Mitarbeiterin mit den erforderlichen Fachkenntnissen, bestimmen und dieses bei Datenschutzverletzung konsultieren. Die Datenschutzberaterin ist für die Überwachung des Datenschutzes in der Organisation verantwortlich und dient als Anlaufstelle für den EDÖB.

Zusätzliche Informationen und Unterlagen:

• Datenschutz: Eine Übersicht zum neuen Gesetz. FAQ von economiesuisse.

IHKwebinar

Revidiertes Datenschutzgesetz: Handlungsbedarf für KMU

Die IHK hat am 22. September 2023 in Zusammenarbeit mit dem St.Galler Anwaltsverband und der 1Compliance GmbH ein Webinar durchgeführt. Die Aufzeichnung kann auf Anfrage an infoihk.ch zur Verfügung gestellt werden.