05/2024 – Fachartikel Swiss Infosec AG
Das totalrevidierte Datenschutzgesetz (DSG) und dessen Ausführungsbestimmungen sind am 1. September 2023 in Kraft getreten. Mit diesem Schritt haben sich die schweizerischen Datenschutzvorschriften jenen der europäischen Datenschutz-Grundverordnung (DSGVO) angenähert und erreichen damit insgesamt ein gleichwertiges Datenschutzniveau. Gleichzeitig behält das DSG eine eigene Grundkonzeption und weicht in diversen Punkten von der DSGVO ab.
Der Kreis der betroffenen Rechtsanwender ist äusserst gross, da das DSG vereinfacht gesagt alle Schweizer und alle internationalen Unternehmen betrifft, die Personendaten von in der Schweiz ansässigen Personen bearbeiten. So überrascht es wenig, dass bei der konkreten Umsetzung gewisse Unsicherheiten und Schwierigkeiten aufgetaucht sind.
Die erste Herausforderung für viele Unternehmen bestand bzw. besteht darin, genügend Ressourcen und das nötige Know-how für die Umsetzung bereitzustellen. Dann geht es darum, die eigenen Prozesse, Produkte und Dienstleistungen an die neuen rechtlichen Anforderungen anzupassen. Doch wie genau? In welcher Form und in welchem Umfang sind betroffene Personen über die Datenbearbeitung zu informieren und in welchen Fällen ist nun eine Datenschutz-Folgenabschätzung vorzunehmen? Für Fragen wie diese liefert das Gesetz keine konkreten Antworten, weshalb die Umsetzung für viele zu einer echten Herausforderung geworden ist.
Wer sich an die konkrete Umsetzung der neuen datenschutzrechtlichen Vorschriften herangewagt hat, durfte positiv feststellen, dass sich an den Bearbeitungsgrundsätzen von Personendaten gegenüber der alten Regelung nichts Wesentliches geändert hat. Private dürfen Personendaten weiterhin ohne Einwilligung der betroffenen Personen bearbeiten, es sei denn, die Bearbeitung würde die Persönlichkeit der betroffenen Person verletzen. Hier unterscheidet sich das DSG wesentlich von der DSGVO, welche für jede Personendatenbearbeitung eine Rechtsgrundlage (z.B. eine Einwilligung) verlangt.
Gleichzeitig wurden einige sinnvolle (aber auch weniger sinnvolle) Regelungen aus der DSGVO übernommen, deren Anforderungen es zu nun im Umsetzungsprozess zu überprüfen gilt. So sind beispielsweise die Informationspflichten deutlich ausgebaut worden. Unter dem alten Datenschutzrecht musste nur informiert werden, wenn besonders schützenswerte Daten oder Persönlichkeitsprofile beschafft wurden. Nun besteht – mit wenigen Ausnahmen – bei jeder Beschaffung von Personendaten eine Informationspflicht. Die Folge in der Praxis: überall mussten Datenschutzerklärungen implementiert oder überarbeitet werden.
Ein Thema, welches stets zu Diskussionen führen kann, ist die sogenannte «Auftragsbearbeitung». Überall dort, wo ein Verantwortlicher zur Bearbeitung von Personendaten einen Dritten beizieht (z.B. bei der Auslagerung von IT-Funktionen an einen Cloud-Provider), ist die Notwendigkeit eines Auftragsbearbeitungsvertrags zu prüfen. Damit hat der Verantwortliche sicherzustellen, dass die Datenbearbeitung durch den Dritten nur gemäss Vorgabe und datenschutzkonform durchgeführt wird. In Vertragsverhandlungen führt die Auftragsbearbeitung regelmässig zu hitzigen Diskussionen: Handelt es sich im eine Auftragsbearbeitung oder doch eher um gemeinsame Verantwortlichkeit? Ist die Vertragsvorlage des Verantwortlichen oder des Auftragsbearbeiters zu verwenden? Wer trägt die allfälligen Kosten bei einem datenschutzrechtlichen Audit? Müssen dazu 20-seitige Verträge unterzeichnet werden, wie wir sie aus der EU kennen oder geht es allenfalls pragmatischer? Zweifellos lässt sich feststellen, dass der Verwaltungsaufwand für die Auslagerung von Prozessen und Dienstleistungen damit stark gestiegen ist.
Etwas unglücklich scheint die Übernahme des Rechts auf Datenportabilität aus der DSGVO. Dieses Recht soll es einem Konsumenten ermöglichen, seine Daten von einem Dienstleister auf einen anderen übertragen zu lassen. Eine Regelung, die gemäss unserer Praxiserfahrung wenig bis gar nicht genutzt wird. Dennoch verlangt das DSG von jedem Verantwortlichen, die Datenportabilität zu gewährleisten.
Das Auskunftsrecht von betroffenen Personen über die sie betreffende Bearbeitung von Personendaten wurde mit dem neuen DSG erweitert. Beispielsweise sind Gesuchsteller darüber zu informieren, ob ihre Personendaten mittels automatisierten Einzelentscheiden (z.B. Profiling) bearbeitet werden und nach welcher Logik diese erfolgen. Ein (eventual-) vorsätzliches Verweigern oder unvollständiges oder falsches Erteilen der Auskunft ist strafbewehrt. Es lohnt sich also, die entsprechenden Prozesse innerhalb der eigenen Organisation implementiert zu haben. Gleiches gilt im Übrigen für die zwingende Meldung von risikobehafteten Datensicherheitsverletzungen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Als letztes Beispiel sei das Verzeichnis der Bearbeitungstätigkeiten erwähnt, welches von den meisten Unternehmen sowie von Bundesorganen geführt werden muss. Ausnahmen bestehen nur für private KMU mit weniger als 250 Mitarbeitenden, die keine besonders schützenswerten Daten in grossem Umfang bearbeiten und kein hochrisikobehaftetes Profiling durchführen. Die Regelung wurde von der DSGVO übernommen und hat die Registrierungspflicht der Datensammlungen abgelöst. Verzeichnisse, welche für die DSGVO erstellt wurden, können dank eines Swiss Finish nicht spiegelbildlich übernommen werden; sie sind mit Angaben bezüglich der Länder, in welche Personendaten exportiert werden, zu ergänzen, ebenso mit allfälligen Garantien, die im Falle eines Datentransfers in unsichere Drittstaaten den nötigen Datenschutz gewährleisten sollen. Unsere Praxiserfahrung zeigt, dass die Führung eines Bearbeitungsverzeichnisses viele Vorteile mit sich bringt; nur so lässt sich tatsächlich ein Überblick darüber verschaffen, wo Personendaten innerhalb einer Organisation bearbeitet werden. Das Verzeichnis ermöglicht eine vollständige Auskunftserteilung bei der Wahrung von Betroffenenrechten sowie eine vollständige Löschung von Datensätzen, um nur einige Beispiele zu nennen. Der Aufwand lohnt sich also. Wir raten unseren Kunden deshalb grundsätzlich, ein Verzeichnis über ihre Bearbeitungstätigkeiten zu führen, auch wenn dazu keine rechtliche Pflicht besteht.
Bei der Swiss Infosec AG beraten wir unter anderem Unternehmen, welche für die Umsetzung der neuen Datenschutzvorschriften externe Unterstützung benötigen. Oft raten wir unseren Kunden, in einem ersten Schritt eine Standortbestimmung in Form einer Soll-Ist-Analyse durchzuführen. Dabei werden alle datenschutzrelevanten Dokumentationen und Prozesse auf Konformität mit dem DSG, und wo angebracht der DSGVO) überprüft und gegebenenfalls zweckmässige Massnahmen vorgeschlagen, um diese zu erreichen.
Für einige Unternehmen kann es sowohl aus fachlicher als auch aus ökonomischer Sicht sinnvoll sein, einen spezialisierten, externen Datenschutzberater zu ernennen. Dieser kann sich unabhängig von der unternehmensinternen Belastung um die datenschutzrechtliche Konformität kümmern und begleitet die Organisation kontinuierlich. Er ist neutral und hat mit seiner umfassenden 360°-Sicht zum Thema Datenschutz die nötige Sachlichkeit, Datenschutzfragen unabhängig zu beantworten. Bundesorgane (z.B. Pensionskassen) sind sogar dazu verpflichtet, einen Datenschutzberater zu ernennen.
Ein weiterer sinnvoller Ansatz ist die Schulung der Belegschaft im Umgang mit Personendaten sowie die Ausbildung von Schlüsselfunktionen innerhalb der Organisation. Dafür gibt es beispielsweise gute eLearning-Module oder ausgewiesene Datenschutzexpertinnen und -experten, die ihr Fachwissen in Lehrgängen und Workshops weitergeben. Nichts kann besseren Datenschutz gewährleisten als Awareness und Know-how im eigenen Unternehmen.
Wer gegen das DSG verstösst, kann seit dem 1. September 2023 auf Antrag mit bis zu CHF 250’000.- gebüsst werden. Insbesondere nicht richtig wahrgenommene Informations- und Auskunftspflichten oder das Nichteinhalten der Mindestanforderungen an die Datensicherheit können sanktioniert werden. In erster Linie sind die mit der Leitung des jeweiligen Unternehmens betrauten Personen von der Strafandrohung betroffen. Nur bei geringfügigen Verstössen kann stattdessen das Unternehmen mit bis zu CHF 50’000.- gebüsst werden. Es ist noch zu früh, um zu erkennen, wie sich dieses Bussenregime in der Rechtsprechung niederschlagen wird. Allerdings entfalten angedrohte Sanktionen nur dann ihre Wirkung, wenn sie bei Widerhandlungen konsequent durchgesetzt werden können.
Zusammengefasst lässt sich feststellen, dass die europarechtlichen Datenschutzvorgaben grösstenteils sinnvoll im DSG aufgenommen worden sind. Die aufgeführten Beispiele zeigen aber, dass der Aufwand für das Erreichen der Datenschutzkonformität wesentlich gestiegen ist und dass dieser Aufwand in den kommen Jahren wohl weiter zunehmen wird.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen Datenschutz für Sie tun können: +41 41 984 12 12, infosec@infosec.ch
Swiss Infosec AG; 21.05.2024
Kompetenzzentrum Datenschutz