Das revidierte Datenschutzgesetz tritt bald in Kraft. Wie sich Schweizer Unternehmen darauf vorbereiten
Das revidierte Datenschutzgesetz wird einige Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) übernehmen. Für Unternehmen, die bereits die Vorgaben der DSGVO umgesetzt haben, wird sich mit dem revidierten Schweizer DSG nicht viel ändern.
Im Gegensatz zur DSGVO wird in der Schweiz weiterhin die Datenverarbeitung nach dem Prinzip des Verbotsvorbehalts, d.h. grundsätzlich auch ohne spezifischen Rechtfertigungsgrund zulässig sein. Die DSGVO verlangt demgegenüber für jede Datenverarbeitung einen Rechtfertigungsgrund, wie etwa eine Einwilligung, eine Vertragsabwicklung, berechtigte Interessen des Datenverarbeiters oder eine gesetzliche Vorschrift.
Falls Personendaten in Verletzung der gesetzlichen Vorschriften oder gegen den Willen der betroffenen Person bearbeitet werden, stellt dies eine Persönlichkeitsverletzung dar.
Datenschutz-Verstösse können nach neuem Recht eine Busse von bis zu CHF 250’000 zur Folge haben, und zwar gegenüber der verantwortlichen (natürlichen) Person.
Künftig werden sich auch in der Schweiz nur noch natürliche Personen auf das Datenschutzgesetz berufen können. Die juristischen Personen werden vom Anwendungsbereich des DSG ausgenommen.
Es besteht weiterhin keine Pflicht, einen Datenschutzbeauftragten zu bestellen. Dennoch ist jedem Unternehmen zu empfehlen, die internen Datenschutz-Zuständigkeiten klar zu regeln.
Checkliste für Umsetzung des neuen Rechts:
Folgende Punkte sollten Unternehmen bei der Umsetzung der Gesetzesänderung beachten:
Informationspflicht: In Anlehnung an die DSGVO wird die Informationspflicht bei der Beschaffung von Personendaten erweitert.
Datenbearbeitungsverzeichnis: Entsprechend der DSGVO wird das Führen von Datenbearbeitungs-Inventaren auch nach Schweizer Recht obligatorisch, wobei für kleine Unternehmen mit geringem Risiko für DSG-Verletzungen Ausnahmen vorgesehen sind.
“DSFA”: Bei besonders heiklen Datenbearbeitungen besteht künftig die Pflicht, eine Datenschutz-Folgeabschätzung vorzunehmen. Dies gilt insbesondere bei umfangreicher Bearbeitung besonders schützenswerter Personendaten. Die Folgeabschätzung beinhaltet die Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken sowie die getroffenen Gegenmassnahmen.
Meldung von Verletzungen der Datensicherheit: Bei Verletzungen hat eine Meldung and den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in Bern zu erfolgen.
Auskunftsrecht: Das bereits bestehende Auskunftsrecht wird etwas geändert und es wird ein Recht auf Daten-Portabilität eingeführt. Unternehmen sollten den Prozess zur Beantwortung von Auskunftsbegehren entsprechend anpassen.
Anpassungen von AGB und Datenschutzerklärungen: Bestehende AGB und Datenschutzerklärungen sind im Hinblick auf die Abweichungen des revidierten DSG zum bestehenden Recht bzw. zur DSGVO zu prüfen und gegebenenfalls anzupassen.