In der Schweiz tritt am 1. September 2023 ein neues Datenschutzgesetz in Kraft, welches die Bearbeitung von Personendaten regelt. Darunter fallen sämtliche Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
Im Folgenden finden Sie einen kurzen Überblick sowie einen Leitfaden zur Umsetzung des neuen Datenschutzgesetzes.
1. Bearbeitung von Personendaten
Jede Bearbeitung von Personendaten, sei es die Beschaffung, Speicherung, Veränderung, Löschung etc., fällt in den Anwendungsbereich des Datenschutzgesetzes.
2. Betroffene Personen
Betroffene Personen sind insbesondere Mitarbeiter und Ihre Kunden. Es empfiehlt sich, eine Übersicht über die von Ihrem Unternehmen bearbeiteten Personendaten zu erstellen. In der Ausgestaltung dieser Übersicht sind Sie völlig frei.
Hat Ihr Unternehmen mehr als 250 Mitarbeiter, müssen Sie zwingend ein Verzeichnis der Bearbeitungstätigkeiten erstellen, aus welchem u.a. hervorgeht, was für Personendaten zu welchem Zweck bearbeitet werden und wer die Empfänger sind. Beschäftigen Sie weniger Personen, muss ein Verzeichnis nur ausnahmsweise erstellt werden.
3. Prüfung wer Personendaten bearbeitet
Die Bearbeitung findet in Ihrem Unternehmen statt, aber auch externe Dienstleister können involviert sein. Erfolgt die externe Bearbeitung in Ihrem Auftrag, liegt eine Auftragsbearbeitung vor, welche vertraglich geregelt werden muss.
4. Auftragsbearbeitung
Bei externen Dienstleistern, die Ihre Personendaten bearbeiten, handelt es sich beispielsweise um Cloud-Anbieter, Treuhänder, externe IT-Provider oder Marketingexperten. Mit diesen externen Dienstleistern muss eine Auftragsbearbeitungsvereinbarung abgeschlossen werden, welche den Umgang mit Personendaten regelt (Ihr Weisungsrecht und Datensicherheit). Ohne Vereinbarung kann es Bussen geben.
5. Ort der Datenbearbeitung
Werden Personendaten im Ausland bearbeitet, müssen die betroffenen Personen künftig darüber informiert werden. Gewährleistet das betreffende Land keinen gleichwertigen Datenschutz, muss beispielsweise von der betroffenen Person eine Einwilligung eingeholt oder mit Hilfe einer Vereinbarung ein genügender Datenschutz hergestellt werden. Bei Nichteinhalten drohen Bussen.
6. Information der betroffenen Personen
Ab dem 1. September 2023 müssen Sie die betroffenen Personen bei der Beschaffung von Personendaten informieren. Dies beinhaltet eine Auskunft über die Identität und die Kontaktdaten des Datenschutz-Verantwortlichen, den Bearbeitungszweck sowie gegebenenfalls den Empfänger der Personendaten. Das Nichteinhalten dieser Pflicht kann zu Bussen führen.
7. Besonders schützenswerte Personendaten
Bearbeitet Ihr Unternehmen besonders schützenswerte Personendaten – bspw. religiöse Ansichten, Informationen zur Intimsphäre, Gesundheit oder zu strafrechtlichen Sanktionen – müssen Sie dafür eine ausdrückliche Einwilligung der betroffenen Person einholen.
Dies gilt allenfalls auch, wenn Ihr Unternehmen Personendaten zur Bewertung persönlicher Aspekte automatisiert bearbeitet (Profiling).
Besteht für betroffene Personen ein hohes Risiko, bedarf es zusätzlich einer Datenschutz-Folgenabschätzung. Dies kann aber häufig ausgeschlossen werden.
8. Zuständige Person für den Datenschutz
Die Sicherstellung eines gesetzeskonformen Datenschutzes obliegt in erster Linie dem Verwaltungsrat und der Geschäftsleitung.
Bestimmen Sie in Ihrem Unternehmen mindestens eine zuständige Person, die sich dem Thema annimmt und als Anlaufstelle für Auskünfte agiert. Auf diese Weise können Sie auch die Wahrung von Betroffenenrechten wie beispielsweise Auskunfts- und Löschungsbegehren sicherstellen.
9. Auskunfts- und Löschungsbegehren
Das neue Datenschutzgesetz sieht ein Auskunftsrecht für betroffene Personen vor. Das Verantwortliche Unternehmen erteilt die entsprechenden Auskünfte und nimmt allfällige Löschungen, Berichtigungen oder Übertragungen von Personendaten vor. Nichteinhalten kann zu Bussen führen.
10. Haftung und Strafsanktionen
Neben einem Haftungsrisiko drohen den verantwortlichen Personen bei einzelnen Verstössen gegen das Datenschutzgesetz Bussen von bis zu CHF 250'000. Gebüsst wird dabei in erster Linie die verantwortliche Person in Ihrem Unternehmen.
11. Was ist noch zu beachten?
Weitere Punkte, die Sie bei der Umsetzung des neuen Datenschutzgesetzes berücksichtigen müssen, sind die Folgenden:
(i) Entsprechen Datenschutzerklärung und/ oder Vertragsklauseln dem neusten Stand?
Prüfen Sie Ihre bestehende Datenschutzerklärung – bspw. auf der Homepage – und die Datenschutzregeln in den entsprechenden Verträgen (z. B. in den Arbeitsverträgen und den Auftragsbearbeitungsvereinbarungen). Passen Sie diese, wenn nötig, an oder erstellen Sie eine rechtskonforme Datenschutzerklärung, sollten Sie noch keine haben, und vereinbaren Sie die notwendigen Regeln mit Ihren Mitarbeitern und Dienstleistern.
(ii) Bestehen technische und organisatorische Massnahmen (TOM)?
Prüfen Sie, ob Ihre technischen und organisatorischen Massenahmen genügen, um die von Ihnen bearbeiteten Personendaten vor unnötigen und unberechtigten Zugriffen oder Verlusten zu schützen.
(iii) Wissen Sie, was im Falle einer Verletzung der Datensicherheit zu tun ist?
Gelangen trotzdem Personendaten in falsche Hände, müssen allenfalls betroffene Personen und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) so rasch wie möglich informiert werden.
(iv) Schulen Sie Ihre Mitarbeiter
Die tägliche Umsetzung erfolgt durch Ihre Mitarbeiter. Bereiten Sie diese auf das neue Datenschutzgesetz vor. Bereits eine kurze Mitarbeiterschulung kann viel bewirken oder für Akzeptanz sorgen.
(v) Richtet sich Ihr Angebot auch an Kunden in der EU oder im EWR oder hat Ihr Unternehmen dort eine Niederlassung?
Wenn ja, müssen neben dem schweizerischen Datenschutzgesetz auch Vorschriften der Europäischen Datenschutz-Grundverordnung (DSGVO) beachtet werden.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
