Neues DSG: Was Unternehmen beachten müssen
Das revidierte Schweizer Datenschutzgesetz (DSG) tritt im September 2023 in Kraft. Es bringt einige Neuerungen mit sich, welche Ihr Unternehmen beachten sollte. Wir beantworten die dringendsten Fragen und erklären Ihnen das weitere Vorgehen.
Als Legal Counsel bei dreipol werde ich von unseren Kund:innen oft gefragt, weshalb eine Revision nötig ist und was dies für das eigene Unternehmen zur Folge hat.
Wann tritt das neue DSG denn nun in Kraft?
Das revidierte DSG tritt, zusammen mit der vom Bundesrat noch zu erlassenden zugehörigen Verordnung, am 1. September 2023 in Kraft. Ich empfehle Ihnen, das Datum schon mal im Kalender anzustreichen und sich entsprechend darauf vorzubereiten (siehe nächste Frage).
Gibt es eine Übergangsfrist vom bisherigen zum revidierten DSG?
Es ist keine generelle Übergangsfrist vorgesehen. Faktisch kann die jetzige Phase als Übergangsfrist angesehen werden. Dies bedeutet, dass die neuen Datenschutzvorschriften bis zum Inkrafttreten des revidierten Gesetzes umgesetzt sein müssen. Andernfalls drohen den Unternehmen handfeste Nachteile.
Warum braucht es überhaupt ein neues DSG?
Für eine Revision des DSG sprechen zwei Gründe:
Einerseits ist das aktuell geltende DSG aus dem Jahre 1992 aufgrund der technologischen Entwicklung der letzten Jahrzehnte schlicht nicht mehr zeitgemäss. Zur Veranschaulichung: Zu Beginn der 90er Jahre steckte das Internet noch in den Kinderschuhen und die damit verbundenen Möglichkeiten wie E-Mail oder Instagram spielten höchstens in Zukunftsromanen eine Rolle. Mit der Totalrevision soll das Gesetz folglich den neuen Realitäten in Technologie und Gesellschaft angepasst werden.
Andererseits erlaubt die Revision, die Schweizerische Gesetzgebung verschiedenen Anforderungen der EU anzunähern. Dies ist notwendig, damit die EU die Schweiz weiterhin als sogenannten «Drittstaat mit angemessenem Datenschutzniveau» anerkennt. Nur so bleibt die Datenübermittlung zwischen der Schweiz und der EU weiterhin ohne grössere Hürden möglich.
Was ändert sich denn nun konkret?
Trotz Totalrevision bleiben die grundlegenden Prinzipien des Schweizerischen Datenschutzrechts unverändert. So verlangt auch das revidierte DSG weiterhin die Einhaltung bestimmter Bearbeitungsgrundsätze. Werden diese gewährleistet, ist die Bearbeitung von Personendaten grundsätzlich rechtmässig. Trotzdem gibt es einige gewichtige Änderungen:
Anwendungsbereich
Das revidierte DSG beschränkt sich (ebenso wie die DSGVO) auf den Schutz natürlicher Personen. Juristische Personen (wie beispielsweise eine AG oder eine GmbH) können sich für ihren Schutz künftig nicht mehr auf das DSG berufen.
Besonders schützenswerte Personendaten
Die Auflistung der besonders schützenswerten Personendaten wird um biometrische und genetische Daten erweitert.
Erweiterte Informationspflichten
Das revidierte DSG verlangt von den für die Datenbearbeitung Verantwortlichen eine erweiterte Informationspflicht bei der Beschaffung von Personendaten. Das Gesetz führt keine abschliessende Liste der notwendigen Informationen auf. Mindestens sind der betroffenen Person (z. B. Webseiten-Besucher:in) aber folgende Angaben mitzuteilen:
- Identität und Kontaktdaten des oder der Verantwortlichen
- Bearbeitungszwecke
- Allfällige Empfänger:innen der Daten bzw. Kategorien von Empfänger:innen
- Staat bzw. internationales Organ bei Bekanntgabe der Daten ins Ausland, gegebenenfalls die Garantie für einen geeigneten Datenschutz bzw. den Ausnahmetatbestand, falls keine Garantie gegeben ist
- Kategorien der bearbeiteten Personendaten bei der indirekten Datenerhebung
Ausbau der Betroffenenrechte
Neben der erweiterten Informationspflicht werden neu auch die Betroffenenrechte selber gestärkt. Dies bedeutet, dass diesen ein Recht auf Datenherausgabe und -übertragung gewährt wird.
Verzeichnis der Bearbeitungstätigkeiten
Analog der DSGVO muss Ihr Unternehmen künftig ein Verzeichnis sämtlicher Datenbearbeitungen führen. Sämtliche Datenbearbeitungen müssen erfasst, mit genauen Angaben versehen sowie laufend aktualisiert werden. Allerdings kann der Bundesrat für Unternehmen bis 250 Mitarbeiter:innen Ausnahmen vorsehen.
Datenschutz-Folgenabschätzung
Der oder die Verantwortliche ist verpflichtet, eine Datenschutz-Folgenabschätzung inkl. Dokumentation vorzunehmen, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt.
Profiling und Profiling mit hohem Risiko
Das Profiling ist eine automatisierte Bearbeitung von Personendaten, mit welchem Informationen über die betroffene Person gewonnen werden (z. B. Aufenthaltsort, Gesundheit, persönliche Interessen etc.).
Profiling mit hohem Risiko liegt dann vor, wenn das klassische Profiling zu einer Verknüpfung von Daten führt, welche die Beurteilung wesentlicher Aspekte der Persönlichkeit der betroffenen Person erlaubt. Hier sieht das revidierte DSG eine Pflicht zur Einholung einer Einwilligung vor. Sollte Ihr Unternehmen also beispielsweise das Persönlichkeitsprofil der «idealen Stellenbewerberin» bzw. des «idealen Stellenbewerbers» definieren, um danach die eingehenden Bewerbungen durch eine Computersoftware beurteilen lassen zu können, so kann ein Profiling mit hohem Risiko vorliegen. Voraussetzung dafür ist allerdings, dass die Erzeugung des Persönlichkeitsprofils selbst zu einem hohen Risiko führt.
Meldung bei einer Verletzung des Datenschutzes
Datenschutzverletzungen, welche grosse Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person bergen, sind vom Verantwortlichen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) schnellstmöglich mitzuteilen. In der Regel muss der oder die Verantwortliche zudem die betroffene Person informieren, wenn dies zu ihrem Schutz nötig ist oder vom EDÖB verlangt wird.
Privacy-by-Design und Privacy-by-Default
Bei der Bearbeitung von Personendaten müssen ab dem Zeitpunkt der Planung angemessene technische und organisatorische Massnahmen getroffen werden, welche die Umsetzung und Einhaltung der Datenschutzgrundsätze sicherstellen.
Voreinstellungen sind zudem so auszugestalten, dass die Bearbeitung auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
Sanktionen
Bei vorsätzlichen Verstössen gegen das revidierte DSG können Privatpersonen strafrechtlich sanktioniert und mit Bussen bis zu CHF 250’000 bestraft werden. Das hat zur Konsequenz, dass Verantwortliche in einem Unternehmen (z. B. Personen mit Leitungsfunktionen) direkt gebüsst werden können.
Was muss mein Unternehmen tun, um die neuen Bestimmungen zu erfüllen?
Das revidierte DSG wird sich inhaltlich in vielen Punkten der DSGVO annähern. Beachtet Ihr Unternehmen die europäische Gesetzgebung bereits und hält sie ein, haben Sie diesbezüglich einen Vorteil. Trotzdem kommen auch Sie nicht darum herum, verschiedene Massnahmen zu ergreifen, wie namentlich:
- Erstellen und/oder Anpassen der internen Richtlinien zur Datenbearbeitung
- Erstellen eines Datenbearbeitungsverzeichnisses
- Implementieren eines Prozesses, welcher die fristgerechte Bearbeitung von Betroffenenrechten gewährleistet
- Implementieren eines Prozesses zur Meldung von Datenschutzverletzungen
- Implementieren eines Prozesses zur Datenschutz-Folgeabschätzung
Gerne prüfen wir gemeinsam mit Ihnen, welche weiteren Massnahmen für Ihre digitalen Projekte zu implementieren sind und erarbeiten bei Bedarf entsprechende Checklisten.
Sind Sie unsicher, ob Ihr digitales Produkt (Web, App etc.) den neuen datenschutzrechtlichen Vorgaben genügt? Benötigen Sie diesbezüglich Unterstützung bei der Implementierung des neuen DSG? Gerne stehe ich Ihnen beratend zur Verfügung.
. . .
Gerne dürfen Sie diesen Post liken, teilen und mir oder dreipol auf Social Media folgen:
ch.linkedin.com/in/d-j-robert
medium.com/@jules.robert
twitter.com/dreipol
www.dreipol.ch
