Das neue Schweizer DSG 2023

Mit dem revisionierten Schweizer Datenschutzgesetz (revDSG) wird das Datenschutzrecht der Schweiz in 2023 auf veränderte Verhältnisse angepasst. Gleichzeitig soll das revisionierte Gesetz den Anforderungen der Datenschutz-Grundverordnung (DS-GVO) angeglichen werden damit die Schweiz weiterhin von der EU als Drittstaat mit angemessenem Datenschutzniveau anerkannt wird und der freie grenzüberschreitende Datentransfer auch künftig möglich bleibt.

Schweizer Unternehmen müssen sich jetzt vorbereiten und sind verpflichtet, die gesetzlichen Bestimmungen unmittelbar bei Inkrafttreten des revDSG einzuhalten. Mit dem revDSG und der DS-GVO wird Datenschutz für Schweizer Unternehmen zum Compliance-Faktor. Bei Nicht-Einhaltung der Datenschutzvorgaben drohen finanzielle Risiken durch Schadensersatzforderungen von Betroffenen und Bussgelder der Aufsichtsbehörden. Zur Vermeidung von unrechtmässigem Unternehmenshandeln und der Reduktion von Haftungsrisiken sind angemessene Compliance-Massnahmen zu entwerfen und an der Risikolage des Unternehmens auszurichten. Die OBSECOM GmbH unterstützt Sie als Datenschutzberater Schweiz bei der Einhaltung von Compliance-Pflichten.

Wann tritt das revDSG in Kraft?

Das Schweizer Parlament nahm das revDSG am 25. September 2020 an. Damit das neue Gesetz in Kraft treten kann, mussten die Bestimmungen auf Verordnungsebene vom Bundesrat konkretisiert werden. Die Vernehmlassung dazu endete am 14. Oktober 2021. Das Inkrafttreten des revDSG zum 01. September 2023 ist nun beschlossen.

Welche wichtigen Neuerungen müssen Unternehmen beachten?

Art. 9 revDSG – Vertragliche Regelungen bei Bearbeitung durch Auftragsbearbeiter
Bei Bearbeitung von Personendaten durch Auftragsbearbeiter müssen sich Unternehmen künftig vergewissern, dass Auftragsbearbeiter in der Lage sind, die Datensicherheit zu gewährleisten. Eine Auslagerung der Datenbearbeitung an Unter-Autragsbearbeiter bedarf künftig der Genehmigung des Verantwortlichen. Datenbearbeitung sollte auf Grundlage vertraglicher Vereinbarungen mit den Auftragsbearbeitern geregelt werden.

Art. 19 ff revDSG –Neue Informationspflichten bei Beschaffung von Personendaten
Betroffene Personen müssen künftig bei der Beschaffung von Personendaten angemessen über die Bearbeitungszwecke, automatisierte Entscheidungsfindung sowie Bekanntgaben ins Ausland per Datenschutzerklärung informiert werden. Werden Personendaten bei Dritten erhoben, so sind Betroffene binnen eines Monats über die Datenbeschaffung zu informieren. Unternehmen müssen relevante Bearbeitungstätigkeiten identifizieren und geeignete Datenschutzerklärungen erstellen.

Art. 25 ff revDSG – Stärkung der Betroffenenrechte
Unternehmen sollten Prozesse implementieren, um Betroffenen innerhalb von 30 Tagen auf Antrag Auskunft über Datenbearbeitung erteilen zu können. Weiterhin müssen unrichtige Personendaten ggf. berichtigt, nicht mehr benötigte Daten gelöscht sowie automatisiert bearbeitete Personendaten herausgegeben oder auf Wunsch übertragen werden.

Art. 24 revDSG – Meldungen von Verletzungen der Datensicherheit
Künftig haben Verantwortliche bei Verletzungen der Datensicherheit dem Eidgenössischen Datenschutzberater (EDÖB) so rasch als möglich Meldung zu erstatten, sofern die Verletzung zu einem hohen Risiko für die Betroffenen führt. Unternehmen sollen Prozesse implementieren, mit denen Datenschutzverletzungen erkannt und Meldepflichten bewertet werden können.

Art. 60 f revDSG – Bussen bei Verletzung von Rechtspflichten
Bei vorsätzlicher Verletzung der Sorgfalts-, Informations-, Auskunfts- und Mitwirkungspflichten können private Personen mit Busse, bis CHF 250’000 bestraft werden. Bussgelder sind nicht allgemein gegen das Unternehmen gerichtet. Das revDSG sieht vielmehr eine direkte Sanktion der Verantwortlichen vor (z.B. CEO, CIO oder andere Funktionsträger).

Art. 10 revDSG – Datenschutzberater Schweiz
Unternehmen können einen Datenschutzberater benennen, der sie bei der Umsetzung und Einhaltung der Datenschutzvorschriften berät. Der Datenschutzberater ist Anlaufstelle für Betroffene und Datenschutzbehörden. Ist ein Datenschutzberater benannt, kann das Unternehmen ggf. von Erleichterungen bei bestimmten Meldepflichten profitieren. Die OBSECOM GmbH aus Stuttgart mit ihrer schweizer Zweigniederlassung in Préverenges (VD) berät Sie als externe Datenschutzberater bei der Umsetzung des revDSG.  

Welche Compliance-Anforderungen können strafrechtliche Folgen haben?

Die vorsätzliche Missachtung der neuen Datenschutz-Pflichten kann künftig strafrechtlich mit einer Busse von bis zu CHF 250’000 sanktioniert werden. Bussgelder sind nicht allgemein gegen das Unternehmen gerichtet. Das revDSG sieht vielmehr eine direkte Sanktion der Verantwortlichen vor (z.B. CEO, CIO oder andere Funktionsträger). Um Sanktionen zu vermeiden sollten u.a. folgende Bereiche datenschutzkonfrom umgesetzt werden:

  • Einhalten der Mindestanforderungen an die Datensicherheit. Unternehmen haben geeignete technische und organisatorische Massnahmen zum Datenschutz zu ergreifen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) darf relevante Unterlagen bei Untersuchungen von Verstössen gegen Datenschutzvorschriften einsehen.
  • Die Auslagerung von Datenbearbeitung an Auftragsbearbeiter ist vertraglich zu regeln. Unternehmen müssen sich vergewissern, dass Autragsbearbeiter in der Lage sind, die Datensicherheit zu gewährleisten.
  • Die Bekanntgabe von Personendaten ins Ausland darf nur bei Einhaltung geeigneter Datenschutzgarantien erfolgen.
  • Betroffene müssen grundsätzlich bei Beschaffung von Personendaten und automatisierter Entscheidungsfindung angemessen informiert werden.
  • Unternehmen haben auf Anfrage Betroffener Auskunft über die Bearbeitung deren Daten zu erteilen.

Welche Datenschutz-Prozesse sollten Unternehmen umsetzen?

Unternehmen sind im Rahmen ihrer Compliance-Pflichten aufgefordert, geeignete Datenschutz-Prozesse zu entwerfen. Dazu gehören:

  • Vorkehrungen zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen schaffen.
  • Datenschutz in die Erstellung neuer Geschäftsprozesse einbeziehen und angemessen dokumentieren, um Bearbeitungsverzeichnisse, Betroffeneninformationen und Auskunftspflichten erfüllen zu können.
  • Festlegen von Verantwortlichkeiten, Sensibilisierung der Mitarbeitenden.
  • Monitoring, Klassifizierung und Priorisierung der Compliance-Massnahmen.

Unternehmensgruppen mit einer internationalen Ausrichtung haben bereits vergleichbare Datenschutzanforderungen für verbundene Gesellschaften innerhalb der EU und Übersee zu beachten. Die revisionierung des Schweizer Datenschutzgesetzes bietet die Möglichkeit, die Datenschutz-Organisation innerhalb der Gruppe zu harmonisieren.

Wie können Datenschutzberater bei Datenschutz-Compliance unterstützen?

Die Benennung eines Datenschutzberaters ist nach dem revDSG optional, hat jedoch Vorteile für Unternehmen mit komplexen Compliance-Anforderungen. Der Datenschutzberater ist Anlaufstelle für Betroffene und Datenschutzbehörden. Er arbeitet mit dem Compliance-Team des Unternehmens zusammen, berät in Fragen des Datenschutzes und sorgt dafür, dass Datenschutz als Anforderung bei allen Compliance-Massnahmen mitgedacht wird. Der Datenschutzberater prüft die Bearbeitung von Personendaten und empfiehlt Korrekturmassnahmen. Ist bei risikoreichen Datenbearbeitungen eine Datenschutz-Folgenabschätzung auszuführen, so kann der Verantwortliche von der Konsultation des EDÖB absehen, wenn ein Datenschutzberater einbezogen wurde.