Compliance-Anforderungen laut revisioniertem Schweizer Datenschutzgesetz.
Die Schweiz modernisiert das Bundesgesetz über den Datenschutz (revDSG) und passt den Datenschutz auf veränderte Verhältnisse an. Gleichzeitig soll das revDSG den Anforderungen der Datenschutz-Grundverordnung (DSG) angeglichen werden damit die Schweiz weiterhin von der EU als Drittstaat mit angemessenem Datenschutzniveau anerkannt wird und der freie grenzüberschreitende Datentransfer auch künftig möglich bleibt. Mit Inkrafttreten des revDSG müssen Unternehmen die neuen gesetzlichen Bestimmungen erfüllen.
Schweizer Unternehmen müssen sich jetzt vorbereiten. Mit dem revDSG und der DSG wird Datenschutz zum Compliance-Faktor. Bei Nicht-Einhaltung der Datenschutzvorgaben drohen finanzielle Risiken durch Schadensersatzforderungen von Betroffenen und Bussgelder der Aufsichtsbehörden. Zur Vermeidung von unrechtmäßigem Unternehmenshandeln und der Reduktion von Haftungsrisiken sind angemessene Compliance-Massnahmen zu entwerfen und an der Risikolage des Unternehmens auszurichten.
Compliance-Anforderungen im Überblick
Die wichtigsten neuen Datenschutz-Pflichten des revDSG im Überblick:
- Die Mindestanforderungen an die Datensicherheit nach VDSG sind einzuhalten. Unternehmen müssen angemessene technische und organisatorische Massnahmen zum Schutz von Personendaten ergreifen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) darf relevante Unterlagen zum Nachweis der Einhaltung bei Untersuchungen von Verstößen gegen Datenschutzvorschriften einsehen.
- Wenn Datenbearbeitung an Auftragsbearbeiter ausgelagert wird, ist vor Datenübermittlung eine vertragliche Regelung zur Auftragsbearbeitung abzuschliessen. Unternehmen haben sich zu vergewissern, dass Autragsbearbeiter in der Lage sind, die Datensicherheit zu gewährleisten.
- Personendaten dürfen ins Ausland nur bei Einhaltung geeigneter Datenschutzgarantien bekanntgegeben werden.
- Betroffene müssen grundsätzlich bei Beschaffung von Personendaten und automatisierter Entscheidungsfindung angemessen informiert werden.
- Unternehmen haben den Betroffenen Auskunft über die Bearbeitung deren Daten zu erteilen. Entsprechende Auskünfte sind innerhalb von 30 Tagen zu erteilen.
- Pflegen eines Verzeichnisses der Bearbeitungstätigkeiten mit Dokumentation von Zwecken einzelner Datenbearbeitungen, Aufbewahrungsfristen, Datenbekanntgaben ins Ausland und Datenempfängern (z.B. Auftragsbearbeiter). Das Verzeichnis ist auf Anordnung dem EDÖB vorzulegen.
- Erstellen von Datenschutz-Folgenabschätzungen, wenn die Datenbearbeitung hohe Risiken für die Betroffenen zur Folge haben kann.
- Meldepflicht von Datenschutzverletzungen beim EDÖB, wenn diese zu einem hohen Risiko für die betroffenen Person führt. Eine Meldung soll Angaben zur Art der Verletzung, deren Folgen sowie der ergriffenen oder vorgesehenen Massnahmen enthalten. Ergänzend sind Betroffene zu informieren, wenn dies zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
Unternehmen sind im Rahmen ihrer Compliance-Pflichten aufgefordert, geeignete Datenschutz-Prozesse zu entwerfen. Dazu gehören:
- Vorkehrungen zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen schaffen.
- Datenschutz in die Erstellung neuer Geschäftsprozesse einbeziehen und angemessen dokumentieren, um Bearbeitungsverzeichnisse, Betroffeneninformationen und Auskunftspflichten erfüllen zu können.
- Festlegen von Verantwortlichkeiten, Sensibilisierung der Mitarbeitenden.
- Monitoring, Klassifizierung und Priorisierung der Compliance-Massnahmen.
Unternehmensgruppen mit einer internationalen Ausrichtung haben vergleichbare Datenschutzanforderungen für verbundene Gesellschaften innerhalb der EU und Übersee zu beachten. Dabei sollte die Datenschutz-Organisation in der Gruppe möglichst harmonisiert werden.
Datenschutzberater unterstützen bei Datenschutz-Compliance
Die Benennung eines Datenschutzberaters ist nach dem revDSG optional, hat jedoch Vorteile für Unternehmen mit komplexen Compliance-Anforderungen. Der Datenschutzberater ist Anlaufstelle für Betroffene und Datenschutzbehörden. Er arbeitet mit dem Compliance-Team des Unternehmens zusammen, berät in Fragen des Datenschutzes und sorgt dafür, dass Datenschutz als Anforderung bei allen Compliance Maßnahmen mitgedacht wird. Er prüft die Bearbeitung von Personendaten und empfiehlt Korrekturmassnahmen. Ist bei risikoreichen Datenbearbeitungen eine Datenschutz-Folgenabschätzung auszuführen, so kann der Verantwortliche von der Konsultation des EDÖB absehen, wenn ein Datenschutzberater einbezogen wurde.