Vieles wurde in den letzten Monaten über das neue Schweizer Datenschutzgesetz (DSG) geschrieben: Neuerungen und Inhalte, Unterschiede zur europäischen Datenschutzgrundverordnung (DSGVO/GDPR), Folgen und Auswirkungen für die Unternehmen und wie sich Unternehmen bestmöglich auf die Umsetzung des revidierten Gesetzes vorbereiten können. In diesem Artikel fokussieren wir uns nun auf die Auswirkungen der Verordnung zum neuen Datenschutzgesetz.
Das Ausgehend davon, dass Sie Ihre Hausaufgaben gemacht haben, die als Voraussetzung zur minimalen Rechtskonformität des neuen Datenschutzgesetzes zwingend erforderlich sind, bedeutet dies:
- Sie wissen, welche personenbezogenen Daten in welchen Kategorien in welchen Prozessen involviert sind.
- Sie wissen, wo und mit welchen Applikationen und Systemen diese Prozesse ablaufen.
- Sie wissen, wer und zu welchem Zweck die Daten bearbeitet werden.
- Sie wissen, woher die Daten stammen und wohin bzw. an wen diese gesendet werden.
- Sie führen Inventar in der Form von einem oder mehreren Verzeichnissen dieser Bearbeitungstätigkeiten.
- Die Verantwortlichkeiten dieser Tätigkeiten ist bekannt und adressiert.
Kurzum: Sie wissen bereits, welche Kategorien von Personendaten wo, durch wen und warum bearbeitet werden.
Datensicherheit
Mit der dokumentierten Bestandsaufnahme haben Sie die Grundlage für die regelmässige Überprüfung der Wirksamkeit und Angemessenheit über die gesamte Bearbeitungsdauer gelegt. Ihren Bearbeitungstätigkeiten können Sie risikobasiert, Massnahmen zur Gewährleistung der Datensicherheit zuordnen. Werden die von der Verordnung spezifizierten Schutzziele angemessen erreicht? Welche Massnahmen müssen noch getroffen werden, um diese zu erreichen? Eine Integration in ein bereits bestehendes ISMS (Information Security Management System), DSMS (Datenschutzmanagement-System) oder QMS (Qualitätsmanagement-System) bietet sich an, sofern keine neuen Prozesse definiert werden sollen.
Risiken
Bei Bearbeitungstätigkeiten, welche nach erfolgter Datenschutz-Folgenabschätzung trotz vorgesehenen Massnahmen noch immer ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen aufweisen, müssen die Verantwortlichen bzw. Auftragsbearbeitenden eine umfassende Protokollierung der Bearbeitungsvorgänge sicherstellen. Diese Protokolle müssen sämtliche Bearbeitungsschritte abdecken und nicht nur über die Art des Bearbeitungsvorgangs, die Identität der Person, welche die Bearbeitung vorgenommen hat, die Identität der Empfängerin oder des Empfängers sowie den Zeitpunkt, an dem die Bearbeitung erfolgt ist, Auskunft geben, sondern Sie müssen auch getrennt vom protokollierten System für mind. ein Jahr aufbewahrt werden. Auch die Resultate einer Datenschutz-Folgenabschätzung müssen schriftlich festgehalten und während mind. zwei Jahren nach Beendigung der Datenbearbeitung aufbewahrt werden.
Wenn Sie in Ihrem Unternehmen als verantwortliche Person oder im Auftrag in hohem Umfang besonders schützenswerte Personendaten bearbeiten oder ein Profiling mit hohem Risiko für die Betroffenen durchführen, sind Sie verpflichtet, je ein Bearbeitungsreglement für automatisierte Bearbeitungstätigkeiten zu erstellen und aktuell zu halten. Als Bundesorgan gelten nicht nur erweiterte Voraussetzungen wie beispielsweise die Verknüpfung der Datenbestände, sondern Sie sind ausserdem verpflichtet, diese Bearbeitungsreglemente der Datenschutzberaterin zur Verfügung zu stellen.
Bearbeitung im Auftrag
Finden sich in Ihrem Unternehmen Bearbeitungstätigkeiten, welche Sie an eine auftragsbearbeitende Stelle ausgelagert haben, bleibt die Verantwortlichkeit für den rechtskonformen Datenschutz bei Ihnen als verantwortliche Person. Sie müssen also sicherstellen, dass die Datenverarbeitung vertrags- und gesetzeskonform durchgeführt wird und die Datensicherheit gewährleistet ist. Eine Weitergabe der Daten durch die auftragsdatenbearbeitende Person an Dritte bedarf ausserdem einer vorgängigen Genehmigung durch die verantwortliche Person.
Bekanntgabe ins Ausland
Werden in Ihrem Unternehmen Personendaten ins Ausland bekanntgegeben oder planen Sie den Schritt in die Cloud, dürfen Sie dies nur, wenn das Zielland einen angemessenen Datenschutz gewährleisten kann. Länder mit angemessenem Datenschutz werden in der Verordnung im Anhang geführt. Ein angemessener Datenschutz kann jedoch auch durch spezielle Garantien, völkerrechtliche Verträge, Datenschutzvertragsklauseln und bindende Datenschutzvorschriften – wie in Art 16. 16 DSG Ziff. 2 lit. a-e ausgeführt – erreicht werden.
Die Angemessenheit des Datenschutzes des Ziellandes muss «periodisch» neu beurteilt werden. Ergibt diese Beurteilung keinen angemessenen Datenschutz, ist die Bekanntgabe zu unterbinden. Der EDÖB ist übrigens laut Verordnung vor jedem Entscheid zur Angemessenheit des Datenschutzes zu konsultieren. Aufgrund der zu erwartenden Menge an Anfragen gehen wir davon aus, dass diese Anforderung grundsätzlich die Konsultation der vom EDÖB publizierten Länderliste beinhaltet und im Speziellen für Zielländer ratsam ist, welche nicht in der Liste aufgeführt sind.
Die Mindestanforderungen an den Inhalt der Standardvertragsklauseln sind laut Verordnung (Auszug aus Art. 9 Abs.1 Bst a-j DSV): die Anwendung der Grundsätze, Kategorien der Betroffenen bzw. der bekanntgegebenen Personendaten, Art und Zweck der Bekanntgabe, die Rechte der betroffenen Personen und die Namen der Staaten, in welche die Daten bekanntgegeben werden. Als Bundesorgan müssen Sie auch die Empfänger der von ihnen bekannt gegebenen Personendaten über die Aktualität, Zuverlässigkeit und Vollständigkeit informieren.
Betroffenenrechte
Mit dem neuen Datenschutzgesetz werden auch die Rechte der Betroffenen gestärkt. Namentlich sind dies das Auskunftsrecht sowie das Recht auf Löschung, Datenherausgabe und Berichtigung. Jedes Begehren hat schriftlich zu erfolgen. Auch müssen Sie die korrekte Identifizierung des Antragsstellers bei der Auskunftserteilung sicherstellen. Das Gesetz statuiert im Übrigen eine diesbezügliche Mitwirkungspflicht der betroffenen Person. Die Reaktion auf ein Betroffenenrecht muss innerhalb von 30 Tagen und grundsätzlich kostenlos erfolgen. Ist mit einem unverhältnismässigen Aufwand zu rechnen, kann eine Beteiligung am Aufwand durch die betroffene Person verlangt werden. Diese darf die Höhe von 300 CHF nicht überschreiten.
Auch sind die Gründe für eine Verweigerung, Einschränkung oder den Aufschub der Auskunft innerhalb derselben Frist den Betroffenen mitzuteilen. Aus Gründen der Beweisführung empfiehlt es sich, dies entsprechend zu dokumentieren und aufzubewahren.
Datenschutzvorfall
Bei einem sog. Datenschutzvorfall bzw.gem. Gesetz der «Verletzung der Datensicherheit» müssen Sie als verantwortliche Person den EDÖB «so rasch als möglich» über den Vorfall berichten. Sind Sie die auftragsdatenbearbeitende Person, müssen Sie die verantwortliche Person diesbezüglich informieren, sofern «grosse Risiken» für die Persönlichkeit oder die Grundrechte der betroffenen Personen bestehen. Mindestens zu nennen sind die Kontaktdaten der Ansprechperson im Unternehmen, die Art der Verletzung, die Anzahl der betroffenen Personen, die Folgen und Risiken für die Betroffenen und die getroffenen Massnahmen. Nicht immer wird es möglich sein, bei der Kenntnisnahme einer Verletzung bereits alle notwendigen Informationen bereit zu haben. Daher besteht die Möglichkeit, dass in einem ersten Schritt bei der Entdeckung der Verletzung nur bekannte Grundangaben gemacht werden und mit einer Nachmeldung noch die restlichen Informationen («so rasch als möglich») mitgeteilt werden.
Weiter sind auch die Betroffenen über die Art und die Auswirkungen der Verletzungen zu informieren, sofern dies dem Schutz der betroffenen Person dient. Natürlich müssen diese Verletzungen so dokumentiert werden, dass alle mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen enthalten sind. Die Dokumentation ist ab dem Zeitpunkt der Meldung für mind. drei Jahre aufzubewahren.
Datenschutzverletzungen: eine teure Angelegenheit
Im Gegensatz zum bestehenden Datenschutzgesetz ist eine vorsätzliche Verletzung der Sorgfalts- bzw. Informations- und Auskunftspflichten neu strafbar und wird mit einer Busse von bis zu 250’000 CHF für natürliche Personen geahndet. Mitarbeitende, welche also bereits von einem Verstoss wissen sowie die Auswirkungen bewusst in Kauf nehmen und somit eventualvorsätzlich handeln, machen sich im Sinne des Gesetzes strafbar. So besteht die Möglichkeit, dass nicht nur Datenschutzberatende, sondern auch die mittleren und oberen Führungsetagen direkt gebüsst werden können.
Das neue Datenschutzgesetz und seine Folgen: mein Fazit
Datenschutz muss im Unternehmen nicht nur auf allen Stufen thematisiert, sondern auch regelmässig geschult werden. Dies verhindert einerseits mögliche Reputationsschäden und andererseits auch den Schutz der Mitarbeitenden vor illegalen, strafbewehrten Handlungen.
Datenschutz-Compliance ist wie Informationssicherheit kein fixer, einmal erreichter Zustand, sondern besteht aus einer Vielzahl von in sich greifenden, sich stetig verfeinernden Prozessen. Zur Formalisierung ist ein kontinuierlicher Verbesserungsprozess notwendig, der auch zukünftigen Veränderungen bzw. Anforderungen und neuen Bearbeitungen Rechnung trägt.
Es bleibt nur noch wenig Zeit zur Bearbeitung der Hausaufgaben, da das neue Gesetz nach Entscheid des Bundesrates erst im September 2023 in Kraft treten wird. Die wichtigsten Schritte sind die Verzeichnisse der Bearbeitungstätigkeiten zu erstellen und sich der eigenen Datenschutzorganisation zu widmen.
Das neue Gesetz tritt ohne Übergangsfrist in Kraft. Unternehmen sind gut beraten, die internen Prozesse und Verantwortlichkeiten möglichst frühzeitig anzugehen und so die «Schonfrist» aktiv zu nutzen. Wenn Sie Unterstützung benötigen, stehen ich und unsere Datenschutz-Expert*innen Ihnen gerne zur Seite. Auf unserer Webseite finden Sie eine Übersicht über unsere Datenschutz-Services – oder kontaktieren Sie uns unverbindlich.