Was muss ich wissen?

Zur zeit wird viel über das revidierte Datenschutzgesetz informiert und das Datum der Inkraftsetzung ist uns allen ein Begriff. Der 1. September 2023 stellt nicht den Beginn einer Übergangsfrist dar, sondern zu diesem Zeitpunkt müssen die Unternehmen die neuen Anforderungen umgesetzt haben. Privat- wie auch Unternehmenspersonen sollten sich für das Thema interessieren, denn wir sind alle davon betroffen.

Warum gibt es ein Datenschutzgesetz?
Es geht um den Schutz unserer Privatsphäre. Dieser wird durch die Bundesverfassung garantiert, indem jeder Person Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten zuerkannt wird (Art. 13 Abs. 2 BV). Daraus wird das Grundrecht auf informationelle Selbstbestimmung abgeleitet und dieses Recht ist im Datenschutzgesetz und der dazugehörigen Verordnung verankert. Spannend ist, dass einerseits der Bürger vor Missbrauch seiner Daten geschützt wird und andererseits sich der Schutzgedanke auch auf die Daten selbst bezieht, indem diese durch technische und organisatorische Massnahmen zu sichern sind.

Was sind schützenswerte Daten?
Schützenswert sind vertrauliche, unternehmensbezogene Informationen und personenbezogene Daten. Vertrauliche Informationen sind durch Strafbestimmungen und in der Praxis zwischen Unternehmen durch Vertraulichkeitsvereinbarungen geschützt. Kaum ein Projekt wird gestartet, ohne dass zuvor die Parteien ein Non-Disclosure Agreement (NDA) abgeschlossen haben.

Personendaten im Sinne des Datenschutzgesetzes sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Hier zeigt sich ein erster Unterschied zum bisherigen Gesetz, das auch Daten von juristischen Personen erfasst hat. Eine natürliche Person ist dann bestimmbar, wenn sie direkt oder indirekt identifiziert werden kann, zum Beispiel über eine einzige Information wie den Namen oder über den Abgleich verschiedener Quellen oder Informationen (Identifikationsnummer oder Standortdaten). Das Gesetz definiert ausserdem einen Katalog an besonders schützenswerten Personendaten. So unterliegen Gesundheitsdaten besonderen Rechtsvorschriften.

Die wichtigsten Änderungen
Eines der deklarierten Ziele der Revision war die Annäherung der Schweizer Datenschutzgesetzgebung an die Anforderungen der europäischen Datenschutz- Grundverordnung (DSGVO) und somit die erleichterte grenzüberschreitende Datenübermittlung und -bearbeitung. Die wichtigsten Änderungen beziehen sich daher auf Vorgaben, Massnahmen und Instrumente aus der DSGVO.

In aller Kürze geht es um nachfolgende Bereiche: Die Transparenz der Datenbearbeitung wird verbessert, indem die Informationspflicht bei der Beschaffung von Personendaten konkretisiert wird. Kein Webauftritt ohne Datenschutzerklärung, keine Anmeldung zum Newsletter oder zu einem Event ohne gleichzeitige Bestätigung, die Datenschutzerklärung zur Kenntnis genommen zu haben.

Als Kunde des Unternehmens, Online- Bewerber oder einfacher Besucher der Website wie auch als Mitarbeiter – gemäss Wortlaut des Gesetzes als «betroffene Person» – bin ich also jederzeit über die Bearbeitung meiner Daten durch das Unternehmen bestens im Bilde und weiss, welche Daten zu welchem Zweck, in welchem Land und wie lange gespeichert werden. Zudem muss die betroffene Person informiert werden, falls eine Entscheidung auf einer rein automatisierten Datenbearbeitung erfolgt.

Es gibt neue respektive angepasste Begriffe und Anforderungen an die Datensicherheit. Dazu zählen die zentrale Rolle des Verantwortlichen und Auftragsbearbeiters, die Erweiterung der besonders schützenswerten Personendaten sowie das Profiling mit und ohne hohes Risiko. Die Massnahmen zur Sicherstellung des Datenschutzes beinhalten das Verzeichnis der Bearbeitungstätigkeiten, die Datenschutz Folgenabschätzung und die Pflicht zum Datenschutz durch Technik (Privacy by Design) sowie die datenschutzfreundlichen Voreinstellungen (Privacy by Default).

Im Unternehmen gibt es neu die Möglichkeit (keine Pflicht), anstelle des bisherigen Datenschutzverantwortlichen einen Datenschutzberater zu ernennen, der sich um die Belange des Datenschutzes kümmert. Weiter wird die Aufsichtsfunktion des eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) verstärkt und die Strafbestimmungen werden verschärft.

Welche Unterschiede bestehen zur EU?
Ein wesentlicher Unterschied betrifft die Strafbestimmungen. In der Schweiz wird nur bestraft, wer vorsätzlich bestimmte Pflichten des Datenschutzgesetzes verletzt. Auch ist der Katalog der Tatbestände um einiges geringer als derjenige der DSGVO. In der EU wird jede Verletzung der DSGVO mit Busse bestraft. Unwesentliche Unterschiede betreffen unter anderem Begrifflichkeiten wie Personendaten statt personenbezogene Daten. Daher sollte man sich beim Verfassen von Reglementen, Verzeichnissen und Erklärungen jeweils auf die Begrifflichkeiten einer Rechtsquelle beschränken.

Welche Vorkehrungen muss ich treffen?
Jedes Unternehmen bearbeitet Personendaten und fällt somit unter das Datenschutzgesetz. Zu bedenken ist dabei, dass der Begriff der Bearbeitung sehr weit gefasst ist. Jeder Umgang mit Personendaten ist eine Bearbeitung, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten. Deshalb muss sich auch jedes Unternehmen mit dem Thema befassen.

Ganz allgemein gilt es bei den Vorkehrungen zu beachten, dass sie sich stets am Risiko für die betroffenen Personen ausrichten sollten. Je höher das Risiko, desto tiefgreifender müssen die Massnahmen und Vorkehrungen sein. Eine Kameraüberwachung im Geschäftsbereich ist anders zu beurteilen als die Bearbeitung von geschäftlichen Kontaktinformationen. Ausserdem sind neben dem Transparenzgebot stets die Grundsätze der Datenminimierung, der Zweckbindung und Verhältnismässigkeit zu beachten. Dies führt dazu, dass jedes Unternehmen ein massgeschneidertes Datenschutzprogramm einrichten muss, weil Risiko- und Interessenabwägungen individuell erfolgen.

Zunächst sollte jedes Unternehmen prüfen, ob seine Datenbearbeitungen neben der Schweiz auch in den räumlichen Anwendungsbereich der DSGVO fallen. Wer sich bei Inkraftsetzung der DSGVO (Mai 2018) bereits danach ausgerichtet hat, kann eine GAP-Analyse vornehmen und grundsätzlich auf bestehende Vorkehrungen zurückgreifen. Zudem sollte jedes Unternehmen eine Übersicht über die Datenbearbeitung im Unternehmen haben und ein Verzeichnis der Bearbeitungstätigkeiten erstellen. Selbst wenn die Rechtspflicht gemäss Artikel 24 der Datenschutzverordnung nur für Unternehmen mit mehr als 250 Mitarbeitenden gilt, ist es ein nützliches Instrument, um Prioritäten im Datenschutzprogramm richtig zu setzen und der Informationspflicht einfacher nachzukommen.

Das überarbeitete Datenschutzgesetz gibt den Inhalt des Verzeichnisses vor, der je nach Interessenlage des Unternehmens mit einer Übersicht der Datenverarbeitungssysteme und dem Aufbewahrungsort der Daten ergänzt werden kann. Sehe ich zum Beispiel im Verzeichnis, dass Personendaten in eine Cloud und in ein Land ohne angemessenes Datenschutzniveau ausgelagert werden, muss ich die Einhaltung der hierfür geltenden Voraussetzungen prüfen und gegebenenfalls Korrekturmassnahmen einleiten.

Ein Ansatz zur Priorisierung der Datenschutzmassnahmen besteht darin, anhand der Strafbestimmungen des revidierten Datenschutzgesetzes zu prüfen, ob die mit Strafe bedrohten Pflichten bereits umgesetzt oder andernfalls zeitnah an die Hand zu nehmen sind. Fehlerhaft wäre es demzufolge, betroffene Personen nicht korrekt über die Bearbeitung ihrer Personendaten zu informieren, Personendaten ohne entsprechende Schutz- und Sicherheitsmassnahmen ins Ausland zu übermitteln, das Auskunftsrecht nicht vorschriftsgemäss umzusetzen oder die Mindestanforderungen an die Datensicherheit nicht einzuhalten.

Die Datensicherheit ist unabhängig von Straffolgen Dreh- und Angelpunkt einer tauglichen Datenschutzstrategie. Die praktische Umsetzung der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit durch technische und organisatorische Massnahmen sollte konsequent verfolgt werden, wie gleichzeitig die situationsbezogen bestmögliche Anonymisierung, Pseudonymisierung und Verschlüsselung von Personendaten.

Ein anderer Ansatz besteht darin, anhand einer risikobasierten Auslegung des Bearbeitungsverzeichnisses die erforderlichen Massnahmen zu definieren und durchzuführen. Ein Unternehmen im Gesundheitswesen bearbeitet besonders schützenswerte Personendaten und muss daher einen anderen Fokus legen, weil für deren Bearbeitung eine ausdrückliche Einwilligung vorliegen muss.

Weitere Vorkehrungen im Bereich Dokumentation sollten neben dem bereits erwähnten Verzeichnis das Erstellen von Richtlinien für die unternehmensinterne Datenschutzorganisation und Datenbearbeitung sein. Darin sind die technischen und organisatorischen Massnahmen festzuhalten und Prozesse zu beschreiben, die vor allem das Auskunftsrecht, die Verletzung der Datensicherheit inklusive Meldepflichten und die Erstellung einer Datenschutz- Folgenabschätzung zum Inhalt haben. Neu müssen Unternehmen eine Datenschutzerklärung nicht nur für die Geschäftspartner oder Website-Besucher, sondern auch für Mitarbeitende erstellen. Lässt das Unternehmen Daten durch Dritte bearbeiten oder bearbeitet es Daten im Auftrag, ist die Ausarbeitung eines Data Processing Agreements in der Rolle des Verantwortlichen oder Auftragsbearbeiters notwendig.

Im Weiteren hat gemäss überarbeiteter Datenschutzverordnung der Verantwortliche respektive Auftragsbearbeiter im Bereich Datensicherheit die Pflicht, unter gewissen Voraussetzungen Datenbearbeitungen zu protokollieren sowie ein Bearbeitungsreglement zu verfassen. Das Unternehmen muss ausserdem bestehende Verträge und Vertragsvorlagen wie AGB, Arbeits-, Partner- und Lieferantenverträge prüfen und bei Bedarf der neuen Gesetzgebung anpassen. Alle Dokumentationen sind regelmässig zu überarbeiten und zu aktualisieren.

Wichtig ist, dass alle Mitarbeitenden mit den Grundzügen des Datenschutzes vertraut sind und die Bearbeitungsgrundsätze kennen. Dementsprechend sind sie regelmässig zu sensibilisieren und zu schulen. Datenschutz ist eine Visitenkarte, indem der transparente, korrekte und sichere Umgang mit Personendaten massgeblich zum Unternehmenserfolg beitragen kann.  

Martin Frey LL.M., Fürsprecher Swisslegal, Aarau