Inhaltsverzeichnis:
- An EU-Recht angepasstes Datenschutzgesetz für die digitalisierte Gesellschaft
- Inhaltliche Anpassung an EU-DSGVO
- Das NDSG im Überblick
- Datenverarbeitung ist ein wichtiges Thema
- Die Überprüfung der Datenschutzerklärung ist wichtig
- Bestimmungen im Empfängerland bei Datentransfer immer im Blick haben
- Unternehmen benötigen einen Datenschutzbeauftragten
- Aufwand für Anpassung ans nDSG hängt von individuellen Voraussetzungen ab
Das neue Datenschutzgesetz (nDSG) in der Schweiz – das kommt auf Unternehmen zu
Das neue Datenschutzgesetz (nDSG) in der Schweiz ist zum 1. September 2023 in Kraft getreten – Was müssen Unternehmen im Allgemeinen und speziell im Hinblick auf ihre Online-Auftritte beachten?
Schon vor einem Jahr, genauer gesagt am 31. August 2022, hat der Schweizer Bundesrat ein neues grundlegend revidiertes Datenschutzgesetz (nDSG) beschlossen. In Kraft getreten ist es nun am 1. September 2023. Damit hatten die öffentlichen Behörden, Unternehmen und alle anderen, die davon betroffen sind, ein Jahr Zeit, um sich mit den Bestimmungen des neuen Gesetzes vertraut zu machen und gemäss diesem zu agieren. Das impliziert auch, dass Unternehmen hinsichtlich ihrer digitalen Auftritte spätestens jetzt einiges beachten und gegebenenfalls auch verändern müssen. Höchste Zeit also, die wichtigsten Aspekte des neuen Datenschutzgesetzes zu beleuchten.
An EU-Recht angepasstes Datenschutzgesetz für die digitalisierte Gesellschaft
Das Schweizer Datenschutzgesetz wurde 1992 verabschiedet und ist das Gegenstück zur Datenschutzgrundverordnung (DSGVO) der EU. Wie auch diese legt es die Leitlinien für die Bearbeitung von personenbezogenen Daten fest. Zudem gibt sie vor, welchen Pflichten diejenigen nachkommen müssen, die solche bearbeiten. Dabei stehen die Wahrung des Grundrechts auf informationelle Selbstbestimmung und der Schutz der Privatsphäre im Mittelpunkt. Dies gilt sowohl bei der DSGVO als auch beim Schweizer DSG. Eine Revision und Neuausrichtung des alten Datenschutzgesetzes war angesichts der rasanten technologischen Entwicklung, der digitalen Transformation der Gesellschaft vonnöten. Ziel ist es vor allem, für mehr Transparenz bei der Beschaffung von Personendaten zu sorgen, das Grundrecht auf Selbstbestimmung über die persönlichen Daten zu stärken und Missbrauch in diesem Bereich zu verhindern. Folgerichtig erweitert und stärkt das Gesetz auch die Befugnisse und Möglichkeiten der verantwortlichen Kontrollorgane und fördert zudem deren Unabhängigkeit.
Inhaltliche Anpassung an EU-DSGVO
Hintergrund der Verabschiedung des neuen Datenschutzgesetzes war auch das Risiko, dass die EU die Schweiz nicht mehr als „sicheren“ Drittstaat, also als Staat ausserhalb der EU mit einem angemessenen Datenschutzniveau, einstuft. Das hätte für die schweizerische Wirtschaft durchaus gravierende Nachteile mit sich gebracht. Dementsprechend ist das nDSG noch besser an die aktuell geltende EU-DSGVO angepasst. So bleibt es weiterhin möglich, Daten zwischen der Schweiz und der EU grenzüberschreitend zu übermitteln. Und das, ohne zusätzliche Schutzmassnahmen ergreifen zu müssen. Das ist für den Wirtschaftsstandort und die Wettbewerbsfähigkeit der Schweiz von grosser Bedeutung.
Wie gut ein Gesetz in die Praxis umgesetzt wird, hängt immer auch davon ab, inwiefern seine Umsetzung kontrolliert und wie bei Verstössen dagegen sanktioniert wird. Damit das neue Gesetz seinen Zweck auch tatsächlich erfüllt, sind verschiedene Massnahmen vorgesehen. So wird, wie schon erwähnt, die Datenschutzaufsicht gestärkt. Zudem werden bisherige Straftatbestände erweitert und strengere Strafbestimmungen eingeführt. Beispielsweise wird die bisher gültige Bussenobergrenze für Verstösse gegen das DSG von 10’000 auf 250’000 CHF angehoben. Die Verjährungsfrist dafür: fünf Jahre. Anders als in der EU-DSGVO, in der Strafzahlungen nur für Unternehmen vorgesehen sind, gilt diese Obergrenze übrigens auch für verantwortliche Privatpersonen.
Das nDSG im Überblick
Wir blicken auf das neue Schweizer Datenschutzgesetz und beantworten die wichtigsten Fragen.
- Auf welche Verfahren / Prozesse ist das nDSG anwendbar?
Grundsätzlich gilt das neue Datenschutzgesetz allgemein für die „Bearbeitung von Personendaten“. Unter „Personendaten“ fallen im Prinzip alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Das können beispielsweise Namen, Anschriften, aber auch IP-Adressen sein. Ähnlich weit gefasst ist auch der Begriff der „Bearbeitung“. Darunter fällt mehr oder weniger alles, was man mit Daten machen kann: vom Beschaffen übers Speichern / Aufbewahren und Verwenden für bestimmte Zwecke bis hin zum Verändern, Bekanntmachen, Archivieren und Löschen / Vernichten. Neu ist das allerdings nicht, sondern war auch bei dem bisher gültigen Rechtsrahmen so vorgesehen. Hingegen anders ist jetzt nach der Revision, dass das nDSG nicht mehr anwendbar ist, wenn Daten, die sich auf juristische Personen beziehen, bearbeitet werden. Trotzdem ist Vorsicht geboten, denn die einzelnen Mitarbeiter eines Unternehmens unterliegen sehr wohl dem Schutz des Gesetzes.
- Für wen gilt das nDSG (einschliesslich der dazugehörigen Ausführungsbestimmungen und Verordnungen)?
Das Gesetz gilt sowohl für private als auch für öffentliche / staatliche Akteure, die Personendaten in welcher Form auch immer bearbeiten. Dementsprechend sind neben privaten Unternehmen auch beispielsweise Vereine und grundsätzlich auch Privatpersonen davon betroffen. Während aber Unternehmen und Vereine sich ausnahmslos an die Vorgaben des Datenschutzrechts halten müssen, sind Privatpersonen davon ausgenommen, wenn sie Personendaten nur zum rein persönlichen Gebrauch bearbeiten. Hier muss man aber genau hinsehen und vorsichtig sein: „Zum persönlichen Gebrauch“ bedeutet de facto ausschliesslich das Bearbeiten von persönlichen Daten im ganz eng gefassten Privatleben, da heisst im Familien- und Freundeskreis. Und weil das bei einer öffentlichen Website in der Regel nicht zutrifft, unterliegen auch private Website-Betreiber genauso wie kommerzielle dem neuen DSG.
- Was gilt für ausländische Unternehmen, die in der Schweiz aktiv sind?
Ausländische Unternehmen / Organisationen unterliegen ebenfalls dem nDSG, wenn sie Personendaten von Schweizern bearbeiten. Es gilt aber auch für Ausländer, wenn diese sich zum Zeitpunkt der Bearbeitung in der Schweiz aufhalten. Der Verantwortliche mit Sitz im Ausland muss einen Vertreter in der Schweiz ernennen, falls die Datenbearbeitung von Personen in der Schweiz mit dem Angebot von Waren und Dienstleistungen in Verbindung steht oder wenn diese Beobachtungen über das Verhalten von Personen machen.
Weitere Kriterien für die Ernennung eines Vertreters sind, dass die Datenverarbeitung in der Schweiz umfangreich ist, regelmässig stattfindet und mit einem hohen Risiko für die Persönlichkeit der betroffenen Personen verbunden ist. Umgekehrt ist es auch so, dass die DSGVO ein Schweizer Unternehmen dazu verpflichtet, einen Vertreter in der EU zu benennen, wenn es Daten von Personen verarbeitet, die sich auf dem Gebiet der Union befinden und wenn man diesen entweder Waren oder Dienstleistungen anbieten oder ihr Verhalten beobachtet.
Datenverarbeitung ist ein wichtiges Thema
- Was gilt hinsichtlich der Datenbearbeitung?
Die Revision bringt diesbezüglich nichts grundsätzlich Neues. Prinzipiell ist die Bearbeitung von Personendaten erlaubt, sie muss aber recht- und verhältnismässig sein und nach Treu und Glauben erfolgen. Weiterhin elementar ist die Zweckgebundenheit: Unternehmen dürfen ausschliesslich zu dem Zweck bearbeiten, für den sie diese erhoben haben. Und der Zweck muss für die betroffene Person auch klar erkennbar sein. Falls Firmen Personendaten zu einem anderen Zweck als dem vorgesehenen bearbeiten bzw. falls sie andere datenschutzrechtliche Grundsätze verletzen, kann der Tatbestand einer widerrechtlichen Persönlichkeitsverletzung vorliegen.
Eine solche kann jedoch gerechtfertigt werden und gilt dann als nicht widerrechtlich, wenn ein überwiegendes privates (z.B. aus einem Vertrag resultierendes) oder öffentliches (z.B. Gefährdung der öffentlichen Sicherheit) Interesse besteht oder wenn die betroffene Person einwilligt. Dabei muss aber immer eine Interessenabwägung stattfinden, also eine Einzelfallbetrachtung vorgenommen werden. Ansonsten bleibt es dabei, dass Personendaten, sobald sie nicht mehr für den Zweck der vorgesehenen Bearbeitung notwendig sind, gelöscht bzw. anonymisiert werden müssen (Speicherbegrenzung).
- Was gilt hinsichtlich der Sicherheit der Datenverarbeitung?
Die Sicherheit der Datenverarbeitung müssen die Verantwortlichen bzw. von diesen eingesetzten Auftragsbearbeiter gewährleisten. Dazu ist das Ergreifen technischer und organisatorischer Maßnahmen notwendig. So sollen nur diejenigen (Mitarbeiter, Vereinsmitglieder etc.) Zugriff auf Personendaten haben, die diese auch, zum Beispiel für die Erfüllung ihrer dienstlichen Pflichten, tatsächlich benötigen. Dazu gehört im Idealfall natürlich auch, dass diejenigen, die in der ein oder anderen Form mit Personendaten zu tun haben, entsprechend geschult werden. Auf diese Weise kann am ehesten sichergestellt werden, dass die Bearbeitung gesetzeskonform durchgeführt wird und keine Fehler passieren. Beispiele für technische Maßnahmen sind eingeschränkte Zugriffsrechte oder Firewalls. Grundsätzlich sollten Websites und andere IT-Systeme technisch immer auf dem neuesten Stand gehalten werden. Das trägt zur Vermeidung der Entstehung von potenziell schwerwiegenden Sicherheitslücken bei.
Zudem ist im neuen Datenschutzgesetz das Prinzip „Privacy by default / design“ verankert. Gemeint sind damit der Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen. Neu ist die Verpflichtung, Datenbearbeitungen technisch und organisatorisch schon von vornherein so zu designen, dass sie datenschutzrechtlich-konform sind. Ebenso sollten Voreinstellungen möglichst datenschutzfreundlich ausgestaltet sein. Konkret bedeutet dies für Betreiber von Websites, Apps oder anderer Software, dass, wenn sie unterschiedliche Datenschutz-Einstellungen anbieten, immer die datenschutzfreundlichste Variante als Standardeinstellung vorgesehen ist.
Die Überprüfung der Datenschutzerklärung ist wichtig
- Was gilt bezüglich der Informationspflichten?
Das neue Datenschutzgesetz sieht auch umfangreichere Informationspflichten als bisher vor. So müssen die für die Datenverarbeitung Verantwortlichen die Betroffenen hinsichtlich Zweck und Umfang der Verarbeitung informieren. Neuerdings gilt dies übrigens für alle Daten und nicht nur wie bisher für besonders schützenswerte. Apropos besonders schützenswerte Daten (z.B. Daten zu Gesundheit, Ethnie, Intimsphäre, religiösen und politischen Überzeugungen, Strafverfolgung usw.). Für diese gilt, dass, im Gegensatz zur DSGVO, keine spezielle Erlaubnisgrundlage erforderlich ist, solange solche Daten nicht an Dritte weitergegeben werden oder die Gefahr von Persönlichkeitsverletzungen besteht. Die Informierung erfolgt in der Regel mittels einer Datenschutzerklärung.
In diesem Zusammenhang sollten Unternehmen und alle anderen, die dem nDSG unterliegen, ihre bestehenden Datenschutzerklärungen überprüfen (lassen) und, falls notwendig, an die neuen Bestimmungen anpassen. Des Weiteren ist darauf zu achten, dass die Datenschutzerklärung auf einer Website möglichst leicht aufzufinden ist. Ausserdem muss sie nicht durch den Benutzer akzeptiert werden. Stattdessen sollte dieser darüber informiert werden, wo sie zu finden ist. Von dieser proaktiven Informationspflicht abgesehen, bleibt der auch bisher geltende Anspruch von betroffenen Personen auf Auskunft unberührt. Jede Person hat also das Recht, dass die Verantwortlichen ihr Auskunft erteilen, ob und welche Personendaten es über sie bearbeitet. Dies ist ein wichtiges Instrument des informationellen Selbstbestimmungsrechts, ebenso wie der Anspruch auf Berichtigung falscher Daten sowie auf Löschung ungeeigneter und nicht mehr benötigter Daten.
- Was gilt in Bezug auf die Dokumentation der Datenbearbeitungen?
Das nDSG sieht vor, dass Unternehmen und Organisationen mit 250 und mehr Mitarbeitern ein ziemlich detailliertes Verzeichnis aller Bearbeitungstätigkeiten von Personendaten anlegen und kontinuierlich aktualisieren müssen. Das kann mit einem erheblichen Umsetzungsaufwand verbunden sein, gerade wenn man sich in der bisherigen Praxis noch nicht an der EU-DSGVO orientiert hat.
Bestimmungen im Empfängerland bei Datentransfer immer im Blick haben
- Was gilt für Datenschutz-Folgeabschätzungen (DSFA)?
Eine solche muss das Unternehmen erstellen, falls es eine Datenbearbeitung plant, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der davon Betroffenen mit sich bringen kann. Ein hohes Risiko kann beispielsweise bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten wie Gesundheitsdaten oder bei der Überwachung öffentlicher Bereiche vorliegen. In einer DSFA müssen die Risiken für Persönlichkeits- oder Grundrechtsverletzungen bewertet sowie die Massnahmen zu deren Vermeidung dargestellt werden. Ergibt sich daraus, dass trotzdem ein hohes Restrisiko bestehen bleibt, muss eine Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eingeholt werden.
- Was gilt für Datentransfers ins Ausland?
Datenexporte sind laut nDSG möglich, wenn vom Schweizer Bundesrat ein angemessenes Datenschutzniveau des Empfängerlandes oder der internationalen Organisation, an die Daten übermittelt werden sollen, festgestellt wurde. Falls keine entsprechende Entscheidung des Bundesrats vorliegt, können alternativ auch Standarddatenschutzklauseln oder vorher vom EDÖB freigegebene, eigene Vertragsklauseln, spezifische Garantien oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) genutzt werden.
Unternehmen benötigen einen Datenschutzbeauftragten
- Was gilt hinsichtlich des Datenschutzbeauftragten?
Die EU-DSGVO sieht die Berufung eines Datenschutzbeauftragen verpflichtend vor. Im Gegensatz dazu gibt es im nDSG eine Kann-Bestimmung. Das bedeutet, ein Unternehmen kann einen sogenannten „Datenschutzberaten“, muss es aber nicht. Die Ernennung eines Datenschutzberaters ist aber zu empfehlen, vor allem wenn es regelmässig umfangreiche und mit hohem Risiko für die Grund- und Persönlichkeitsrechte der betroffenen Personen verbundene Daten bearbeitet. Dieser erfüllt nämlich wichtige Aufgaben. Beratung, Schulung der Mitarbeiter oder Mitwirkung bei der Anwendung von Vorschriften gehören dazu.
Im Rahmen seiner Tätigkeit muss der Datenschutzberater weisungsfrei und ohne Interessenskonflikte handeln können. Laut Datenschutzverordnung hat er zudem Anspruch auf ausreichende Ressourcen, Zugang zu allen Dokumenten, die für die Erfüllung seiner Aufgaben notwendig sind, sowie bei wichtigen Datenschutz-Fällen einen direkten Kontakt zur obersten Leitungsebene seines Unternehmens. Wenn das alles gegeben ist, kann bei Datenbearbeitungen mit hohem Risiko unter Umständen statt des EDÖB der benannte Datenschutzberater konsultiert und mit ihm geeignete Maßnahmen zur Risiko-Kompensation identifiziert werden.
- Was gilt im Falle von Datenschutzverletzungen?
Sollte es trotz aller Massnahmen vorkommen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Personendaten gefährdet werden und sich daraus ein hohes Risiko für betroffene Personen ergibt, so muss diese Verletzung der Datensicherheit dem EDÖB laut nDSG „schnellstmöglich“ gemeldet werden. Damit ist die diesbezügliche Regelung im Schweizer Recht schwammiger formuliert als in der DSGVO. Diese sieht nämlich vor, dass Datenschutzverletzungen der zuständigen EU-Aufsichtsbehörde innerhalb von 72 Stunden zu melden sind. Nichtsdestotrotz sollten Unternehmen funktionierende Strukturen und Prozesse etablieren. Damit ist im Falle von Datenschutzverletzungen auch gewährleistet, dass sie diese erkennen und so schnell wie möglich melden können.
Aufwand für Anpassung ans nDSG hängt von individuellen Voraussetzungen ab
Fazit: Man hat das nDSG ist sehr eng an EU-Recht, speziell die DSGVO, angepasst. Das ist gut für die Wettbewerbsfähigkeit Schweizer Unternehmen und den Wirtschaftsstandort Schweiz. Das Gesetz enthält einige neue bzw. aktualisierte Bestimmungen, auf die die betroffenen Akteure vorbereitet sein sollten. Bei Datenschutzverletzungen können nämlich potenziell hohe Strafzahlungen auch für verantwortliche Privatpersonen fällig werden. Wer bisher schon DSGVO-konform agierte, hat es auch künftig leichter, sich an das nDSG anzupassen.
Für Unternehmen / Organisationen / Vereine, bei denen das noch nicht der Fall war, kann hingegen ein erheblicher Aufwand vonnöten sein. Zu empfehlen ist hier, eine Person zu bestimmen, die sich um den Datenschutz kümmert. Dies muss nicht unbedingt ein Datenschutzberater im Sinne des Gesetzes sein. Es kann auch eine Person sein, die sich das notwendige Wissen aneignet und dieses anwendet und weitergibt. Davon abgesehen können sich Unternehmen und andere davon Betroffene professionelle Hilfe holen. Ob eine Website nDSG-konform ist, lässt sich mit unserem Tool schnell und unkompliziert prüfen.
Unsere Kunden
Erfolge sind messbar. Jede Investition im Online Marketing bringt Frucht und nachhaltige Ergebnisse. Zu unsren Kunden zählen: