Im September 2020 hatte der Gesetzgebungsprozess in der Schweiz (endlich) einen Abschluss gefunden: Das Parlament stimmte der Revision des Schweizer Datenschutzgesetzes (DSG) zu, welches mit dem heutigen Tage in Kraft tritt (01.09.2023).
Änderungen durch das revidierte Datenschutzgesetz
Zum einen wurde der persönliche Anwendungsbereich des Schweizer DSG eingegrenzt. Der Schutz der Daten von juristischen Personen wurde aus dem Gesetz entfernt. Allerdings sollten Unternehmen nicht aus dem Auge verlieren, dass auch wenn die Daten der juristischen Person nicht mehr den Regelungen des DSG unterliegen, oft auch die persönlichen Daten von Ansprechpartnern verarbeitet werden, welche dem Datenschutz unterliegen. Somit gilt das DSG sowohl für B2C als auch für B2B. Der räumliche Geltungsbedarf wurde ausgedehnt und betrifft nun auch Gesellschaften, deren Datenverarbeitung sich in der Schweiz auswirkt oder Personen in der Schweiz betrifft.
„Die Schweizer Regelungen entsprechen in vielen Punkten unserer DSGVO, allerdings muss bei einzelnen Punkten schon genau hingesehen werden“, erläutert der Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. Nichtsdestotrotz können schweizerische Unternehmen vom jenen Datenschutzbeauftragten profitieren, die Erfahrungen mit der DSGVO und darin eine tiefe wie breite Expertise im Datenschutz erworben haben.
Neue schweizerische Grundsätze bei der Datenverarbeitung
Wie bei der DSGVO gibt es auch im Datenschutzgesetz der Schweiz auch Rechtfertigungsgründe für die Datenverarbeitung. „Rechtfertigungsgründe stellen eine Erlaubnis von Datenverarbeitungen dar, ohne dass hierbei die Persönlichkeitsrechte verletzt werden,“ erklärt Datenschutzexperte Dr. Jörn Voßbein auf Basis seiner gesammelten Erfahrungen in der Schweiz und der EU. Allerdings sind die Rechtsfertigungsgründe im Zusammenhang mit der jeweiligen Datenverarbeitung auf ihre Anwendbarkeit gewissenhaft zu prüfen, um Verstöße gegen das DSG zu verhindern.
Aber anders als nach der DSGVO sind diese Rechtfertigungsgründe in Informationspflichten oder Auskunftsersuchen nicht zwingend zu nennen. Ratsam kann es allerdings dennoch sein. Letztlich sollte jeder Fall einer Einzelfallbetrachtung unterzogen werden.
Privacy by Design
So ist die Datenverarbeitung ebenso darauf zu überprüfen, wie auch der vorhandene oder zukünftig geplante Softwareeinsatz, ob die Datenschutzvorgaben erfüllt werden können. Sicherlich stark davon betroffen werden Unternehmen sein, die selbst Software entwickeln, weil diese Vorschriften in jedem Fall dann bereits im Entwicklungsstadium einzuplanen sind. Tipp: Positiv kann sich bestimmt die Einbeziehung eines Datenschutzbeauftragten oder anderer Datenschutzfachleute auf die Einhaltung dieser Vorschriften auswirken. Gerade eine beratende Stellung mit fachlicher Datenschutzexpertise kann in der Produktentwicklung sehr nützlich sein, weil man von Erfahrungen profitieren kann.
Datenschutz-Folgenabschätzung
Die Pflicht zur Durchführung ist im DSG neu eingeführt worden, die Voraussetzungen sind aber etwas eingeschränkter als nach der DSGVO. Die Anwendung erfolgt allerdings vergleichbar. Ähnlich wie bei Privacy by Design/by Default besteht dann Handlungsbedarf, wenn Unternehmen bislang nicht nach dem DSGVO-Maßstab die Notwendigkeit von Datenschutz-Folgenabschätzungen eruiert haben.
„Wir empfehlen eine Prüfung der internen Datenverarbeitungen auf die neuen gesetzlichen Verpflichtungen und zwar konkret und fallbezogen“, erläutert der erfahrene Datenschutzfachmann Dr. Jörn Voßbein und erinnert sich an die gemachten Erfahrungen im Rahmen der Einführung der DSGVO im Jahre 2018. Nicht ohne Grund, denn der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat verlauten lassen, dass eine allgemein gehaltene Datenschutz-Folgenabschätzung nicht ausreichend ist, da durch sie die Risiken nicht ordnungsgemäß behandelt würden.
Datenschutzberater aka Datenschutzbeauftragter und Konsultation der EDÖB
Verlangt die DSGVO in bestimmten Fällen die Einsetzung eines Datenschutzbeauftragten, bleibt die Entscheidung über die Ernennung eines Datenschutzberaters – so der Schweizerische Begriff im neuen Datenschutzgesetz – jedem Unternehmen selbst überlassen. Die Aufgaben sind ähnlich. Der Datenschutzberater überwacht die Einhaltung der Datenschutzvorschriften innerhalb des Unternehmens und steht der Unternehmensleitung beratend zur Seite (Art. 10 Abs. 2 DSG). Diese trägt allerdings – analog zur DSGVO – immer noch allein die Verantwortung dafür, dass eine datenschutzkonforme Bearbeitung der Personendaten stattfindet. Trotzdem wird vom Datenschutzberater eine hohe Sachkunde erwartet, sie rechtfertigt die nachfolgende Erleichterung.
Wie in der DSGVO muss im Fall einer Datenschutz-Folgenabschätzung dann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) konsultiert werden, wenn diese zu keiner Herabsetzung des Risikos führte. Wichtiger Unterschied zur DSGVO ist, dass von der Einbindung des EDÖB abgesehen werden kann, wenn ein Datenschutzberater ernannt ist. Dieser kann alternativ eingebunden werden. Allerdings ist dies zu dokumentieren. Trotzdem: Für Unternehmen eine klare Erleichterung und Vereinfachung und damit ein Argument für die Ernennung eines Datenschutzberaters.
Verzeichnissen von Bearbeitungstätigkeiten
Eine wichtige Neuerung stellt das Führen von Verzeichnissen von Bearbeitungstätigkeiten dar. Konkret: Das neue DSG verlangt von Verantwortlichen und Auftragsverarbeitern, jede Datenbearbeitung zu dokumentieren. Diese Pflicht ist mit der Führung eines Verzeichnisses aller Verarbeitungstätigkeiten in der DSGVO gleichzustellen. Die bisherige Meldepflicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) entfällt. Das neue DSG enthält eine Auflistung der Informationen, die dieses Verzeichnis enthalten muss.
Fazit
„Die aufgezeigten Sachverhalte zeigen, dass eine unternehmensgenaue Betrachtung erforderlich ist. Deshalb sollten Verantwortliche und Auftragsverarbeiter mit Sitz in der Schweiz oder solche, die an Datenübermittlungen in die Schweiz beteiligt sind, mit Handlungsempfehlungen arbeiten. Diese liefert die UIMC als Rüstzeug, um datenschutzsicher durch unsichere Zeiten zu kommen“, betont Dr. Jörn Voßbein.
Änderungen durch das revidierte Datenschutzgesetz
Zum einen wurde der persönliche Anwendungsbereich des Schweizer DSG eingegrenzt. Der Schutz der Daten von juristischen Personen wurde aus dem Gesetz entfernt. Allerdings sollten Unternehmen nicht aus dem Auge verlieren, dass auch wenn die Daten der juristischen Person nicht mehr den Regelungen des DSG unterliegen, oft auch die persönlichen Daten von Ansprechpartnern verarbeitet werden, welche dem Datenschutz unterliegen. Somit gilt das DSG sowohl für B2C als auch für B2B. Der räumliche Geltungsbedarf wurde ausgedehnt und betrifft nun auch Gesellschaften, deren Datenverarbeitung sich in der Schweiz auswirkt oder Personen in der Schweiz betrifft.
„Die Schweizer Regelungen entsprechen in vielen Punkten unserer DSGVO, allerdings muss bei einzelnen Punkten schon genau hingesehen werden“, erläutert der Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. Nichtsdestotrotz können schweizerische Unternehmen vom jenen Datenschutzbeauftragten profitieren, die Erfahrungen mit der DSGVO und darin eine tiefe wie breite Expertise im Datenschutz erworben haben.
Neue schweizerische Grundsätze bei der Datenverarbeitung
Wie bei der DSGVO gibt es auch im Datenschutzgesetz der Schweiz auch Rechtfertigungsgründe für die Datenverarbeitung. „Rechtfertigungsgründe stellen eine Erlaubnis von Datenverarbeitungen dar, ohne dass hierbei die Persönlichkeitsrechte verletzt werden,“ erklärt Datenschutzexperte Dr. Jörn Voßbein auf Basis seiner gesammelten Erfahrungen in der Schweiz und der EU. Allerdings sind die Rechtsfertigungsgründe im Zusammenhang mit der jeweiligen Datenverarbeitung auf ihre Anwendbarkeit gewissenhaft zu prüfen, um Verstöße gegen das DSG zu verhindern.
Aber anders als nach der DSGVO sind diese Rechtfertigungsgründe in Informationspflichten oder Auskunftsersuchen nicht zwingend zu nennen. Ratsam kann es allerdings dennoch sein. Letztlich sollte jeder Fall einer Einzelfallbetrachtung unterzogen werden.
Privacy by Design
So ist die Datenverarbeitung ebenso darauf zu überprüfen, wie auch der vorhandene oder zukünftig geplante Softwareeinsatz, ob die Datenschutzvorgaben erfüllt werden können. Sicherlich stark davon betroffen werden Unternehmen sein, die selbst Software entwickeln, weil diese Vorschriften in jedem Fall dann bereits im Entwicklungsstadium einzuplanen sind. Tipp: Positiv kann sich bestimmt die Einbeziehung eines Datenschutzbeauftragten oder anderer Datenschutzfachleute auf die Einhaltung dieser Vorschriften auswirken. Gerade eine beratende Stellung mit fachlicher Datenschutzexpertise kann in der Produktentwicklung sehr nützlich sein, weil man von Erfahrungen profitieren kann.
Datenschutz-Folgenabschätzung
Die Pflicht zur Durchführung ist im DSG neu eingeführt worden, die Voraussetzungen sind aber etwas eingeschränkter als nach der DSGVO. Die Anwendung erfolgt allerdings vergleichbar. Ähnlich wie bei Privacy by Design/by Default besteht dann Handlungsbedarf, wenn Unternehmen bislang nicht nach dem DSGVO-Maßstab die Notwendigkeit von Datenschutz-Folgenabschätzungen eruiert haben.
„Wir empfehlen eine Prüfung der internen Datenverarbeitungen auf die neuen gesetzlichen Verpflichtungen und zwar konkret und fallbezogen“, erläutert der erfahrene Datenschutzfachmann Dr. Jörn Voßbein und erinnert sich an die gemachten Erfahrungen im Rahmen der Einführung der DSGVO im Jahre 2018. Nicht ohne Grund, denn der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat verlauten lassen, dass eine allgemein gehaltene Datenschutz-Folgenabschätzung nicht ausreichend ist, da durch sie die Risiken nicht ordnungsgemäß behandelt würden.
Datenschutzberater aka Datenschutzbeauftragter und Konsultation der EDÖB
Verlangt die DSGVO in bestimmten Fällen die Einsetzung eines Datenschutzbeauftragten, bleibt die Entscheidung über die Ernennung eines Datenschutzberaters – so der Schweizerische Begriff im neuen Datenschutzgesetz – jedem Unternehmen selbst überlassen. Die Aufgaben sind ähnlich. Der Datenschutzberater überwacht die Einhaltung der Datenschutzvorschriften innerhalb des Unternehmens und steht der Unternehmensleitung beratend zur Seite (Art. 10 Abs. 2 DSG). Diese trägt allerdings – analog zur DSGVO – immer noch allein die Verantwortung dafür, dass eine datenschutzkonforme Bearbeitung der Personendaten stattfindet. Trotzdem wird vom Datenschutzberater eine hohe Sachkunde erwartet, sie rechtfertigt die nachfolgende Erleichterung.
Wie in der DSGVO muss im Fall einer Datenschutz-Folgenabschätzung dann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) konsultiert werden, wenn diese zu keiner Herabsetzung des Risikos führte. Wichtiger Unterschied zur DSGVO ist, dass von der Einbindung des EDÖB abgesehen werden kann, wenn ein Datenschutzberater ernannt ist. Dieser kann alternativ eingebunden werden. Allerdings ist dies zu dokumentieren. Trotzdem: Für Unternehmen eine klare Erleichterung und Vereinfachung und damit ein Argument für die Ernennung eines Datenschutzberaters.
Verzeichnissen von Bearbeitungstätigkeiten
Eine wichtige Neuerung stellt das Führen von Verzeichnissen von Bearbeitungstätigkeiten dar. Konkret: Das neue DSG verlangt von Verantwortlichen und Auftragsverarbeitern, jede Datenbearbeitung zu dokumentieren. Diese Pflicht ist mit der Führung eines Verzeichnisses aller Verarbeitungstätigkeiten in der DSGVO gleichzustellen. Die bisherige Meldepflicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) entfällt. Das neue DSG enthält eine Auflistung der Informationen, die dieses Verzeichnis enthalten muss.
Fazit
„Die aufgezeigten Sachverhalte zeigen, dass eine unternehmensgenaue Betrachtung erforderlich ist. Deshalb sollten Verantwortliche und Auftragsverarbeiter mit Sitz in der Schweiz oder solche, die an Datenübermittlungen in die Schweiz beteiligt sind, mit Handlungsempfehlungen arbeiten. Diese liefert die UIMC als Rüstzeug, um datenschutzsicher durch unsichere Zeiten zu kommen“, betont Dr. Jörn Voßbein.
