Seien Sie anders als die Anderen! Ihre Daten gehören Ihnen! Lassen Sie uns gemeinsam mit einem kostenfreien Erstgespräch starten! Gern sind wir Ihr Ansprechpartner, Berater oder Dienstleister zum Thema Datenschutz und Datensicherheit in Dresden und Radebeul, Sachsen sowie Europa. Bestellen Sie uns als externe Datenschutzbeauftragte oder Konzerndatenschutzbeauftragte.
Zusammenfassung künftiger Regelungen und Vorschriften aus dem Datenschutzgesetz (DSG) und der Verordnung zum Datenschutzgesetz (DSV) für Privatpersonen und Unternehmen in der Schweiz
Zusammenfassung künftiger Regelungen und Vorschriften aus dem Datenschutzgesetz (DSG) und der Verordnung zum Datenschutzgesetz (DSV) für Privatpersonen und Unternehmen in der Schweiz, Stand 01.09.2023
Das neue Datenschutzgesetz der Schweiz (DSG) ist am 01.09.2023 gemeinsam mit der Verordnung zum Datenschutzgesetz (DSV) in Kraft getreten. Die Unternehmen hatten nach Veröffentlichung der DSV am 31.08.2022 ein Jahr Zeit, sich darauf vorzubereiten.
Die Veröffentlichung und der Angemessenheitsbeschluss der EU waren für Schweizer Unternehmen wichtig, um weiterhin unproblematisch grenzüberschreitend Daten zu verarbeiten.
Das Schweizer Datenschutzrecht lehnt sich stark an die Datenschutzgrundverordnung der EU (DSGVO) an, nutzt aber auch Erfahrungen der letzten fünf Jahre zur Verbesserung. Ein großes Augenmerk wird auf Daten Schweizer Bürger im Ausland gelegt, was sicher auch der Geschichte und der Souveränität der Schweiz geschuldet ist.
Generell kann eingeschätzt werden, dass das Gesetz gelungen ist, den Bürgern wichtige Rechte einräumt, aber auch genügend Freiräume und Auslegungsmöglichkeiten bietet. Es ist abzuwarten, wie Gerichte entscheiden und Bürger ihre Rechte nutzen werden.
Der Eidgenössische Datenschutzbeauftragte (EDÖB) wird vom Bundesrat berufen und überwacht die Bearbeitung durch Bundesorgane und private Personen. Folgend sollen wichtige Inhalte der neuen Gesetzgebung vorgestellt werden.
Das Gesetz regelt die Bearbeitung von Personendaten natürlicher Personen durch private Personen und durch Bundesorgane. Im Unterschied zur DSGVO, werden einzelne Personen durch Gerichte zur Rechenschaft gezogen und nicht Unternehmen durch Aufsichtsbehörden. Es gilt für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst wurden. Die Begrifflichkeiten werden in Artikel 5 DSG erläutert und sind stark an die DSGVO angelehnt. Als Grundsätze im Datenschutz werden die rechtmäßige Bearbeitung, die Verarbeitung nach Treu und Glauben, eine verhältnismäßige Verarbeitung, die Zweckbindung, die Richtigkeit der Daten, die Einwilligung bei angemessener Information sowie Freiwilligkeit und die Notwendigkeit einer Einwilligung bei besonders schützenswerten Daten benannt.
Technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit sollen dem Risiko angemessen sein und nach den Kriterien Zweck, Umfang der Datenverarbeitung, Umstände der Bearbeitung, Eintrittswahrscheinlichkeit, Stand der Technik und Implementierungskosten ausgewählt werden. Es sollen geeignete Voreinstellungen geschaffen werden, um die Bearbeitung auf ein Mindestmaß zu begrenzen. Entsprechend dem Schutzbedarf sollen die bearbeiteten Daten nur Berechtigten zugänglich sein, verfügbar sein, wenn sie benötigt werden, nicht unberechtigt oder unbeabsichtigt verändert sowie nachvollziehbar bearbeitet werden.
Die Bearbeitung besonders schützenswerter Daten muss protokolliert werden und die Identität des Bearbeiters ersichtlich sein. Die Bearbeitung von Personendaten kann vertraglich oder durch Gesetzgebung einem Auftragsverarbeiter übertragen werden. Ein Verantwortlicher, der die Auftragsverarbeitung überträgt, bleibt weiter verantwortlich. Verantwortliche können einen Datenschutzberater bestellen. Die Konsultation des EDÖB bei Datenschutzfolgeabschätzungen mit hohem Risiko kann unterbleiben, wenn ein geeigneter Datenschutzberater bestellt ist. Unternehmen mit mehr als 250 Beschäftigten haben die Pflicht zur Führung eines Bearbeitungsverzeichnisses.
Verantwortliche mit Sitz im Ausland bezeichnen eine Vertretung in der Schweiz, wenn sie Personendaten von Personen in der Schweiz bearbeiten. Werden Personendaten im Ausland bekanntgegeben, muss geprüft werden, ob ein angemessenes Datenschutzniveau in dem Land vorhanden ist. Der EDÖB veröffentlicht entsprechende Staaten. Der EDÖB hat in Anlehnung an die Gesetzgebung in der EU Datenschutzklauseln für eine Vertragsgestaltung zur Verarbeitung im Ausland veröffentlicht. Verbindliche unternehmensinterne Datenschutzvorschriften gelten für alle Unternehmen, die zum selben Konzern gehören.
Der Verantwortliche und der Auftragsverarbeiter informieren geeignet über die Beschaffung von Personendaten.
Der Verantwortliche meldet dem EDÖB Verletzungen der Datensicherheit, die zu einem hohen Risiko für den Betroffenen führen, informiert die Betroffenen und dokumentiert den Vorgang.
Der Betroffene hat ein Recht auf Auskunft. Das Auskunftsbegehren soll schriftlich, kann aber auch mündlich gestellt werden, wenn der Verantwortliche einverstanden ist. Die Auskunft wird in der Regel schriftlich erteilt. Es bestehen umfangreiche Einschränkungen des Auskunftsrechtes und die Möglichkeit der Weitergabe von Kosten bis zu 300 CHF. Die Frist zur Erteilung der Auskunft beträgt 30 Tage. Weitere Betroffenenrechte gelten analog der Rechte in der EU.
Wer Personendaten bearbeitet, darf die Persönlichkeit nicht widerrechtlich verletzen. Eine Persönlichkeitsverletzung ist widerrechtlich, wenn sie nicht durch Einwilligung, privates oder öffentliches Interesse oder durch Gesetze gerechtfertigt ist. Rechtfertigungsgründe können sein, wenn der Betroffene ein Vertragspartner ist, im wirtschaftlichen Wettbewerb mit dem Verantwortlichen steht oder die Kreditwürdigkeit geprüft werden soll.
Der Verantwortliche erstellt eine Datenschutz-Folgenabschätzung, wenn die Bearbeitung ein hohes Risiko mit sich bringen kann.
Verletzungen von Informations-, Auskunfts- und Mitwirkungspflicht sowie Verletzungen von Sorgfaltspflichten, Verletzung der beruflichen Schweigepflicht, Missachtung von Verfügungen oder Widerhandlungen in Geschäftsbetrieben können mit bis zu 250.000 CHF Busse belegt werden.
Es bestehen Nachweis- und Dokumentationspflichten für die Verantwortlichen und Auftragsverarbeiter.
Entsprechend der Regelungen sollten Verantwortliche eine Datenschutzdokumentation und ein Verzeichnis der Bearbeitungstätigkeiten führen sowie einen Datenschutzberater bestellen.
Es wird eingeschätzt, dass Unternehmen, die ein Datenschutzmanagementsystem entsprechend der DSGVO aufgebaut haben, eine Konformität zum Schweizer Datenschutzrecht leicht herstellen können. Dokumente, die in den letzten Jahren in der EU entstanden sind, können unkompliziert für die Schweiz angepasst werden. Unternehmen, die entsprechend den bisher geltenden Datenschutzgesetzen gehandelt haben, werden sich auch im neuen Gesetz zurechtfinden. Der EDÖB hat Hinweise und Handlungsempfehlungen auf seiner Homepage veröffentlicht und wird den weiteren Prozess begleiten.
Die Einführung der neuen Datenschutzgesetze verlief in den von mir betreuten Unternehmen ruhig. Die Unternehmen haben sich den Vorschriften gestellt und die Umsetzung aktiv gestaltet. Die Gesetzgebung ermöglicht pragmatische Lösungen zum angemessenen Schutz der Mitarbeitenden. Eine Integration in bestehende Managementsysteme sollte angestrebt werden und ist möglich.
Sollten Sie Unterstützung bei der Umsetzung der Forderungen, der Erstellung einer Datenschutzdokumentation nach Schweizer Recht oder der Umsetzung der Betroffenenrechte benötigen, haben wir genügend Erfahrung, Ihnen dabei gern zu helfen.
Gez. Thomas Töpfer, 04.01.2024
Ihr Thomas Töpfer, Geschäftsführer der TT Datenschutz GmbH
Externer Datenschutzbeauftragter für Dresden und Radebeul, Sachsen sowie Europa, Datenschutzberater für die Schweiz