Ihre Kontakte
Der Grossteil der Totalrevision des Schweizer Datenschutzgesetzes (DSG) steht bereits fest. Mit einem Abschluss der Differenzbereinigung zur DSG-Revision ist in den nächsten Monaten zu rechnen. Auch wenn den Unternehmen bis zum Inkrafttreten der neuen Vorschriften noch eine Übergangsfrist zugestanden werden wird, lohnt sich erfahrungsgemäss die frühzeitige Planung der entsprechenden Compliance-Projekte. Im Hinblick darauf finden Sie in den nachfolgenden FAQ Antworten auf die wichtigsten Fragen zur DSG-Revision. Während in diesem ersten Teil Fragen allgemeiner Natur behandelt werden, wird sich ein zweiter Teil Fragen zu spezifischen Vorgaben des neuen DSG widmen.
Bis wann müssen die neuen Vorschriften umgesetzt sein?
Zurzeit befindet sich der neue Gesetzesentwurf noch im Differenzbereinigungsverfahren zwischen dem National- und dem Ständerat. Es ist davon auszugehen, dass sich die Räte dabei über die nunmehr wenigen offenen Punkte (zum Stand Ende Mai: MLL-News vom 29. Mai 2020) noch im Verlauf vom 2020 einigen werden. Die Chancen stehen deshalb gut, dass das revidierte DSG noch in diesem Jahr verabschiedet wird und möglicherweise bereits ab 2021 in Kraft tritt. Da im Gesetzesentwurf keine allgemeine Übergangsfrist mehr enthalten sind, lässt sich der Zeitpunkt für die Umsetzung noch weniger genau abschätzen.
Unser Unternehmen hat keinen Sitz in der Schweiz. Müssen wir uns dennoch an das DSG halten?
Ja, denn im revidierten DSG bestimmt sich der räumliche Geltungsbereich nach dem sog. Auswirkungsprinzip. D.h. das revidierte DSG wird auch für Unternehmen mit Sitz im Ausland anwendbar sein, wenn diese Personendaten bearbeiten und sich diese Datenbearbeitung in der Schweiz auswirkt. Für die zivil- und strafrechtliche Durchsetzung bleiben aber die bisherigen Grundsätze bestehen.
Neu können Unternehmen ohne Sitz in der Schweiz zudem dazu verpflichtet sein, eine Vertretung in der Schweiz zu bezeichnen, wenn diese Personendaten von Personen in der Schweiz bearbeiten. Diese Pflicht wird ausgelöst, wenn die Datenbearbeitung im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen oder der Verhaltensbeobachtung dieser Personen steht. Zudem muss es sich um eine umfangreiche und regelmässige Bearbeitung handeln, die ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt.
Unser Unternehmen hat bereits die Vorgaben der EU-DSGVO umgesetzt. Müssen wir trotzdem noch weitere Massnahmen für die DSG-Compliance ergreifen?
Ja, eine sorgfältige Prüfung der Compliance ist trotzdem dringend zu empfehlen. Es sind dabei die Besonderheiten jedes einzelnen Unternehmens und seiner Datenbearbeitungen zu berücksichtigen. Bei Unternehmen ohne Sitz in der Schweiz ist namentlich die Bestellung eines Vertreters in der Schweiz zu prüfen. Organisatorische Massnahmen können ferner angezeigt sein zum Umgang mit den drohenden Strafsanktionen und Strafverfahren gegen natürliche Personen. Obwohl mit dem E-DSG eine Kompatibilität mit der DSGVO erreicht werden soll, werden trotzdem zahlreiche Unterschiede bestehen. So ist bspw. die Liste der Pflichtangaben, über welche die betroffenen Personen zu informieren sind, im DSG-Entwurf – anders als in der EU-DSGVO – nicht abschliessend. Erst die Praxis wird zeigen, welche Bedeutung diesen teilweise kleinen Unterschieden zukommen wird. Insbesondere Schweizer Unternehmen ist deshalb eine erneute, genaue Prüfung sehr zu empfehlen. Dies gilt auch, wenn seit 2018 Anstrengungen zur schrittweisen Erfüllung der Vorgaben der EU-DSGVO unternommen wurden. Viele dieser in zahlreichen Unternehmen nach wie vor nicht vollständig umgesetzten Vorgaben werden nun ins Schweizer Recht überführt und gelten fortan unmittelbar für alle datenverarbeitenden Unternehmen mit Sitz in der Schweiz.
Was ist aus Unternehmenssicht insgesamt die wesentlichste Änderung?
Aufgrund der verschärften Sanktionen bei Verstössen wird der Umsetzungsdruck der im DSG auferlegten Pflichten klar ansteigen. Bei Verstössen sind als strafrechtliche Sanktion Bussen für natürliche Personen in Höhe von bis zu CHF 250’000 vorgesehen. Daneben gibt es zahlreiche neue Pflichten im Zusammenhang mit der Bearbeitung von Personendaten, von welchen insbesondere die Folgenden zu erheblichem Mehraufwand führen werden:
- Pflicht zur Führung eines Verzeichnisses aller Personendatenbearbeitungen (siehe unten);
- Data Breach Notification: Verletzungen der Datensicherheit (z.B. Datenverluste), die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen, sind unverzüglich dem Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und gegebenenfalls der betroffenen Person zu melden.
- Datenschutz-Folgenabschätzungen: Wenn eine beabsichtigte Datenbearbeitung ein hohes Risiko einer Verletzung der Persönlichkeit oder der Grundrechte einer betroffenen Person mit sich bringt, ist der Verantwortliche dazu verpflichtet, die Risiken einer solchen Bearbeitung in einer Datenschutz-Folgeabschätzung zu analysieren. Das E-DSG geht davon aus, dass insbesondere bei der Verwendung neuer Technologien und einer umfangreichen Bearbeitung besonders schützenswerter Personendaten oder bei der systematischen Überwachung umfangreicher öffentlicher Bereiche von einem hohen Risiko ausgegangen werden muss.
Welche neuen Vorschriften führen zum grössten Aufwand bei der Umsetzung?
Das Führen eines Datenbearbeitungsverzeichnisses wird für die meisten Unternehmen mutmasslich zum grössten Aufwand bei der Umsetzung führen, falls nicht bereits entsprechende Massnahmen für die DSGVO-Compliance getroffen wurden. Der grosse Aufwand folgt daraus, dass sämtliche Datenbearbeitungen des gesamten Unternehmens erfasst und genaue Angaben dazu gemacht werden müssen, wie z.B. zum Zweck der Bearbeitung sowie sämtlichen Kategorien von Datenempfängern. Darüber hinaus ist sicherzustellen, dass das Verzeichnis kontinuierlich aktualisiert wird.
Wie ist bei der Umsetzung der Massnahmen am besten vorzugehen?
Zunächst muss in einer Initialisierungsphase der IST-Zustand der datenschutzrechtlichen Compliance innerhalb des Unternehmens evaluiert werden. Sodann gilt es mittels Gap-Analyse den anzustrebenden SOLL-Zustand zu definieren. Um diesen zu erreichen, müssen die konkreten Umsetzungsmassnahmen geplant und priorisiert werden. Anschliessend folgt die Umsetzung dieser Massnahmen entsprechend ihrer Priorität. Dies ist verbunden mit der Einführung neuer unternehmerischer Abläufe und Prozesse, die in ihrer Umsetzung wiederkehrend zu evaluieren sind. Zusammenfassend lässt sich sagen, dass Datenschutz-Compliance kein einmaliges Projekt ist, welches abgeschlossen und beendet wird. Vielmehr handelt es sich dabei um ein «Work-in-Progress».
Welche Folgen hat ein Verstoss gegen die neuen Vorschriften?
Ein Verstoss kann strafrechtliche Sanktionen in Form einer Busse von bis zu CHF 250’000 zur Folge haben. Darüber hinaus kann auch der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen (siehe unten) erlassen. Auch wenn der EDÖB selbst keine Sanktionen anordnen kann, drohen auch bei Missachtung einer Anordnung des EDÖB, also bspw. bei der Weiterbearbeitung von Daten trotz Verbot, Strafsanktionen in der gleichen Höhe. Zuständig für die Durchsetzung der strafrechtlichen Sanktionen werden die Strafverfolgungsbehörden der Kantone sein. Möglich sind schliesslich weiterhin auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz.
Können Mitarbeiter persönlich (anstelle des Unternehmens) strafrechtlich verfolgt werden bei Verstössen gegen das DSG?
Ja, hierzu gilt es aber Folgendes zu beachten:
- Im Gesetzgebungsverfahren wurde zum Ausdruck gebracht, dass die Sanktionen auf die Leitungspersonen und nicht auf die ausführenden Mitarbeiter abzielen. Zugleich wurde aber nicht gänzlich ausgeschlossen, dass es auch Fälle geben kann, in welchen die Sanktion Mitarbeitern ohne Leitungsfunktion auferlegt werden könnte. Insofern wird erst die Praxis zeigen, wie die neuen Vorschriften zu verstehen sind.
- Bei Widerhandlungen, bei denen höchstens eine Busse von CHF 50’000 in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismässig wäre, kann schliesslich auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Busse verurteilt werden.
Weitere Informationen: