Im kommenden Jahr wird es nun so weit sein: Die bereits im September 2020 vom Parlament beschlossene Totalrevision des Datenschutzgesetzes (DSG) und der Datenschutzverordnung (DSV) wird am 1. September 2023 in Kraft treten. Ursprünglich plante der Bund das Inkrafttreten dieser Rechtsordnungen bereits für die zweite Jahreshälfte 2022. Aber man wollte den Unternehmen und ihren Datenschutzverantwortlichen entgegenkommen und ihnen ausreichend Zeit für die Vorbereitungen einräumen. Ab September kommenden Jahres wird es dann aber ernst. Bis dahin besteht jedoch noch Zeit, die eigenen Datenbearbeitungen zu hinterfragen und sich auf das neue Recht gut vorzubereiten.
Für wen gilt das neue Gesetz?
Das Datenschutzgesetz und die dazugehörige Verordnung gelten für die Bearbeitung von Personendaten durch Private (und Bundesorgane). Folglich sind private Unternehmen, aber auch Vereine sowie grundsätzlich auch Privatpersonen betroffen. Während Unternehmen und Vereine in der Regel nicht um die Berücksichtigung des Datenschutzrechts herumkommen, sind Privatpersonen, solange sie Personendaten ausschliesslich zum persönlichen Gebrauch bearbeiten, von der Wahrung der datenschutzrechtlichen Vorgaben ausgenommen. Die Ausnahme «zu persönlichem Gebrauch» gilt jedoch nur für Datenbearbeitungen im engeren Privat- und Familienleben (engere Familie und Freunde), worunter eine öffentliche Website im Normalfall nicht fällt. Private Website-Betreiber sind deshalb – genauso wie kommerzielle – regelmässig vom neuen DSG und der neuen DSV betroffen.
Was sind «Personendaten» und was bedeutet «bearbeiten»?
Mit Personendaten sind alle Daten gemeint, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dies kann in der Praxis sehr weit gehen und kann je nach Umstand sogar eine einfache IP-Adresse sein.
Auch «bearbeiten» hat eine weite Bedeutung. Der Begriff umfasst eigentlich fast alle Tätigkeiten, die man sich darunter vorstellen kann. Dazu gehören unter anderem das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten. Diesbezüglich ändert sich somit nichts im Vergleich zum bisherigen Recht. Es gibt aber eine Erleichterung mit der Revision: Neu sind das DSG und die DSV nicht mehr anwendbar, wenn Daten über juristische Personen bearbeitet werden. Aber aufgepasst, die Mitarbeitenden eines Unternehmens sind auch nach neuem Recht durch das DSG geschützt.
Was ist denn nun zu tun?
Das Datenschutzrecht auferlegt den Verantwortlichen einer Datenbearbeitung zahlreiche Pflichten, wovon einige neu sind, aber einige auch bereits jetzt bestehen. Im Folgenden finden Sie einen Überblick über die wichtigsten Pflichten der Verantwortlichen.
Grundsätze der Datenbearbeitung
Die Bearbeitungsgrundsätze ändern sich durch die Revision nicht wesentlich, weshalb bisher zulässige Datenbearbeitungen gewöhnlich auch unter dem neuen Recht weiter zulässig sein sollten. Personendaten dürfen nur rechtmässig bearbeitet werden, die Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein. Wichtig ist, dass Daten nur zu dem Zweck bearbeitet werden dürfen, für welchen sie erhoben wurden, und der Zweck für die betroffene Person auch erkennbar ist (Zweckbindung). Werden Personendaten entgegen den datenschutzrechtlichen Grundsätzen bearbeitet (z.B. zu einem anderen Zweck), kann dies zu einer Persönlichkeitsverletzung der betroffenen Person führen. Eine solche kann jedoch gerechtfertigt werden, wenn ein überwiegendes privates oder öffentliches Interesse besteht (z.B. Datenbearbeitung in unmittelbarem Zusammenhang mit einem Vertrag) oder die betroffene Person einwilligt.
Löschen von Personendaten
Personendaten müssen gelöscht oder anonymisiert werden, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind.
Inventar der Bearbeitungen
Unternehmen und Organisationen mit 250 Mitarbeitenden und mehr müssen ein Inventar über sämtliche Bearbeitungen führen. Unternehmen mit weniger als 250 Mitarbeitenden sind grundsätzlich davon befreit, ausser es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet oder ein Profiling mit hohem Risiko durchgeführt.
Informationspflichten und Datenschutzerklärung
Wenn Personendaten bearbeitet werden, so müssen die betroffenen Personen über den Umfang und den Zweck der Datenbearbeitungen informiert werden. Dies geschieht meistens mittels einer Datenschutzerklärung. Dazu empfiehlt es sich, folgende Tipps zu befolgen:
- Es sollte über sämtliche Datenbearbeitungen informiert werden, nicht nur über die Bearbeitung der Daten mittels der Website.
- Die Datenschutzerklärung sollte auf einer Website einfach auffindbar sein, am besten auf jeder Seite im Footer.
- Datenschutzerklärungen sollten gewöhnlich nicht durch den Benutzer akzeptiert werden müssen (z.B. bei Formularen). Stattdessen kann darauf hingewiesen werden, wo die Datenschutzerklärung zu finden ist.
- Bitte beachten Sie, dass Sie aufgrund der neuen, umfangreicheren Informationspflichten gegebenenfalls Ihre bestehenden Datenschutzerklärungen anpassen müssen.
Mehr erfahren:
In einem früheren Beitrag im Hostpoint Blog hat die Kanzlei VISCHER wichtige und hilfreiche Tipps für das Verfassen einer Datenschutzerklärung für die eigene Website zusammengestellt:
Wie Sie eine gute Datenschutzerklärung für Ihre Website verfassen
Auftragsbearbeiter
Mit Providern wie Hostpoint, welche Personendaten im Auftrag des Verantwortlichen bearbeiten, sollte ein Auftragsbearbeitungsvertrag bzw. Auftragsdatenverarbeitungsvertrag (ADV) abgeschlossen werden (auch Data Processing Agreement bzw. DPA o. ä. genannt). Auch hierzu ist es empfehlenswert, folgende Tipps zu befolgen:
- Ein solcher Vertrag sollte technische und organisatorische Massnahmen (TOMs) enthalten, die der IT-Provider einzuhalten hat (vgl. auch nachführend die Ausführungen zur Datensicherheit sowie Art. 32 der DSGVO).
- Ein ADV nach der europäischen Datenschutz-Grundverordnung (DSGVO) genügt grundsätzlich auch in der Schweiz, sollte aber explizit auch auf das DSG verweisen.
- Der Beizug von weiteren Dritten durch den Auftragsbearbeiter sollte geregelt sein.
Datensicherheit
Der Zugriff auf Personendaten sollte nur für diejenigen Personen (z.B. Mitarbeiter, Vereinsmitglieder) möglich sein, welche den Zugriff auch wirklich benötigen, beispielsweise für die Erfüllung ihrer Arbeit. Dies sollte mit technischen und organisatorischen Massnahmen (TOMs) sichergestellt werden. Technische Massnahmen könnten zum Beispiel eingeschränkte Zugriffsrechte oder Firewalls sein, während organisatorische Massnahmen etwa Weisungen und Schulungen sein können. Websites und sonstige IT-Systeme sollten technisch auf dem aktuellsten Stand gehalten werden, damit keine Sicherheitslücken entstehen, die unter Umständen verheerende Auswirkungen haben könnten.
Sollte es dennoch geschehen, dass die Vertraulichkeit, die Integrität oder die Verfügbarkeit von Personendaten verletzt werden und deswegen ein hohes Risiko für betroffene Personen besteht, muss dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Der Bundesrat plant zudem, eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen einzuführen. Dabei müsste auch das Nationale Zentrum für Cybersicherheit (NCSC) informiert werden. Lassen Sie sich in solchen Fällen beraten, um korrekt zu handeln.
Datenbekanntgabe ins Ausland
Werden Daten ins Ausland bekannt gegeben, muss entweder das Land über ein angemessenes Datenschutzniveau verfügen oder es müssen zusätzliche Massnahmen ergriffen werden. Dies ist auch bereits unter dem aktuell geltenden Recht notwendig. Mit der Bekanntgabe ins Ausland ist nicht nur ein aktives Senden von Daten gemeint, sondern beispielsweise auch ein Fernzugriff. Auch der Begriff der «Bekanntgabe» ist somit weiter, als er vielleicht anfänglich vermuten lässt. Zu den Massnahmen, die gegebenenfalls ergriffen werden müssen, gehören unter anderem der Abschluss von Standardvertragsklauseln («EU SCCs») sowie die für die Schweiz notwendigen Ergänzungen («Swiss amendments»).
Prüfen Sie, welche Dienstleister und Anbieter Sie im Zusammenhang mit Ihrer Website und sonstigen Angeboten nutzen. Sollten sich diese im Ausland befinden, vergewissern Sie sich, dass das jeweilige Land über einen angemessenen Datenschutz verfügt, und falls nicht, dass Sie die notwendigen zusätzlichen Massnahmen ergriffen haben.
Betroffenenrechte
Personen, deren Personendaten bearbeitet werden, haben das Recht, Auskunft über ihre eigenen Daten zu erhalten. Diese Auskunft sollte in der Regel innert 30 Tagen und ohne Kostenfolge für die Betroffenen erfolgen. Ferner besteht auch das Recht der Personen, fehlerhafte Daten korrigieren zu lassen oder die Löschung von Daten zu verlangen. Diese Rechte gelten jedoch nicht absolut und es gibt Einschränkungen.
Einwilligung
Ist für eine Datenbearbeitung eine Einwilligung nötig, muss die betroffene Person über die Folgen der Einwilligung informiert werden und die Einwilligung muss freiwillig erfolgen. Bei besonders schützenswerten Personendaten (z.B. Gesundheitsdaten) oder Hochrisiko-Profiling muss die Einwilligung sogar explizit geschehen.
«Privacy by Default und Privacy by Design»
Damit ist der Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen gemeint. Neu besteht die Pflicht, Datenbearbeitungen technisch und organisatorisch so auszugestalten, dass das Datenschutzrecht eingehalten wird, sowie dass Voreinstellungen möglichst datenschutzfreundlich ausgestaltet sind. Bieten Betreiber von Websites, Apps oder anderer Software unterschiedliche Einstellungen zum Datenschutz an, muss stets die datenschutzfreundlichste Variante als Standardeinstellung definiert sein. Verfügt eine Website beispielsweise über einen Mitgliederbereich, in welchem die registrierten Benutzer entscheiden können, ob andere Benutzer ihren Namen sehen können oder nicht, muss in der Standardeinstellung die Sichtbarkeit des Namens deaktiviert sein.
Kleines Berufsgeheimnis
Neben den allgemein bekannten Berufsgeheimnissen (z.B. Anwalts- oder Arztgeheimnis) wurde auch das Berufsgeheimnis im Datenschutzrecht ausgebaut. Geheime Personendaten, die Sie im Rahmen der Ausübung Ihrer beruflichen Tätigkeit anvertraut erhalten, müssen geheim gehalten werden. Wenn Sie das nicht garantieren wollen, müssen Sie dies also vorgängig klarstellen bzw. sagen, mit wem Sie die Angaben möglicherweise teilen. Geheime Personendaten liegen vor, wenn sie nicht allgemein bekannt sind und die betroffene Person ein schützenswertes Interesse an der Geheimhaltung der Daten hat. Das bedeutet aber nicht, dass nicht geheime Personendaten ohne Einschränkungen bekannt gegeben werden dürfen. Auch bei solchen ist eine Bekanntgabe nur im Rahmen des Datenschutzrechts zulässig.
Datenschutz-Folgenabschätzung
Werden neue Datenbearbeitungen geplant, welche potenziell ein hohes Risiko für betroffene Personen haben können, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. In einer solchen sind sowohl das genaue Vorhaben zu dokumentieren als auch entsprechende Massnahmen zum Schutz der betroffenen Personen zu prüfen.
Datenschutzberater und Vertreter in der Schweiz
Es ist unter dem neuen Datenschutzrecht möglich, einen Datenschutzberater im Unternehmen zu benennen. Es besteht hingegen keine Pflicht, dies zu tun. Der freiwillige Datenschutzberater nach Schweizer Recht ist zu unterscheiden vom Datenschutzbeauftragten nach der DSGVO. Letzterer ist bei Anwendbarkeit der DSGVO in gewissen Fällen sogar zwingend einzusetzen.
Verantwortliche mit Sitz im Ausland, welche Personendaten in der Schweiz bearbeiten, müssen unter gewissen Voraussetzungen einen Vertreter in der Schweiz bestimmen. Dies gilt für folgende Fälle:
- Wenn die Datenbearbeitung im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz steht.
- Wenn es sich um eine umfangreiche und regelmässige Bearbeitung handelt.
- Wenn die Datenbearbeitung ein hohes Risiko für die betroffene Person mit sich bringt.
Strafbarkeit
In Bezug auf die Strafbarkeit ist insbesondere zu berücksichtigen, dass ab dem 1. September 2023 die Verletzung gewisser Pflichten eine Strafbarkeit begründet, welche – im Gegensatz zu der DSGVO – nicht das Unternehmen trifft, sondern die dafür verantwortliche natürliche Person. Die verantwortlichen Personen können sowohl Mitglieder der Geschäftsleitung als auch andere entscheidungsbefugte Personen im Unternehmen oder aber auch diejenigen Personen sein, welche eine Pflichtverletzung (z.B. Verletzung der Geheimhaltung) begangen haben. Im Schweizer Recht ist jedoch nur die bewusste Begehung strafbar.
Mit einer Busse von bis zu CHF 250'000 ist insbesondere Folgendes strafbar:
- Verletzung von Informationspflichten (z.B. keine oder nur eine ungenügende Datenschutzerklärung)
- Kein Vertrag mit Auftragsbearbeiter
- Verletzung der Datensicherheit (Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität der Daten, TOMs)
- Bekanntgabe von Personendaten in Länder ohne ein angemessenes Datenschutzniveau, ohne das Treffen zusätzlicher Schutzmassnahmen oder ohne dass eine Ausnahme einschlägig ist (z.B. Einwilligung)
- Verletzung von Auskunftspflichten
- Verletzung des «kleinen Berufsgeheimnisses»
Wie soll das nun umgesetzt werden?
Es ist empfehlenswert, im Unternehmen, in der Organisation oder auch in einem Verein eine Person zu bestimmen, die sich um den Datenschutz kümmert. Dabei handelt sich nicht um einen Datenschutzberater im Sinne des Gesetzes (siehe oben), sondern um eine Person im Unternehmen oder im Verein, welche sich ein datenschutzrechtliches Grundwissen aneignet und bei diesbezüglichen Fragestellungen auch die Ansprechperson im Unternehmen ist. Die notwendigen Grundkenntnisse kann sich die Person dabei mittels öffentlicher Quellen oder durch Weiterbildungen aneignen und bei Bedarf externe Unterstützung beiziehen.
Mehr erfahren:
Was in einem KMU – oder auch in einem Verein – zu tun ist, hat das Datenschutzteam von VISCHER im Beitrag «Das neue Datenschutzgesetz – auf nur einer Seite» auf einer Seite zusammengefasst und publiziert.