Das neue Schweizer Datenschutzgesetz bringt Neuerungen für Unternehmen in und ausserhalb der Schweiz, insbesondere bei den Informations-, Dokumentations- und Meldepflichten wird den Unternehmen mehr abverlangt. Im Folgenden erhalten Sie einen Überblick über die für die Unternehmenspraxis wichtigsten neuen Regelungen und Handlungsempfehlungen.
 
 
Unternehmen ausserhalb der Schweiz
Für Unternehmen mit Sitz im Ausland, deren Bearbeitungen sich in der Schweiz auswirken, ist das neue Schweizer Datenschutzgesetz explizit anwendbar. Betroffene Unternehmen sollten sich spätestens jetzt mit dem Schweizer Datenschutzgesetz vertraut machen. Unternehmen ohne Sitz in der Schweiz, die Personendaten von Personen in der Schweiz bearbeiten, müssen unter gewissen Voraussetzungen eine Vertretung in der Schweiz bestimmen.
 
 
Strafrechtliche Sanktionen
Das neue Datenschutzgesetz sieht insbesondere bei folgenden Pflichten bei vorsätzlicher Verletzung Bussgelder von bis zu 250.000 Franken vor: 
  • Verletzung der Informationspflicht
  • Verletzung der Sorgfaltspflicht bei Einbezug von Auftragsbearbeitern
  • Nichteinhaltung der Mindestanforderungen an die Datensicherheit
  • unzulässige Bekanntgabe von Personendaten ins Ausland
  • falsche oder unvollständige Auskunft
  • Verletzung der beruflichen Schweigepflicht
Im Gegensatz zur EU-DSGVO trifft die strafrechtliche Sanktion nicht das Unternehmen, sondern die dafür verantwortliche natürliche Person.
Neu ist auch, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Untersuchungen eröffnen und Verfügungen erlassen kann wie z.B. Bearbeitungsverbote, Untersagung von Bekanntgaben ins Ausland oder Vernichtung von Personendaten.
 

Erweiterte Informationspflichten
Betroffene Personen, d.h. natürliche Personen, um deren Schutz es geht, müssen über die Bearbeitungen ihrer Daten umfassender informiert werden als bisher. Es sind Mindestangaben definiert, jedoch gibt es keine abschliessende Liste der Informationen, die angegeben werden müssen.

Die Mindestangaben umfassen:
  • Identität und Kontaktdaten des Verantwortlichen und eines allfälligen Datenschutzberaters
  • Bearbeitungszwecke
  • EmpfängerInnen oder Empfängerkategorien bei Weitergabe von Personendaten
  • bei Bekanntgabe ins Ausland: Staat und Datenschutzgarantien
  • Information über automatisierte Einzelentscheidung
Die Informationen müssen präzise, transparent, verständlich und leicht zugänglich sein. Daneben gibt es keine weitere Formvorschrift. Aus Beweisgründen empfiehlt sich die Schriftform. 
 
Handlungsempfehlungen:
Für alle Personenkategorien müssen Datenschutzinformationen bereitgestellt werden: Website-Besucher, Mitarbeitende, Kunden, Lieferanten, Partner, Bewerber usw. Website-Besuchern dient eine Datenschutzerklärung auf der Website, andere Personenkategorien können mit Produktblättern, Kunden- oder Mitarbeiterinformationen adressiert werden. Unternehmen, die sich bereits heute an der EU-DSGVO orientieren, sind gut vorbereitet und haben im besten Fall keinen Handlungsbedarf mehr.
 

Bekanntgabe von Personaldaten ins Ausland
Das Grundprinzip bleibt: Werden Personendaten ins Ausland bekannt gegeben, muss das Land über ein angemessenes Datenschutzniveau verfügen oder es müssen weitergehende Massnahmen ergriffen werden. Diese Massnahmen (z.B. Standardvertragsklauseln, Binding Corporate Rules oder Verschlüsselungen) können aufwändig sein und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) muss in spezifischen Fällen informiert werden oder diese prüfen.  

Mit dem Inkrafttreten des neuen Schweizer Datenschutzgesetzes wird die Liste der Staaten, Gebiete und internationalen Organe mit einem angemessenen Datenschutz vom Bundesrat publiziert. Als Staaten mit angemessenem Datenschutz aus Sicht der Schweiz gelten derzeit: EU/EWR, Andorra, Argentinien, Kanada, Guernsey, Isle of Man, Faröer Inseln, Israel, Jersey, Neuseeland, Vereinigtes Königreich und Uruguay.
 
Handlungsempfehlungen:
Bekanntgaben ins Ausland müssen auf ein angemessenes Datenschutzniveau geprüft werden, wobei auch der Zugriff aus dem Ausland eine Bekanntgabe darstellt.  Vielen Unternehmen ist nicht bewusst, dass ihre IT-Dienste solche Bekanntgaben ins Ausland mit sich führen können, beispielsweise die Nutzung ausländischer Clouds oder ausländischer cloud-basierter Services wie  Newsletter-Versand, Projektmanagement- oder Terminplanungs-Tools.
Der EDÖB bietet eine Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (bereits angepasst auf das neue Datenschutzgesetz).
Zur Prüfung, ob das Land, in welches Daten übermittelt werden, einen angemessenen Datenschutz bietet, dient der Anhang 1 der Datenschutzverordnung.
 

Auftragsbearbeitung
Die Übertragung von Personendatenbearbeitungen an Dritte („Outsourcing“) ist bereits im heutigen Datenschutzgesetz geregelt. Beispiele hierfür sind Auslagerungen in ein Rechenzentrum, Nutzung von Cloud-Services oder Beauftragung von Dienstleistern für Backups,  Datenträgervernichtung, Call-Center, Lohnbuchhaltung oder Printservices. Der Auftraggeber bleibt für den Datenschutz verantwortlich. Er muss aktiv sicherstellen, dass der Auftragnehmer (Auftragsbearbeiter) das Gesetz im selben Umfang einhält wie er selbst und Verstösse gegen das Datenschutzgesetz verhindern. Neu ist, dass für diese Auftragsbearbeitung eine vertragliche Grundlage  erforderlich ist und der Auftragnehmer nur mit vorgängiger Genehmigung des Auftraggebers Dritte hinzuziehen darf.

 
Handlungsempfehlungen:
Da die datenschutzrechtliche Verantwortung beim Auftraggeber verbleibt, müssen Auftragsbearbeiter sorgfältig ausgewählt, instruiert und regelmässig durch den Auftraggeber überprüft werden. Dem Auftragsbearbeiter sind die erforderlichen Weisungen zu erteilen. Auch die Auslagerung innerhalb eines Konzerns stellt eine Auftragsbearbeitung dar und hat mit derselben Sorgfalt zu geschehen.  
Ein Auftragsbearbeitungsvertrag sollte den Auftragnehmer zu Mindestmassnahmen zur Gewährleistung der Datensicherheit verpflichten. Auftragsverarbeitungsverträge nach EU-DSGVO sind gute Vorlagen und genügen grundsätzlich auch in der Schweiz, es sollte aber explizit auf das Schweizer Datenschutzgesetz verwiesen werden. Bei grenzüberschreitenden Auftragsbearbeitungen ist die Anwendbarkeit weiterer länderspezifischer Datenschutzgesetzgebungen zu beachten.
 
 
Verletzungen der Datensicherheit
Eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, ist ab dem 1. September 2023 dem EDÖB so rasch als möglich zu melden. Eine Maximalfrist wie in der EU (72 Stunden) gibt es gemäss Schweizer Datenschutzgesetzgebung nicht. Betroffene Personen müssen informiert werden, wenn es zu ihrem Schutz erforderlich ist.
Ein Online-Dienst zur Meldung von Datensicherheitsverletzungen beim EDÖB befindet sich unter: https://databreach.edoeb.admin.ch/report
 
Handlungsempfehlungen:
Mitarbeitende müssen Datensicherheitsverletzungen schnellstmöglich erkennen  und der im Unternehmen verantwortlichen Stelle melden.  Empfehlenswert ist die Benennung eines Notfall-Teams aus internen Mitarbeitenden und ggf. externen Spezialisten, die geschult sind und alle sicherheitsrelevanten und meldepflichtigen Vorfälle koordiniert abwickeln.
 
 
Rechte betroffener Personen
Rechte betroffener Personen wie das Auskunftsrecht ihrer Daten oder das Recht auf Berichtigung und Löschung sind bereits heute geregelt. Neu ist die Herausgabe von Personendaten in einem gängigen elektronischen Format. Zudem wird die vorsätzlich falsche oder unvollständige Auskunft bussgeldbewehrt sein
 
Handlungsempfehlungen:
Ein Unternehmen muss den Betroffenenanfragen nach den Kriterien des Datenschutzgesetzes standhalten. Prozessvorgaben und Schulung der Mitarbeitenden sind präventive Massnahmen, damit Betroffenenanfragen technisch möglich sind, datenschutzkonform und innerhalb der gesetzlichen Fristen bearbeitet werden können.
 

Verzeichnis der Bearbeitungstätigkeiten
Neu ist die Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten, das alle Bearbeitungen von Personendaten dokumentiert. Unternehmen mit weniger als 250 Mitarbeitenden sind davon befreit, sofern keine besonders schützenswerten Personendaten in grossem Umfang bearbeitet werden und kein Profiling mit hohem Risiko durchgeführt wird.

Das Verzeichnis der Bearbeitungstätigkeiten verschafft einen Überblick über datenschutzrelevante Aktivitäten im Unternehmen. Die Mindestangaben umfassen für jede Bearbeitung:
  • Identität des Verantwortlichen
  • Bearbeitungszwecke und Aufbewahrungsdauer
  • Beschreibung Kategorien betroffener Person und bearbeiteter Personendatenkategorien
  • bei Weitergabe/Bekanntgabe von Daten: Empfängerkategorien
  • Bei Weitergabe/Bekanntgabe ins Ausland: Angabe des Staates sowie Garantien, wenn kein angemessenes Datenschutzniveau im betreffenden Land besteht
  •  Massnahmen der Gewährleistung der Datensicherheit
Handlungsempfehlungen:
Wir empfehlen das Führen eines Verzeichnisses der Bearbeitungstätigkeiten auch für Unternehmen, die von der Pflicht befreit sind. Das darin enthaltene Wissen ist für die Datenschutz-Compliance essenziell und dient als Basis für Risikoanalysen, Datenschutzfolgenabschätzungen, Informationspflicht, Auskunftsbegehren und Zertifizierungen. Ist ein Unternehmen gut dokumentiert (z.B. Prozess- und Schnittstellendokumentationen), kann dieses Verzeichnis zügig erstellt werden, beispielsweise in einer spezialisierten Software oder auch in einem Excel-Dokument.
Hat ein Unternehmen bereits ein Verarbeitungsverzeichnis gemäss EU-DSGVO angelegt, kann dieses mit länderspezifischen Anpassungen als Verzeichnis der Bearbeitungstätigkeiten gemäss DSG verwendet werden.
 

Sensitive Daten und Verarbeitungen mit hohem Risiko
Der Umfang besonders schützenswerter Personendaten wurde erweitert um genetische und biometrische Daten. Damit umfassen die besonders schützenswerten Personendaten nach dem neuen Datenschutzgesetz folgende Datenkategorien:

  • Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
  • Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie
  • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen
  • Daten über Massnahmen der sozialen Hilfe
  • genetische Daten
  • biometrische Daten, die eine natürliche Person eindeutig identifizieren
An die Bearbeitung besonders schützenswerter Personendaten sind bereits heute höhere Anforderungen an die technischen und organisatorischen Massnahmen gestellt (z.B. Verschlüsselungen oder ausdrückliche Einwilligungen).
Werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet oder wird ein Profiling mit hohem Risiko durchgeführt, ist zudem ein Bearbeitungsreglement zu erstellen, eine Datenschutzfolgenabschätzung durchzuführen und die Bearbeitungen sind zu protokollieren.
Ein Bearbeitungsreglement muss insbesondere Angaben zur internen Organisation, zu Datenbearbeitungs- und Kontrollverfahren und zu Massnahmen der Datensicherheit beinhalten. Das Bearbeitungsreglement ist ergänzend zum Verzeichnis der Bearbeitungstätigkeiten zu führen.
Die Datenschutz-Folgenabschätzung ist auch bei weiteren Bearbeitungen mit hohen Risiken durchzuführen, so beispielsweise bei  der Verwendung neuer Technologien oder wenn systematisch umfangreiche öffentliche Bereiche überwacht werden. Die Datenschutz-Folgenabschätzung hat vor Inbetriebnahme des geplanten Vorhabens zu erfolgen und legt die Massnahmen zur Risikobehandlung fest. Verbleibt trotz umgesetzter Massnahmen ein hohes Risiko, ist der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) oder der ernannte Datenschutzberater zu konsultieren.
Die Protokollierung der Bearbeitungen umfasst zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten von Personendaten. Zudem die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenfalls die Identität des Empfängers der Daten. Die Protokolle müssen mindestens 1 Jahr getrennt vom System, in dem die Daten bearbeitet werden, aufbewahrt werden.
 
Handlungsempfehlungen:
Mit regelmässigen Risikoanalysen („Schwellwertanalysen“) können risikoreiche Bearbeitungen ermittelt werden. EU-Aufsichtsbehörden veröffentlichen sog. Black Lists (Bearbeitungen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist) und White Lists (Bearbeitungen, für die keine Datenschutz-Folgenabschätzung erforderlich ist), die eine Orientierung geben, welche Datenbearbeitungen ein voraussichtlich hohes Risiko bergen können.
Beispiele:
 

Privacy by Design und Privacy by Default
Gemäss neuem Datenschutzgesetz müssen bereits ab der Planung von Vorhaben die Grundsätze und Vorgaben des Datenschutzgesetzes einbezogen werden. Zudem müssen Bearbeitungen auf das für den Verwendungszweck notwendige Mindestmass voreingestellt sein, um den Grundsätzen der Datenminimierung, Verhältnismässigkeit und Zweckbeschränkung zu genügen.

 
Handlungsempfehlungen:
Anforderungskataloge für die Entwicklung neuer Software-Anwendungen, Produkte und Dienstleistungen  sind um Datenschutzanforderungen zu erweitern. Bei der Beschaffung oder Entwicklung sollten diese Anforderungen Bestandteil eines Ausschreibungsverfahrens oder eines Entwicklungsauftrags sein.  
 

Datenschutzberater:in
Nach dem neuen Datenschutzgesetz kann ein:e Datenschutzberater:in benannt werden (bisher als betrieblicher „Datenschutzverantwortlicher“ bezeichnet). Es besteht keine Pflicht, dies zu tun.

 

Datenschutz-Organisation – Wie kann das alles umgesetzt werden?
Wir empfehlen, im Unternehmen eine Stelle zu bestimmen, die sich um den Datenschutz kümmert. Dies kann auch eine externe Stelle sein, die kommunikativ ins Unternehmen integriert wird, was im Hinblick auf Fachwissen und laufende Weiterbildung die ressourcenschonendere Variante sein kann.

Nicht nur im Hinblick auf Bussgelder müssen Datenschutz-Verantwortlichkeiten klar geregelt sein.  Die Einhaltung der datenschutzrechtlichen Pflichten ist durch Weisungen und Schulung der Mitarbeitenden (z.B. E-Learnings) zu unterstützen.
Der Umfang der umzusetzenden Massnahmen hängt vom Erfüllungsgrad der heutigen gesetzlichen Datenschutzvorgaben ab. Unternehmen, die die Anforderungen des bis 31.08.2023 geltenden Datenschutzgesetzes gar nicht oder nur teilweise umgesetzt haben, müssen sicherlich einiges aufholen, um datenschutzkonform zu sein. Da eine Angleichung zur europäischen Datenschutzgrundverordnung (EU-DSGVO) stattfindet, sind Unternehmen, die die Anforderungen der EU-DSGVO umgesetzt haben, bereits gut vorbereitet, müssen jedoch trotzdem die Schweiz-spezifischen Vorgaben beachten.