Hintergrund.
Informationstechnologien verändern unser Leben, fördern Megatrends und stellen die Welt, wie wir sie kennen, auf den Kopf. Unser Alltag ist zunehmend geprägt von der sich ausbreitenden Konnektivität und der Verlagerung der verschiedensten Tätigkeiten ins Internet oder die sozialen Netzwerke. Umso weniger verwundert es, dass Daten als das neue Gold gelten - Daten wie wir sie täglich zu tausenden nutzen, generieren, teilen, preisgeben oder vermeintlich vernichten. Einerseits mit vielen Vorteilen verbunden, bedeutet diese Datenzentrierung andererseits eine grosse Herausforderung für die Persönlichkeitsrechte und Privatsphäre von uns Menschen. Besondere Bedeutung erhält dieser Trend, wenn Daten zum zentralen Element von Geschäftsmodellen und der Wertschöpfung von Unternehmen werden.
In einer schnelllebigen Welt, in der regelmässig bahnbrechende Innovationen die Titelseiten der Medien dominieren, tut sich der Gesetzgeber in der Regel schwer, zeitgemässe und wirksame Regulatorien zu verabschieden. Ähnlich erging es dem revidierten Datenschutzgesetz (revDSG) der Schweiz, obwohl die Notwendigkeit in der politischen Landschaft der Schweiz breit akzeptiert ist. Während einem langjährigen Beratungs- und Vernehmlassungsverfahren, ist es am 25. September 2020 durch das Parlament verabschiedet worden. Nach weiteren drei Jahren Geduld und mehrfacher Verschiebung tritt das Gesetz am 1. September 2023 in Kraft.
Mit dem neuen Gesetz will die Schweiz «den Datenschutz an die veränderten technologischen und gesellschaftlichen Verhältnisse» anpassen und gleichzeitig mit dem europäischen Standard, der Datenschutz-Grundverordnung (EU-DSGVO), gleichziehen. Das revDSG bringt daher wesentliche Änderungen mit sich, wie die nachfolgenden Beispiele zeigen.
Beschränkung auf Daten von natürlichen Personen und Verstärkung ihrer Rechte.
Neu regelt das Datenschutzgesetz nur noch den Umgang mit Daten von natürlichen Personen, also Daten von Menschen – nicht mehr die Daten von juristischen Personen. Zusätzlich sichert das Gesetz den Individuen stärkere Rechte zu. Dazu gehören etwa das Recht auf Datenherausgabe (Auskunft), Datenübertragung, Berichtigung, Widerruf oder Löschung.
Informationspflichten.
Unter dem revDSG haben Unternehmen neu die Pflicht, bei jeder Beschaffung von Personendaten - nicht mehr nur von schützenswerten Daten - über deren Nutzung vorgängig zu informieren (etwa mit der Angabe des Bearbeitungszwecks).
Verzeichnis über die Bearbeitungstätigkeit.
Unternehmen in der Schweiz müssen gemäss Art. 12 des revDSG neu über ein Verzeichnis der Bearbeitungstätigkeiten verfügen und damit eine Art Inventur über alle Bearbeitungstätigkeiten von Personendaten, welche im jeweiligen Unternehmen existieren, erstellen. Für KMU mit unter 250 Mitarbeitenden und einem tiefen Risiko für eine Persönlichkeitsverletzung sind Ausnahmen angedacht. Mit «Bearbeitung» sind sämtliche Handlungen mit Personendaten zu verstehen, wie bspw. die Einsicht, die Kopie, die Archivierung und der Versand.
Weitere Änderungen.
Die genannten Änderungen sind nicht abschliessend. Eine Übersicht kann dem KMU-Portal des Bundes entnommen werden.
Verständlicherweise stossen diese Änderungen bei Unternehmen nicht nur auf offene Ohren. Vielerorts bedeuten sie Unsicherheiten und Herausforderungen, die nur mit hohen Aufwänden bewältigt werden können. Um in der Komplexität von Applikationslandschaften und IT-Architekturen die vom Gesetz geforderten Lieferergebnisse erzeugen zu können, hilft eine strukturierte Vorgehensweise und einige Tipps, die ich Ihnen gerne mit auf den Weg geben möchte.
1. Verschaffen Sie sich einen Überblick.
Das Internet bietet viele wertvolle und kostenlose Ressourcen, die Ihnen helfen, sich einen Überblick zu verschaffen. Nutzen Sie verlässliche Quellen wie etwa die Webseite des eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder Artikel von renommierten Anwaltskanzleien. Verschaffen Sie sich einen Überblick über alle Datenschutzanforderungen, die auf Sie zukommen und definieren Sie Massnahmen, um diese zu erfüllen. Orientieren Sie sich dabei wo immer möglich an Ihre bestehenden Prozesse.
2. Erarbeiten Sie ein Verzeichnis über Ihre Bearbeitungstätigkeiten.
Aller Anfang ist schwer und oftmals mit viel Aufwand verbunden. Das Verzeichnis über die Bearbeitungstätigkeiten eignet sich jedoch bestens als Einstieg. Es kann Ihnen dabei helfen, einen Überblick über die datenschutzrechtlich relevanten Vorgänge im Unternehmen zu erhalten. Es lohnt sich deshalb, früh mit den relevanten Stakeholdern in Ihrem Unternehmen an einen Tisch zu sitzen und die geforderten Informationen gemäss Art. 12 des revDSG zu erarbeiten. Die Bechtle Schweiz AG hat dazu eine Dienstleistung konzipiert und hilft Ihnen dabei, das neue Datenschutzgesetz zu verstehen, Massnahmen zu definieren und so bspw. auch ein Bearbeitungsverzeichnis zu erarbeiten.
3. Setzen Sie dort an, wo Sie Bedarf haben.
Mit dem Verzeichnis über die Bearbeitungstätigkeiten haben Sie einen Überblick über die Personendaten bei Ihnen im Unternehmen gewonnen. Nun wissen Sie, welche Personendaten Sie zu welchem Zweck von welchen Personen bearbeiten. Damit haben Sie die optimale Voraussetzung geschaffen, um Ihren Informationspflichten nachzukommen, eine Risiko- und Folgeabschätzung vorzunehmen, die Grundlagen für die Datenbearbeitung im Unternehmen zu definieren (Datenschutzkonzept) und Vereinbarungen mit Auftragsbearbeitenden abzuschliessen.
Fazit.
Bis zum Inkrafttreten des revDSG bleiben noch wenige Monate und es gibt einiges zu tun. Wir empfehlen Ihnen, sich zeitnah eine Übersicht zu verschaffen und die Anforderungen des revDSG in Ihrem Unternehmen umzusetzen. Gerne unterstützen und begleiten wir Sie in diesem Prozess.
Ich stehe Ihnen dazu sehr gerne persönlich zur Verfügung.
*Unsere Datenschutz-Expert:innen verfügen über langjährige Erfahrung rund um den Datenschutz. Sollten Sie tiefergehende rechtliche Fragen haben, verweisen wir Sie gerne an spezialisierte Fachjuristen, mit denen wir eng zusammenarbeiten.
Quellen:
- SR 235.1 - Bundesgesetz vom 25. September 2020 über den Datenschutz (Datenschutzgesetz, DSG) (admin.ch)
- Neues Datenschutzgesetz (revDSG) (admin.ch)
- Das neue Datenschutzgesetz (admin.ch)
