Datenschutzerklärung - ein Muss

Das neue Datenschutzgesetz in der Schweiz

Das neue Schweizer Datenschutzgesetz wird auf den 1.September 2023 in Kraft treten. Hauptziel der Totalrevision ist es, das Schweizer Datenschutzrecht auf das Niveau der EU anzuheben. Das neue Datenschutzgesetz (DSG) bringt sodann auch zahlreiche Angleichungen an die EU-Datenschutzgrundverordnung (DSGVO) mit sich. Dennoch behält das neue Schweizer Datenschutzgesetz weiterhin eine eigene Grundkonzeption und weicht auch in diversen anderen Punkten von der DSGVO ab. Im Rahmen der Revision wurden insbesondere wesentlich strengere Sanktionen eingeführt, erweiterte Informationspflichten geschaffen und die Pflicht zur Erstellung eines Bearbeitungsverzeichnisses vorgesehen. 

Typischerweise bringen Gesetzesänderungen für die betroffenen Rechtsanwenderin und den Rechtsanwender häufig eine gewisse Unsicherheit mit sich. Auch mit der Revision des Datenschutzgesetzes werden sich für viele Personen neue Fragen stellen. Deshalb werden hier die wichtigsten Änderungen aufgegriffen und erläutert. 

Erweiterung der Informationspflichten 

Die Informationspflichten im neuen Datenschutzgesetz wurden ausgebaut. Im Unterschied zum bestehenden Gesetz, muss neu die bzw. der Verantwortliche bei jeder Beschaffung von Personendaten informieren, sofern keine der gesetzlich festgeschriebenen Ausnahmen vorliegen. Die folgenden Mindestanforderungen müssen den betroffenen Personen bei der Beschaffung von Personendaten mitgeteilt werden: 

  • Bearbeitungszweck 
  • Identität und Kontaktdaten des Verantwortlichen 
  • allfällige Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekannt gegeben werden 
  • bei Bekanntgabe der Daten ins Ausland: der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten 

Somit müssen neu alle Unternehmen eine Datenschutzerklärung erstellen, wobei die obigen vier Mindestangaben enthalten sein sollten. Die neu geschaffenen Mindestangaben sind weniger umfassend als die der DSGVO. Hingegen geht das neue Schweizer Datenschutzgesetz hinsichtlich Informationspflicht bezüglich Datenbekanntgabe ins Ausland weiter als die DSGVO. 

Verzeichnis der Bearbeitungstätigkeiten 

Neu sieht das Datenschutzgesetz die Pflicht für Verantwortliche und Auftragsbearbeiterinnen bzw. Auftragsbearbeiter vor, je ein Verzeichnis ihrer Datenbearbeitungstätigkeiten zu führen. Die Angaben müssen dabei aktuell und genau sein. Eine ähnliche Pflicht kennt bereits die DSGVO. Das neue Datenschutzgesetz sieht jedoch Ausnahmen für Unternehmen vor, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitungen ein geringes Risiko von Persönlichkeitsverletzungen mit sich bringen.  

Sowohl für die Verantwortlichen als auch die Auftragsbearbeiterinnen und Auftragsbearbeiter wird der Mindestinhalt des Verzeichnisses vorgegeben. Dafür entfällt zukünftig die bisherige Pflicht zur Registrierung der Datensammlungen. Mit dieser Dokumentation soll die Transparenz der Datenbearbeitungen verbessert werden.  

Verschärfte Sanktionen und Ausbau der Befugnisse des EDÖB 

Im Gegensatz zum bestehenden Gesetz sieht das neue klarere Sanktionen vor. So werden zukünftig vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit bestraft. Verglichen mit der bestehenden Regelung wurden die Strafbestimmungen deutlich ausgebaut und verschärft. Wer die Auskunftspflichten, die Informationspflichten oder die Mitwirkungspflichten verletzt, kann auf Antrag mit einer Busse von bis zu CHF 250’000 bestraft werden. Auch für die Verletzung einer beruflichen Schweigepflicht, oder die Missachtung einer Verfügung kann mit bis zu CHF 250'000 bestraft werden. Gleiches gilt für die Verletzung von Sorgfaltspflichten. Diese sind: 

  • Missachtung der Regeln für die Datenbekanntgabe ins Ausland, 
  • Missachtung der Regeln für den Einbezug von Auftragsbearbeitern, und 
  • Missachtung der Mindestanforderungen an die Datensicherheit. 

Die Verfolgung und die Beurteilung strafbarer Handlungen fallen in den Zuständigkeitsbereich der Kantone. Der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) kann allerdings ebenfalls Strafanzeige erstatten. In Verfahren kommen ihm die Rechte einer Privatklägerin bzw. eines Privatklägers zu. Weiter kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen. Ebenso sind weiterhin auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz möglich. Obschon die verschiedenen Pflichten dem jeweiligen Unternehmen auferlegt werden, erfolgt die Zurechnung von Verletzungen der Strafbestimmungen innerhalb des Unternehmens den Leitungspersonen. Es sind jedoch auch Fälle denkbar, in welchen Personen ohne Leitungsfunktion für Verstösse sanktioniert werden können. 

Privacy by Design und Privacy by Default 

Das der DSGVO bereits bekannte «Privacy by Design-Prinzip» findet nun Eingang in das Schweizer Datenschutzgesetz. Dieses Prinzip besagt, dass schon im Stadium der Projektplanung die Datenbearbeitung technisch und organisatorisch so ausgestaltet werden muss, dass die Datenschutzvorschriften eingehalten werden.  

Zusätzlich sind die Verantwortlichen gehalten, mit geeigneten Voreinstellungen sicherzustellen, dass standardmässig nur für den jeweiligen Verwendungszweck erforderliche Personendaten verarbeitet werden können und die Bearbeitung auf das nötige Mindestmass beschränkt wird (sog. «Privacy by Default»). 

Meldung von Verletzungen des Datenschutzes 

Wenn eine Verletzung der Datensicherheit auftaucht, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, müssen die Datenverantwortlichen den EDÖB «so rasch als möglich» (im Vergleich dazu die DSGVO, welche 72 Stunden vorschreibt) informieren. Eine solche Verletzung liegt vor, wenn sie dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden. Eine solche Pflicht kennt die DSGVO ebenfalls. Verglichen mit der DSGVO sieht das neue Datenschutzgesetz eine mildere Regel vor, da es eine Meldung nur bei einem hohen Risiko vorsieht. Falls erforderlich, müssen die Verantwortlichen die betroffenen Personen zukünftig informieren, wobei den eigentlichen Arbeitsbearbeiterinnen und Auftrags-bearbeiter bereits eine Meldepflicht trifft. 

Folgenabschätzung 

Datenverarbeiterinnen und Datenverarbeiter oder aber auch Datenverantwortliche haben vorgängig eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine vorgesehene Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Eine Definition des «hohen Risikos» liefert der Gesetzgeber jedoch nicht. Höchstwahrscheinlich wird der EDÖB das in einer Verordnung regeln. Die Datenschutz-Folgenabschätzung hat bereits in der Planungsphase stattzufinden. Dabei müssen sowohl die Risiken als auch die geeigneten Massnahmen umschrieben werden. Sollte die Folgenabschätzung ergeben, dass trotz der geplanten Massnahmen ein zu grosses Risiko verbleibt, muss vorgängig zwingend eine Stellungnahme des EDÖB eingeholt werden. 

Auftragsbearbeiterin und Auftragsbearbeiter 

Durch Vertrag oder Gesetz kann ein Auftragsbearbeitungsverhältnis (Outsourcing wie bspw. in die Cloud) begründet werden. Dabei muss die Auftragsbearbeiterin bzw. der Auftragsbearbeiter die Daten gleich bearbeiten wie es die verantwortliche Person selbst tun dürfte. Ebenso hat sich die/der Verantwortliche zu vergewissern, dass die Auftragsbearbeiterin bzw. der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewähren. Diesbezüglich ändert sich an der bestehenden Rechtslage nichts. Neu ist jedoch gesetzlich festgehalten, dass das Hinzuziehen eines Dritten durch die Auftragsbearbeiterin oder den Auftragsbearbeiter nur mit vorgängiger Genehmigung des Verantwortlichen erlaubt ist: dies entspricht der Regelung der DSGVO. 

Häufige Fragen zum Datenschutz

Wer ist für die Einhaltung des neuen Datenschutzgesetzes verantwortlich?

Obschon die verschiedenen Pflichten dem jeweiligen Unternehmen auferlegt werden, erfolgt die Zurechnung von Verletzungen der Strafbestimmungen innerhalb des Unternehmens den Leitungspersonen. Es sind jedoch auch Fälle denkbar, in welchen Personen ohne Leitungsfunktion für Verstösse sanktioniert werden können.

Wie schnell müssen mögliche Verstösse dem EDÖB gemeldet werden?

Wenn eine Verletzung der Datensicherheit auftaucht, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, müssen die Datenverantwortlichen den EDÖB «so rasch als möglich» informieren. Die entsprechende Bestimmung in der DGSVO (72 Stunden) dürfte dabei als Orientierungshilfe dienen.  

Was umfasst das «Privacy by Design-Prinzip»?

Dieses Prinzip besagt, dass schon im Stadium der Projektplanung die Datenbearbeitung technisch und organisatorisch so ausgestaltet werden muss, dass die Datenschutzvorschriften eingehalten werden.