DSGVO mit "Swiss-Finish": Was Unternehmen über das revidierte Datenschutzgesetz wissen müssen

Neuer Geltungsbereich: Natürliche Personen

Eine der massgeblichen Änderungen betrifft den Geltungsbereich des revidierten Gesetzes. Während sich das DSG von 1992 sowohl auf die Daten von juristischen und natürlichen Personen bezieht, gilt das revidierte DSG ab September nur noch für Daten von natürlichen Personen. Auch müssen ausländische Unternehmen, welche in der Schweiz tätig sind, die Anforderungen erfüllen. Damit passt sich der Geltungsbereich an die europäische DSGVO an.

Datenschutzbeauftragte(r): Freiwillig aber empfohlen

Die hauptsächliche Rolle des Datenschutzberaters besteht neben der Ansprechstelle gegenüber der Aufsichtsbehörde (EDÖB), allfälligen Auskunftsbegehren nachzukommen sowie Mitarbeitende entsprechend zu schulen. Sie entspricht somit der Rolle des Datenschutzbeauftragten (DPO) im DSGVO. Im Gegensatz zum DSGVO sieht das rDSG für privatrechtliche Organisationen aber keine Pflicht vor eine/n DPO zu ernennen. Diese Freiwilligkeit kann aber unter Umständen mit erweiterten Auflagen und somit erhöhten Aufwänden beim Umgang mit den stattlichen Aufsichtsbehörden (EDÖP) verbunden sein.

Datenbearbeitungsverzeichnis und Datenschutz-Folgenabschätzung (DPIA)

Neu sind Unternehmen verpflichtet ein Datenbearbeitungsverzeichnis zu führen. Hierbei sind aber Ausnahmen für KMUs mit weniger als 250 Mitarbeitenden vorgesehen, deren Datenbearbeitung ein beschränktes Risiko mit sich bringt. Das Datenbearbeitungsverzeichnis muss insbesondere Informationen über die Bearbeitung personenbezogener Daten im Ausland enthalten. Im Gegensatz zur DSGVO enthält das DSG jedoch keine umfassenden Formanforderungen an das Datenbearbeitungsverzeichnis. 

Weiter haben die Unternehmen einen Prozess zur Datenschutz-Folgenabschätzung (DPIA) einzuführen. Es gibt auch eine spezifische Liste von Verarbeitungstätigkeiten, für die eine DPIA verpflichtend ist wie beispielsweise die Verarbeitung von sensiblen personenbezogenen Daten, die Verarbeitung von Daten zum Zwecke der Überwachung, die Verarbeitung von grossen Mengen von personenbezogenen Daten, die Verarbeitung von personenbezogenen Daten im Zusammenhang mit automatisierter Entscheidungsfindung u.a.

Das revidierte Datenschutzgesetz führt eine persönliche Strafbarkeit ein

Während die europäische DSGVO Bussen gegen Unternehmen vorsieht, können nach dem neuen Schweizer DSG die verantwortlichen Mitarbeitenden strafrechtlich zur Verantwortung gezogen werden. Die Verletzung von datenschutzrechtlichen Informations-, Auskunfts- und Mitwirkungspflichten kann mit Bussen von bis zu CHF 250’000.- bestraft werden. Weiter geregelt sind die Konsequenzen bei Verletzung der Sorgfaltspflichten, der beruflichen Schweigepflicht, des Missachtens von Verfügungen – allesamt ebenso strafbar mit Bussen von bis zu CHF 250’000.-.

Eine weitere nennenswerte Neuregelung stellt die Ausdehnung der bisherigen Schweigepflicht für spezifische Berufsgruppen (Anwälte, Ärzte, u.a) zu einer allgemeinen Schweigepflicht für alle Berufstätigen dar. Während die Pflicht zur Geheimhaltung von Personendaten bislang üblicherweise auf die Geschäfts- und Fabrikationsgeheimnisse des Arbeitgebers beschränkt waren, sind Arbeitnehmende durch die Neuregelung auch in Bezug auf die Kundendaten des Arbeitgebers zur Geheimhaltung verpflichtet. Bei Verletzung der Bestimmungen drohen Bussen von bis zu CHF 250’000.- zulasten der verantwortlichen natürlichen Person.

Diese Regelungen stellen eine deutliche Verschärfung der bisherigen Gesetzgebung dar und es ist daher notwendig, die betroffenen Mitarbeitenden entsprechend zu schulen.

Auskunftsbegehren und Rechte betroffener natürlicher Personen

Auch das rDSG definiert Rechte sowie Anforderungen in Bezug auf die Auskunftsbegehren von natürlichen Personen, welche innerhalb von 30 Tagen zu beantworten sind. Diese umfassen:

• Recht auf Auskunft: Betroffene Personen haben das Recht, von dem/r Verantwortlichen Auskunft über die sie betreffenden personenbezogenen Daten zu erhalten und über deren Herkunft, Empfänger und Zwecke der Verarbeitung.

• Form und Umfang: Die Auskunft muss in klarer und verständlicher Form erteilt werden und darf nur die erforderlichen Informationen enthalten.

• Zeitpunkt: Die verantwortliche Person muss innerhalb von 30 Tagen auf das Auskunftsbegehren reagieren.

• Sicherheitsmassnahmen: Die verantwortliche Person muss angemessene Sicherheitsmassnahmen ergreifen, um sicherzustellen, dass die Auskunft nur an die berechtigte Person geliefert wird.

• Recht auf Berichtigung, Löschung und Einschränkung: Betroffene Personen haben das Recht, unrichtige Daten berichtigen oder löschen zu lassen oder die Verarbeitung ihrer Daten einschränken zu lassen.

Es ist wichtig zu beachten, dass es in bestimmten Fällen Ausnahmen von diesen Anforderungen geben kann, z.B. wenn die Erteilung von Auskunft die Rechte und Freiheiten anderer Personen beeinträchtigen würde oder wenn es sich um geschäftsinterne Informationen handelt. Zudem gibt das rDSG im Gegensatz zum DSGVO nicht vor, elektronische Auskunftsbegehren kostenfrei zur Verfügung zu stellen.