Wir machen Web.

Wir machen Web.

041 449 50 66 · info@conseo.ch

Neue Datenschutzbestimmungen ab 1.9.2023

Ab dem 1. September 2023 werden das neue Datenschutzgesetz und die neue Datenschutzverordnung in Kraft treten. Bis dahin ist es wichtig, sich auf das neue Recht vorzubereiten. Rechtsanwalt Lucian Hunger von der Kanzlei VISCHER gibt einen Überblick über die wichtigsten Änderungen und gibt nützliche Tipps für die praktische Umsetzung.

Im kommenden Jahr wird die Totalrevision des Datenschutzgesetzes (DSG) und der Datenschutzverordnung (DSV), die bereits im September 2020 vom Parlament beschlossen wurde, am 1. September 2023 in Kraft treten. Ursprünglich sollte diese Rechtsordnung bereits in der zweiten Jahreshälfte 2022 in Kraft treten. Der Bund wollte jedoch den Unternehmen und ihren Datenschutzbeauftragten entgegenkommen und ihnen ausreichend Zeit für die Vorbereitungen einräumen. Ab September nächsten Jahres wird es jedoch ernst. Bis dahin bleibt jedoch noch genügend Zeit, um die eigenen Datenverarbeitungen zu überdenken und sich auf das neue Recht vorzubereiten.

Anwendungsbereich des neuen Datenschutzgesetzes: Wer ist betroffen?

Das neue Datenschutzgesetz und die dazugehörige Verordnung gelten für die Verarbeitung von Personendaten durch Private und Bundesorgane. Das bedeutet, dass private Unternehmen, Vereine und auch Privatpersonen davon betroffen sein können. Unternehmen und Vereine müssen in der Regel das Datenschutzrecht beachten, während Privatpersonen, die Personendaten ausschließlich zum persönlichen Gebrauch verarbeiten, von der Wahrung der datenschutzrechtlichen Vorgaben ausgenommen sind. Es ist jedoch zu beachten, dass die Ausnahme «zum persönlichen Gebrauch» nur für Datenbearbeitungen im engeren Privat- und Familienleben gilt, zu denen in der Regel keine öffentliche Website gehört. Private Website-Betreiber, ebenso wie kommerzielle, sind daher regelmässig von den neuen Datenschutzbestimmungen betroffen.

Was sind «Personendaten» und was bedeutet «Datenbearbeitung»?

Personendaten beziehen sich auf alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dies kann von einfacher Natur sein, wie zum Beispiel eine IP-Adresse.

Die Definition von «Datenbearbeitung» ist sehr weit gefasst und umfasst fast alle Aktivitäten im Zusammenhang mit Daten, wie beispielsweise Beschaffung, Speicherung, Verwendung, Änderung, Weitergabe, Archivierung, Löschung oder Vernichtung von Daten. Diese Definition hat sich mit der Einführung des neuen Datenschutzgesetzes nicht wesentlich geändert. Eine Neuerung betrifft jedoch die Verarbeitung von Daten von juristischen Personen, für welche das DSG und die DSV nicht mehr gelten. Beachten Sie jedoch, dass das DSG weiterhin für den Schutz der Mitarbeiterdaten von Unternehmen gilt.

Was muss ich denn nun tun, wenn ich für die Bearbeitung von Daten verantwortlich bin?

Es gibt viele Pflichten, die das Datenschutzrecht auferlegt, einige davon sind neu und andere bestehen bereits jetzt. Im Folgenden gebe ich dir einen Überblick über die wichtigsten Pflichten als Verantwortlicher.

Wenn Du personenbezogene Daten bearbeitest, gibt es einige wichtige Grundsätze, die Du beachten musst.

Diese ändern sich durch die Revision zwar nicht wesentlich, aber es gibt einige neue Pflichten, die Du beachten solltest. Du musst die Daten rechtmässig, nach Treu und Glauben und verhältnismässig bearbeiten. Wichtig ist, dass Du die Daten nur für den Zweck bearbeitest, für den sie erhoben wurden, und dass dieser Zweck auch für die betroffene Person erkennbar ist (Zweckbindung). Wenn Du personenbezogene Daten entgegen den Datenschutzgrundsätzen bearbeitest, kann dies zu einer Persönlichkeitsverletzung führen. Eine solche Verletzung kann jedoch gerechtfertigt sein, wenn es ein überwiegendes privates oder öffentliches Interesse gibt oder die betroffene Person einwilligt. Du musst Personendaten löschen oder anonymisieren, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind.

Wenn Du ein Unternehmen oder eine Organisation mit 250 oder mehr Mitarbeitenden bist, musst Du ein Inventar über sämtliche Datenbearbeitungen führen. Wenn Du weniger als 250 Mitarbeitende hast, bist Du grundsätzlich davon befreit, es sei denn, es werden besonders schützenswerte Personendaten in großem Umfang bearbeitet oder es wird ein Profiling mit hohem Risiko durchgeführt.

Wenn Du personenbezogene Daten bearbeitest, musst Du die betroffenen Personen über den Umfang und den Zweck der Bearbeitungen informieren. Du solltest eine Datenschutzerklärung veröffentlichen und folgende Tipps beachten:

  • Man sollte alle Datenbearbeitungen transparent machen und nicht nur diejenigen, die im Zusammenhang mit der Website stehen.
  • Die Datenschutzerklärung sollte leicht auf der Website zu finden sein und am besten auf jeder Seite im Footer platziert werden.
  • Es ist nicht erforderlich, dass Benutzer die Datenschutzerklärung akzeptieren (z.B. bei Formularen), stattdessen sollte darauf hingewiesen werden, wo sie zu finden ist.
  • Bitte beachte, dass aufgrund der neuen, umfangreicheren Informationspflichten möglicherweise bestehende Datenschutzerklärungen angepasst werden müssen.

Datensicherheit

Es ist wichtig, dass der Zugriff auf Personendaten nur von denjenigen Personen erfolgt, die ihn auch wirklich benötigen, wie beispielsweise Mitarbeitende oder Vereinsmitglieder für die Erfüllung ihrer Arbeit. Technische und organisatorische Massnahmen (TOMs) sollten dies sicherstellen. Beispiele für technische Massnahmen sind eingeschränkte Zugriffsrechte oder Firewalls, während organisatorische Massnahmen Schulungen und Weisungen umfassen können. IT-Systeme und Websites sollten auf dem neuesten Stand gehalten werden, um Sicherheitslücken zu vermeiden, die zu schwerwiegenden Folgen führen könnten.

Falls es dennoch zu Verletzungen der Vertraulichkeit, Integrität oder Verfügbarkeit von Personendaten kommt und dies ein hohes Risiko für betroffene Personen darstellt, muss dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Der Bundesrat plant zudem, eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen einzuführen, bei der auch das Nationale Zentrum für Cybersicherheit (NCSC) informiert werden muss. In solchen Fällen ist es ratsam, sich beraten zu lassen, um angemessen zu handeln.

Umgang mit der Bekanntgabe von Daten ins Ausland

Wenn du Daten ins Ausland weitergibst, musst du sicherstellen, dass das Empfängerland ein angemessenes Datenschutzniveau aufweist oder dass zusätzliche Massnahmen ergriffen werden. Diese Anforderung gilt bereits nach dem geltenden Recht. Es geht hierbei nicht nur um die aktive Übertragung von Daten, sondern auch um den Zugriff auf sie aus der Ferne. Der Begriff «Datenweitergabe» ist also weiter gefasst als man denken mag. Zu den erforderlichen Maßnahmen können beispielsweise der Abschluss von Standardvertragsklauseln (EU SCCs) sowie ergänzende Bestimmungen für die Schweiz gehören (Swiss amendments).

Überprüfe, welche Dienstleister und Anbieter du in Verbindung mit deiner Website und anderen Angeboten nutzt. Wenn sie sich im Ausland befinden, solltest du sicherstellen, dass das betreffende Land über ein angemessenes Datenschutzniveau verfügt oder dass du zusätzliche Maßnahmen ergriffen hast, falls dies nicht der Fall ist.

Rechte von Betroffenen, Einwilligung, Privacy by Design, Berufsgeheimnis, Datenschutz-Folgenabschätzung und Datenschutzberater in der Schweiz

Personen, deren Daten bearbeitet werden, haben das Recht auf Auskunft, Korrektur und Löschung ihrer Daten. Allerdings gibt es Einschränkungen. Wenn für eine Datenbearbeitung eine Einwilligung erforderlich ist, muss die betroffene Person über die Folgen der Einwilligung informiert werden und die Einwilligung muss freiwillig erfolgen. Für besonders schützenswerte Daten und Hochrisiko-Profiling ist eine explizite Einwilligung erforderlich.

Um den Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen zu gewährleisten, müssen Datenbearbeitungen so gestaltet werden, dass das Datenschutzrecht eingehalten wird und die Voreinstellungen möglichst datenschutzfreundlich sind. Betreiber von Websites, Apps oder Software müssen die datenschutzfreundlichste Variante als Standard einstellen. Geheime Personendaten müssen im Rahmen des Datenschutzrechts geheim gehalten werden, es sei denn, es gibt eine ausdrückliche Zustimmung oder eine gesetzliche Verpflichtung zur Offenlegung. Bei neuen Datenbearbeitungen mit potenziell hohem Risiko für betroffene Personen muss eine Datenschutz-Folgenabschätzung durchgeführt werden.

Unter dem neuen Datenschutzrecht ist es möglich, einen Datenschutzberater im Unternehmen zu benennen, obwohl es keine Pflicht dazu gibt. Ein Datenschutzberater nach Schweizer Recht unterscheidet sich vom Datenschutzbeauftragten nach der DSGVO, der in bestimmten Fällen zwingend erforderlich ist, wenn die DSGVO anwendbar ist.

Wenn du als Verantwortlicher im Ausland Personendaten in der Schweiz bearbeitest, gibt es bestimmte Voraussetzungen, unter denen du einen Vertreter in der Schweiz benennen musst. Folgende Fälle sind davon betroffen:

  • Wenn du personenbezogene Daten im Zusammenhang mit dem Angebot von Waren und Dienstleistungen in der Schweiz verarbeitest oder das Verhalten von Personen beobachtest, musst du bestimmte Anforderungen erfüllen.
  • Das gleiche gilt, wenn die Datenbearbeitung umfangreich und regelmässig erfolgt oder ein hohes Risiko für die betroffenen Personen darstellt.
  • In diesen Fällen musst du sicherstellen, dass angemessene Sicherheitsvorkehrungen getroffen werden, um die Daten zu schützen und dass die betroffenen Personen über die Datenbearbeitung informiert werden.

Strafbarkeit

Ab dem 1. September 2023 kann es strafbar sein, bestimmte Pflichten zu verletzen, insbesondere in Bezug auf die Strafbarkeit. Im Gegensatz zur DSGVO betrifft die Strafbarkeit jedoch nicht das Unternehmen, sondern die für die Verletzung verantwortliche natürliche Person. Die verantwortlichen Personen können Mitglieder der Geschäftsleitung oder andere Entscheidungsträger im Unternehmen sein oder auch Personen, die eine Pflichtverletzung begangen haben (z.B. Verletzung der Geheimhaltung). Im Schweizer Recht ist jedoch nur die bewusste Begehung strafbar.

Es besteht ein Strafbarkeitsrisiko mit einer Geldbusse von bis zu CHF 250’000 für folgende Verstösse:

  • Wenn du die Informationspflichten verletzt, zum Beispiel keine oder nur eine ungenügende Datenschutzerklärung zur Verfügung stellst.
  • Wenn du keinen Vertrag mit einem Auftragsbearbeiter abschliesst, obwohl dies gesetzlich vorgeschrieben ist.
  • Wenn du die Datensicherheit verletzt, zum Beispiel indem du Daten nicht vertraulich behandelst, nicht für deren Verfügbarkeit sorgst oder ihre Integrität nicht gewährleistest. Auch das Nichteinhalten von technischen und organisatorischen Massnahmen (TOMs) kann strafbar sein.
  • Wenn du Personendaten in Länder ohne angemessenes Datenschutzniveau bekannt gibst, ohne zusätzliche Schutzmassnahmen zu treffen oder wenn keine Ausnahme einschlägig ist. Dies kann zum Beispiel der Fall sein, wenn keine Einwilligung der betroffenen Person vorliegt.
  • Wenn du deine Auskunftspflichten verletzt, zum Beispiel wenn du betroffenen Personen keine Auskunft über ihre gespeicherten Daten gibst oder diese unvollständig sind.
  • Wenn du das «kleine Berufsgeheimnis» verletzt, das heisst, wenn du als beruflich Schweigepflichtiger Informationen von betroffenen Personen weitergibst, die du aufgrund deiner beruflichen Tätigkeit erhalten hast.

Wie weiter?

Eine sinnvolle Massnahme für Unternehmen, Organisationen oder Vereine ist die Bestimmung einer internen Ansprechperson für Datenschutzfragen. Diese Person benötigt kein spezifisches Fachwissen im Sinne des Gesetzes (siehe oben), sondern sollte über grundlegende Kenntnisse im Datenschutz verfügen und als Ansprechpartner für entsprechende Anfragen im Unternehmen oder Verein zur Verfügung stehen. Das notwendige Wissen kann durch öffentliche Quellen oder durch Schulungen erworben werden und bei Bedarf kann externe Unterstützung in Anspruch genommen werden.