Der 1. September 2023 rückt immer näher: Datenschutzmassnahmen, die von Schweizer Unternehmen umzusetzen sind
Das neue Schweizer Datenschutzgesetzt (nDSG) tritt in ca. anderthalb Monaten (ohne Übergangsfrist) in Kraft tritt, und vom Gesetzgeber wird «erwartet» wird, dass alle Schweizer Unternehmen ab dem 1. September 2023 ihre jeweils erforderlichen datenschutzrechtlichen Anforderungen und Massnahmen erfüllt bzw. implementiert haben, um somit gemäss dem «neuen» Gesetzt entsprechend «datenschutzkonform» zu agieren.
Dabei geht es um Neuerungen, die insbesondere bei den Informations-, Dokumentations- und Meldepflichten mehr von den Unternehmen abverlangen. Wir streifen im Folgenden die für Sie wichtigsten Auswirkungen und sprechen dazu Empfehlungen aus.
Das nDSG ist im Übrigen auch explizit für Unternehmen mit Sitz im Ausland anwendbar, wenn deren Bearbeitungen von Personendaten sich auf betroffene Bürger:innen in der Schweiz auswirken; unter gewissen Voraussetzungen müssen diese Unternehmen zusätzlich eine Vertretung in der Schweiz bestimmen.
Erweiterte Informationspflichten
Der Schutz, um den es geht, bezieht sich auf «betroffene Personen»; konkret sind damit «natürliche Personen» gemeint. Hierzu definiert das Gesetz Mindestangaben, die (den betroffenen Personen) bereitzustellen sind.
- Die Identität und Kontaktdaten des Verantwortlichen sind zu nennen; falls ein(e) [interner oder externe] Datenschutzberater(in) bestellt wird, sind auch dessen/deren Kontaktdaten zu nennen.
- Die Bearbeitungszwecke der Personendaten sind zu nennen.
- Die Empfänger und die Empfänger-Kategorien bei der Weitergabe bearbeiteter Personendaten sind zu nennen.
- Wenn Personendaten ins Ausland bekanntgegeben bzw. transferiert werden, sind der jeweils zutreffende Staat sowie die für die Sicherheit der betroffenen Daten vereinbarten und gesicherten Datenschutzgarantien zu nennen.
- Wenn automatisierte Einzelentscheide und Profiling stattfinden, muss darüber informiert werden.
Die Mindestangaben müssen präzise, transparent, verständlich und leicht zugänglich dargelegt werden. (Eine bestimmte Form ist nicht vorgeschrieben.)
Empfehlungen: Nutzen Sie aus Beweisgründen die Schriftform zur Mitteilung dieser Informationen. Da Ihre Datenschutzhinweise in der Praxis regelmässig Website-Besuchern, Mitarbeitenden, Kunden, Lieferanten, Partnern, Bewerbern etc. bekanntgegeben werden (müssen), hat sich die Datenschutzerklärung auf der eigenen Website als ideale und klassische Kommunikationsplattform bewährt. Andere betroffene Personenkategorien können Sie mittels Produktblättern, Kunden- oder Mitarbeiterinformationen adressieren.
Auslandstransfers von Personendaten
Im nDSG hat sich an dem Grundprinzip des geltenden DSG für Datentransfers ins Ausland nichts geändert: Das Ziel-Land (bzw. der Staat) im Ausland muss über angemessene Datenschutzgarantien verfügen, oder es müssen weitergehende Massnahmen ergriffen werden, die das erforderliche Datenschutzniveau erreichen.
Weitergehende, teilweise hoch aufwändige Massnahmen sind in der Regel vom EDÖB genehmigte Standardvertragsklauseln oder, im Konzernumfeld, interne Datenschutzvorschriften (Binding Corporate Rules) sowie ggf. besonders sichere Verschlüsselungsmechanismen für transferierte Personendaten.
Ab dem 1. September 2023 wird die neue Liste der Staaten, Gebiete und internationalen Organe mit einem aus Schweizer Sicht angemessenen Datenschutz vom Bundesrat publiziert. Folgende Staaten werden derzeit als Staaten mit angemessenem Datenschutz bewertet: EU/EWR, Andorra, Argentinien, Kanada, Guernsey, Isle of Man, Faröer Inseln, Israel, Jersey, Neuseeland, Vereinigtes Königreich und Uruguay.
Empfehlungen: Wenn Sie Personendaten ins Ausland bekanntgeben, müssen Sie vorher prüfen, ob dafür ein angemessenes Datenschutzniveau gewährleistet ist. Achten Sie darauf, dass der Einsatz Ihrer IT-Dienstleister oft eine solche Bekanntgabe aktivieren kann, beispielsweise wenn ausländische Cloud-Plattformen genutzt werden, oder wenn Services wie Newsletter-Versand, Projektmanagement, CRM- und Terminplanungs-Tools über ausländische Cloud-Server laufen.
Um die Zulässigkeit von «Datenübermittlungen mit Auslandbezug» nach dem nDSG richtig und sorgfältig zu prüfen und durchzuführen, bietet der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine (in neuster, angepasster Fassung) hilfreiche Prüfungsanleitung. Diese Anleitung können Sie über folgende Verlinkung hochladen:
Eine Liste der Staaten mit einem angemessenen Datenschutzniveau kann in Anhang 1 der neuen Datenschutzverordnung (DSV) über diesen Link eingesehen werden.
Outsourcing
Wenn Sie Daten in ein Rechenzentrum auslagern, Cloud-Dienste nutzen, externe Dienstleister für Backup-Services oder Datenträger-Vernichtungen beauftragen, Call-Center, externe Lohnbuchhaltung, Print-Services etc. einsetzen, übertragen Sie (durch «Outsourcing») die Bearbeitung von Personendaten an Dritte. Die datenschutzgesetzliche Regelung dieser Prozesse ändert sich mit dem nDSG nicht. Bei den beispielhaft genannten «Dritten» handelt es sich im datenschutzrechtlichen Kontext um «Auftragsbearbeiter». Sie, als der «Auftraggeber» in diesen Konstellationen, bleiben für den Datenschutz verantwortlich – und deshalb müssen Sie bei Ihren «Auftragsbearbeitern» sicherstellen, dass diese das nDSG im gleichen Masse einhalten, wie Sie selbst es tun müssen, um Datenschutzverstösse zu verhindern.
Im nDSG werden neu zwei zusätzliche Aspekte geregelt:
- Grundlage für eine Auftragsbearbeitung ist zukünftig immer der Abschluss eines Auftragsbearbeitungs-Vertrags mit allen Dienstleistern, die Personendaten – über deren Mittel und Zwecke der Bearbeitung allein Sie entscheiden – in Ihrem Auftrag bearbeiten.
- Wenn einer Ihrer Auftragsbearbeiter einen weiteren (Sub-) Auftragsbearbeiter im Bearbeitungsprozess Ihres Auftrags einsetzen will, darf er dies nicht ohne Ihre vorgängige Genehmigung.
Empfehlungen: Wählen Sie vor diesem Hintergrund Ihre Auftragsbearbeiter sorgfältig aus. Instruieren Sie Ihre Auftragsbearbeiter angemessen, erteilen Sie erforderliche Weisungen und führen Sie dort regelmässige Überprüfungen durch. Im Konzern-Bereich kommen regelmässig (interne) Auftragsbearbeitungsverhältnisse zustande, die mit der gleichen datenschutzrechtlichen Sorgfalt zu behandeln sind. Ein Auftragsbearbeitungs-Vertrag muss grundsätzlich immer zur Erfüllung bzw. Einhaltung von Mindestmassnahmen zur Gewährleistung der Datensicherheit verpflichten.
Datenschutzverletzungen
Wenn eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, ist gemäss dem nDSG der Vorfall dem EDÖB so rasch als möglich zu melden. Eine Frist (wie sie beispielsweise unter der EU-DSGVO mit maximal 72 Stunden angesetzt wird) wird im nDSG nicht vorgegeben. Wenn es zu ihrem Schutz erforderlich wird, müssen hier betroffene Personen so schnell wie möglich informiert werden.
Für Meldungen von Datenschutzverstössen stellt der EDÖB ein Online-Meldeformular zur Verfügung: Meldung von Datensicherheitsverletzungen (Art. 24 nDSG)
Empfehlungen: Stellen Sie sicher, dass Ihre Mitarbeitenden eine «Datensicherheitsverletzung» schnellstmöglich erkennen können, und wie und an wen die Meldung an die verantwortliche Stelle durchzuführen ist. Sehr effektiv erweist sich die Einrichtung eines koordinierten Notfall-Teams, bestehend aus entsprechend geschulten und fachlich qualifizierten Mitarbeitenden.
Recht auf Auskunft
Jede Person hat beim "Verantwortlichen" ein Auskunftsrecht über die von ihm zu ihrer Person in einer Datensammlung vorhandenen und gespeicherten bzw. bearbeiteten Daten. Im jetzigen Art. 8 des DSG wird nicht näher darauf eingegangen, welche Informationen genau über die Daten herausgegeben werden müssen, sondern nur definiert, dass informiert werden muss, welche Daten vorhanden sind, von wo sie stammen sowie über den Zweck der Datensammlung und ggf. die gesetzliche Grundlage zur Bearbeitung der Daten.
In Artikel 25 Absatz 2 nDSG gibt es neu eine Aufzählung von spezifischen Informationen, die bei einem Auskunftsgesuch herauszugeben sind. Der Gesetzestext hält hier beispielsweise fest, dass darüber zu informieren ist, wer Empfänger der Daten ist; zumindest muss durch die «bearbeitende Person» eine Kategorie von Empfängern angegeben werden können. Mit dieser neuen Aufzählung soll u. a. ein «konkretisierter» Schutz vor einer ungerechtfertigten Datenbearbeitung bewirkt werden, damit eine Verletzung der Persönlichkeitsrechte einfacher geltend gemacht werden kann.
Hinweis: Für eine solche Auskunft wendet man sich an den Inhaber der Datensammlung bzw. (nach neuem Recht) an den «Verantwortlichen». Die Praxis zeigt, dass meist keine telefonische Auskunft gewährt wird, da Gesuchstellende nicht (sicher) identifiziert werden können. In der Regel erfolgt ein Auskunftsgesuch demnach schriftlich, zusammen mit einer Ausweiskopie; (Vorsicht: auch hier muss der Datenschutz gewahrt bleiben). Eine Auskunft ist innerhalb von 30 Tagen zu erteilen. Unter bestimmten, begründeten Umständen dürfen Sie allerdings auch eingeschränkt Auskunft erteilen oder diese sogar verweigern.
Recht auf Datenherausgabe
Das Recht auf eine Datenherausgabe oder -übertragung ist neu und wird in Artikel 28 nDSG geregelt. Danach kann jede Person vom Verantwortlichen die Herausgabe ihrer Personendaten, die sie ihm bekanntgegeben hat, «in einem gängigen elektronischen Format verlangen, allerdings nur dann, wenn die Daten automatisiert bearbeitet werden oder die Daten mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und dem Betroffenen bearbeitet werden».
Darüber hinaus haben betroffene Personen bei automatisierten Einzelentscheiden ein Widerspruchsrecht, wonach sie ihre Position hierzu darlegen dürfen und verlangen können, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.
Recht auf Löschung, Sperrung oder Berichtigung von Daten
Es kann (und wird sicherlich auch vermehrt) vorkommen, dass Personendaten, die in Ihrem Unternehmen über betroffene Personen gesammelt wurden, nicht (mehr) stimmen und berichtigt werden sollen, oder dass man Sie auffordert, die Daten zu löschen oder zu sperren. Diese Themen werden in Artikel 6 in den Absätzen 4 und 5 nDSG, der sich mit den Grundsätzen der Datenbearbeitung auseinandersetzt, klar und verständlich dargelegt:
1 [...]
4 [Personendaten] werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
5 Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Die Angemessenheit der Massnahmen hängt namentlich ab von der Art und dem Umfang der Bearbeitung sowie vom Risiko, das die Bearbeitung für die Persönlichkeit oder Grundrechte der betroffenen Personen mit sich bringt. [...]
Besonderheiten bei der Datenlöschung
Natürliche Personen können eine Löschung mündlich oder schriftlich verlangen; ein dadurch angestossenes Verfahren muss innerhalb von 30 Tagen abgeschlossen werden; eine Verlängerung des Zeitraums um weitere 30 Tage ist möglich, wenn ein Unternehmen dies plausibel begründen kann, beispielsweise weil die Bereitstellung der Daten technisch noch nicht erfolgreich war.
Ein ausgeübtes Löschrecht bedeutet, dass Sie, als Verantwortlicher, in der Lage sein müssen, die massgeblichen Daten zu löschen, vorausgesetzt, es stehen dem keine gesetzlichen Aufbewahrungspflichten entgegen.
In der Praxis ist diese Anforderung aufgrund beschränkter Systemkapazitäten jedoch nicht immer leicht erfüllbar, und tatsächlich tritt bei vielen bestehenden Systemen häufig der Umstand auf, dass die Löschung von Daten nur beschränkt möglich ist, beispielsweise weil massgeblichen Daten gegebenenfalls eine bedeutende Rolle bei der Datenintegrität im Unternehmens spielen. Bei grösseren Unternehmen kommt ausserdem die Komplexität der Systemarchitektur sowie die Zahl der betroffenen Systeme hinzu, die die Erfüllung derartiger Anträge erschwert. Fazit: Viele Unternehmen setzen fragmentierte Systemarchitekturen ein und verfügen nicht über einheitliche bzw. ganzheitliche Systembestände. Daten werden nicht nur auf den lokalen Systemen, sondern auch in Cloud-Diensten gespeichert.
Es läuft nicht selten darauf hinaus, dass der exakte Ort, an dem die Daten gespeichert und bearbeitet werden (beispielsweise die Ortung der genauen Datenquellen sowie Art und Zeitpunkt der Archivierung von veralteten Daten) häufig nicht (mehr) offensichtlich ist.
Empfehlungen: Das Recht auf Datenlöschung birgt einige Herausforderungen. Für eine effiziente, strategisch zielgerichtete und automatische Löschfunktion sollten Sie Folgendes berücksichtigen (und im Vorfeld geklärt haben):
- Die Bestimmung der Anwendungen, die Daten-Attribute bearbeiten.
- Legen Sie die Anforderungen für die Löschung von Personendaten im Archivsystem fest.
- Die Daten-Attribute sollten mit der Datensystematik verlinkt werden, um so Zweck und Rechtsgrundlage bestimmen zu können.
- Identifizieren Sie die Datenquelle jeder Anwendung.
- Bereinigen Sie die Archive.
- Legen Sie Anforderungen für die Archive fest, sodass der gesetzliche Aufbewahrungszeitraum der Daten-Attribute berücksichtigt wird, und zwar so, dass Zwecke und Rechtsgrundlagen für die Bearbeitung bzw. Speicherung von Personendaten entsprechend angepasst werden.
- Gewährleisten Sie, dass es keine Überschneidung von Personendaten zwischen dem Archiv und den betrieblichen Anwendungen gibt.
- Aktualisieren Sie Ihre Datenschutzrichtlinien.
Sie müssen in der Lage sein, den Anfragen und Anliegen von betroffenen Personen im Rahmen des nDSG standzuhalten. Damit Anfragen technisch möglich sind, sind präventive Massnahmen wie Prozessvorgaben und (regelmässige) Schulungen der Mitarbeitenden notwendig, um sie datenschutzkonform und innerhalb der gesetzlichen Fristen bearbeiten zu können.
Verletzung der Sorgfaltspflicht
Im nDSG ist die Strafbestimmung bei Verletzung einer Sorgfaltspflicht neu. Dies wird in Artikel 61 nDSG geregelt.
Demnach können «private Personen» (Verantwortliche) mit einer Busse bis zu CHF 250 000 bestraft werden, wenn
- sie Personendaten ohne Rechtfertigung ins Ausland bekanntgeben;
- wenn sie die Datenbearbeitung einem Auftragsbearbeiter übergeben, ohne dass die erforderlichen Voraussetzungen erfüllt worden sind;
- wenn sie die Mindestanforderungen an die Datensicherheit nicht einhalten.
Das Schutzziel dieses nDSG-Artikels bezweckt unter anderem, der zunehmendem globalen Digitalisierung Rechnung zu tragen, und zwar vor dem Hintergrund, dass einmal weitergegebene Personendaten nicht einfach wieder zurückgenommen werden können. Zumindest wird durch die Bestimmung eine gewisse Genugtuung für betroffene Personen geschaffen, dass eine ungerechtfertigte Datenherausgabe an Drittpersonen bussgeldbewehrt ist.
Bearbeitungsverzeichnis
Die Pflicht zum Führen eines «Verzeichnisses der Bearbeitungstätigkeiten» (Bearbeitungsverzeichnis), in dem alle Bearbeitungen von Personendaten dokumentiert werden, ist neu.
Die Pflicht gilt grundsätzlich für Unternehmen mit mehr als 250 Mitarbeitenden.
Wenn Ihr Unternehmen weniger als 250 Mitarbeitende beschäftigt, sind Sie vom Führen eines Bearbeitungsverzeichnisses befreit, sofern
- in Ihrem Unternehmen keine besonders schützenswerten Personendaten in grossem Umfang bearbeitet werden;
- in Ihrem Unternehmen kein Profiling mit hohem Risiko durchgeführt wird.
Das Bearbeitungsverzeichnis verschafft einen Überblick über datenschutzrelevante Aktivitäten in Ihrem Unternehmen.
Für jede Bearbeitung sind folgende Mindestangaben zu erfassen:
- Die Identität des Verantwortlichen.
- Die Bearbeitungszwecke sowie die Dauer der Aufbewahrung von Personendaten.
- Eine Beschreibung der Kategorien betroffener Personen sowie der Kategorien von Personendaten, unter denen Personendaten bearbeitet werden.
- Bei Weitergabe bzw. Bekanntgabe von Personendaten, die Empfängerkategorien.
- Bei Weitergabe bzw. Bekanntgabe von Personendaten ins Ausland, die Angabe des jeweiligen Empfänger-Staates bzw. des empfangenden internationalen Organs sowie Schutzgarantien, wenn kein angemessenes Datenschutzniveau im betreffenden Ausland gewährleistet ist.
- Technische und organisatorischen Massnahmen zur Gewährleistung der Datensicherheit.
Empfehlungen: Führen Sie für Ihr Unternehmen ein Bearbeitungsverzeichnis auch dann, wenn Sie von der Pflicht befreit sind. Für Ihre Datenschutz-Compliance ist das darin enthaltene und aufgebaute Wissen von unschätzbarem Wert, denn es bietet die Basis für Risikoanalysen sowie möglicherweise durchzuführende Datenschutz-Folgenabschätzungen und erfüllt effizient und zeitnah Ihre Informationspflichten, eingehende Auskunftsbegehren und (durchgeführte bzw. geplante) Zertifizierungsanforderungen. Wenn Ihre Prozess- und Schnittstellendokumentationen bereits gut dokumentiert sind, ist das Verzeichnis zügig erstellt. Eine bestimmte Form für das Verzeichnis gibt der Gesetzgeber nicht vor.
Sensible Personendaten und Datenbearbeitungen mit hohem Risiko
Durch das nDSG wird der Umfang «besonders schützenswerter» Personendaten um genetische und biometrische Daten erweitert.
Damit umfassen die besonders schützenswerten Personendaten gemäss Artikel 5 Buchstabe c nDSG folgende Datenkategorien:
- Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten.
- Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie.
- Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen.
- Daten über Massnahmen der sozialen Hilfe.
- Genetische Daten.
- Biometrische Daten, die eine natürliche Person eindeutig identifizieren.
Wenn Sie in Ihrem Unternehmen besonders schützenswerte Personendaten bearbeiten, wird (über die neue Gesetzgebung) ein hoher Erfüllungsgrad der Anforderungen an die eingesetzten technischen und organisatorischen Massnahmen gestellt (beispielsweise bei der Möglichkeit zur Daten-Verschlüsselungen oder beim Einholen ausdrücklicher Einwilligungen).
Wenn ausserdem besonders schützenswerte Personendaten in grossem Umfang bearbeitet werden oder sogar ein Profiling mit hohem Risiko stattfindet, muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden, und alle betroffenen Bearbeitungen sind zusätzlich zu protokollieren.
Bei der Bearbeitung von Personendaten auf diesem Niveau ist die Einführung und Durchsetzung eines «Bearbeitungsreglements» ein notwendiges Muss. Das Reglement hat insbesondere Angaben zur internen Organisation, zu Datenbearbeitungs- und Kontrollverfahren und zu Massnahmen der Datensicherheit zu beinhalten und ist ergänzend zum Bearbeitungsverzeichnis zu führen.
Im Übrigen ist eine DSFA auch dann durchzuführen, wenn Ihr Unternehmen eine neue Technologie verwenden will, oder wenn Sie beabsichtigen, eine systematische und umfangreiche Überwachung öffentlicher Bereiche einzurichten. Vor Inbetriebnahme bzw. Live-Schaltung des geplanten Vorhabens müssen Sie eine DSFA durchführen und anschliessend Massnahmen zur Risikobehandlung festlegen. Wenn trotz umgesetzter Massnahmen ein hohes Risiko bei der Datenbearbeitung verbleibt, müssen Sie entweder den/die von Ihnen bestellten Datenschutzberater(in) oder den EDÖB konsultieren.
Die Bearbeitungs-«Protokollierung» umfasst folgende Mindestinformationen:
- Das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten von Personendaten.
- Die Identität der Personen, die die Bearbeitung(en) vorgenommen haben.
- Die Art, das Datum und die Uhrzeit der Bearbeitung.
- die Identität des/der Empfänger(s) der Daten.
Die Protokollierung ist mindestens ein Jahr getrennt vom Ursprungssystem aufzubewahren.
Empfehlungen: Sie können – und sollten – proaktiv und regelmässig (mindestens 1 x jährlich) eine sogenannte «Schwellwertanalyse» (SWA) für relevante Risikobereiche durchführen; hierbei handelt es sich um eine Vorab-Risikoanalyse, die als Vorsondierung zu einer ggf. notwendigen (und weitaus aufwändigeren) DSFA dient. Die SWA ist wesentlich kürzer gehalten als eine DSFA, eignet sich aber ideal zur Identifizierung markanter Risikobereiche, die auch vorbewertet werden, um das Vorhandensein sowie das Potenzial hoher Datenschutzrisiken frühzeitig zu erkennen und die Notwendigkeit zur Durchführung einer DSFA ggf. zu bestätigen.
Privacy by Design und Privacy by Default
Das nDSG gibt neu vor, dass, soweit zutreffend, bereits ab der Planung von (IT) Entwicklungsvorhaben die Grundsätze und Vorgaben des Datenschutzgesetzes einzubeziehen sind. Datenbearbeitungen müssen nunmehr auf das für den Verwendungszweck notwendige Mindestmass voreingestellt sein, um den Grundsätzen der Datenminimierung, Verhältnismässigkeit und Zweckbeschränkung gerecht zu werden.
Empfehlungen: Wenn Sie neue Entwicklungsvorhaben planen oder bereits durchführen, erweitern Sie die Anforderungskataloge für die Entwicklung neuer Software-Anwendungen, Produkte und Dienstleistungen um die entsprechenden Datenschutzanforderungen. Wenn Sie die Beschaffung oder Entwicklung ausschreiben, stellen Sie sicher, dass die Erfüllung der Datenschutzanforderungen Bestandteil des Ausschreibungsverfahrens bzw. des Entwicklungsauftrags ist.
Datenschutzberater(in)
Der EDÖB fasst auf seinem Web-Auftritt die Stellung eines/einer benannten Datenschutzberater(in) wie folgt zusammen:
"Das Datenschutzgesetz ermöglicht den Unternehmen die Selbstregulierung. Wenn sie eine Datenschutzberaterin oder einen Datenschutzberater ernennen und dem EDÖB melden, profitieren sie von Erleichterungen bei der Datenschutz-Folgenabschätzung. Position und Person der Datenschutzberaterin oder des Datenschutzberaters müssen jedoch gewissen Kriterien genügen. Die Datenschutzberaterin oder der Datenschutzberater überwacht die Einhaltung der Datenschutzvorschriften innerhalb eines Unternehmens und berät den Verantwortlichen in Datenschutzbelangen."
Genaueres hierzu kann man beim EDÖB online über folgenden Link abrufen:
Datenschutzberaterin und -berater
Der/die Datenschutzberater(in) [DSB] ist nicht nur Anlaufstelle bzw. Ansprechpartner(in) für alle Datenschutzfragen und -belange innerhalb Ihres Unternehmens, sondern dient ebenso als Schnittstelle zu den Datenschutzbehörden, insbesondere zum EDÖB. Wie der EDÖB ausführt, müssen hierzu benannte Personen in angemessener Weise über die erforderlichen Kenntnisse verfügen.
Grundsätzliches zur Stellung eines/einer DSB
- Wenn Sie sich für Ihr Unternehmen zur Bestellung eines/einer DSB entscheiden, sind dessen/deren Kontaktdaten in Ihrer Datenschutzerklärung anzugeben.
- Ein(e) DSB muss unabhängig im Unternehmensumfeld agieren können und darf nicht weisungsgebunden sein; eine Ausübung von Exekutivfunktionen innerhalb des Unternehmens ist deshalb ausgeschlossen.
- Sie müssen dem/der DSB alle nötigen Mittel und Gelegenheiten anbieten, um im Compliance Management innerhalb Ihres Unternehmens mitwirken und aktiv teilhaben zu können.
Grundsätzliches zum Profil eines/einer DSB
Einem/einer DSB werden insbesondere folgende Aufgaben und Zuständigkeiten zugewiesen:
- Die Durchführung von Sensibilisierungsmassnahmen zum Datenschutz im Unternehmen, und zwar durch Schulungen und Beratung des Datenverantwortlichen und der Mitarbeitenden in Fragen des Datenschutzes.
- Die aktive und wirksame Beteiligung an der Umsetzung von Datenschutzbestimmungen in Ihrem Unternehmen.
- Die Kontrolle und Überwachung der Bearbeitungstätigkeiten von Personendaten sowie der entsprechenden Vorschriften im Unternehmen; wenn ein/eine DSB dabei Verletzungen der Datenschutzbestimmungen bzw. -richtlinien feststellt, sollte er/sie den anstossenden Impuls für entsprechende Korrekturmassnahmen geben.
- Die bedarfsbezogene Durchführung von Schwellwertanalysen.
- Die Beteiligung beim Erstellen und bei der Analyse von Datenschutz-Folgenabschätzungen (DSFA), insbesondere wenn Ihr Unternehmen beschliesst, den EDÖB hier aussen vor zu lassen; dann jedoch müssen Sie, als der «Datenverantwortliche», Ihrem/Ihrer DSB alle nötigen Hilfsmittel zur Verfügung stellen und ihm/ihr Zugang zu allen personenbezogenen Informationen, Dokumentationen sowie dem Bearbeitungsverzeichnis ermöglichen.
Sanktionen
Mit dem Inkrafttreten des nDSG können bei vorsätzlicher Verletzung insbesondere der folgenden Datenschutzpflichten Bussgelder von bis zu 250.000 Franken verhängt werden:
- Verletzungen der Informationspflicht.
- Verletzungen der Sorgfaltspflicht beim Einsatz von Auftragsbearbeitern.
- Nichteinhaltung der Mindestanforderungen an die Datensicherheit.
- Unzulässige Bekanntgabe von Personendaten ins Ausland.
- Falsche oder unvollständige Auskunft.
- Verletzung der beruflichen Schweigepflicht.
Anders als unter der EU-DSGVO, wo strafrechtliche Sanktionen auf Unternehmen ausgerichtet sind, werden in der Schweiz natürliche Personen zur Verantwortung gezogen und gebüsst.
Ebenso werden die Sanktionsbefugnisse des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erweitert; der EDÖB kann Untersuchungen eröffnen und Verfügungen erlassen, beispielsweise durch das Verhängen von Bearbeitungsverboten, die Untersagung der Bekanntgabe von Personendaten ins Ausland oder die Vernichtung von Personendaten.
Wie können wir alles (rechtzeitig) umsetzen?
Empfehlungen: Wenn Sie keine(n) Datenschutzberater(in) benennen, bestimmen Sie für Ihr Unternehmen zumindest eine Stelle, die sich um den Datenschutz kümmert. Die Zuhilfenahme eines externen Datenschutzberaters bzw. einer externen Datenschutzberaterin, der/die kommunikativ ins Unternehmen integriert wird, bewährt sich oft als ressourcenschonendere Variante, denn Sie müssen für dessen/deren Fachwissen und laufender Weiterbildung nicht zusätzlich investieren.
Regeln Sie die Datenschutz-Verantwortlichkeiten in Ihrem Unternehmen klar und deutlich. Sie können die Einhaltung datenschutzrechtlicher Pflichten sehr effektiv und nachhaltig durch wirksame Weisungen und regelmässige Schulungen der Mitarbeitenden unterstützen.
Den Erfüllungsgrad der erforderlichen Umsetzungsmassnahmen zu den neuen gesetzlichen Forderungen können nur Sie selbst bestimmen. Sollte Sie – was wir nicht hoffen – zu den Unternehmen zählen, bei denen die Anforderungen bis zum 31.08.2023 gar nicht oder nur teilweise umgesetzt sein werden, müssen Sie sicherlich einiges aufholen, um nDSG-konform zu sein.
Notabene: Der EDÖB erhebt Gebühren
Wussten Sie, dass der EDÖB für gewisse Dienstleistungen von privaten Verantwortlichen Gebühren erheben kann (und sicherlich auch erheben wird)? Wir fassen die wesentlichen Aspekte zusammen. Einzelheiten können Sie beim EDÖB online über folgenden Link abrufen:
Grundlage ist Artikel 59 nDSG (Gebühren). Hier sieht das Gesetz vor, dass der EDÖB von privaten Datenbearbeitern unter anderem Gebühren für folgende Dienstleistungen erheben wird:
- Stellungnahme zu einem Verhaltenskodex (betrifft Berufs-, Branchen- und Wirtschaftsverbände).
- Genehmigung von Standardvertragsklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften (Binding Corporate Rules).
- Konsultation aufgrund einer DSFA.
- Beratungen von privaten Verantwortlichen.
Gebühren bemessen sich nach Zeitaufwand [gemäss Artikel 44 der neuen Verordnung zum Datenschutzgesetz (DSV)]. Es werden keine Pauschalgebühren verlangt.
Der Stundenansatz liegt (je nach Funktion des ausführenden Personals) zwischen 150 – 250 Franken. Bei aussergewöhnlichem Umfang, besonderer Schwierigkeit oder Dringlichkeit kann ein Zuschlag von bis zu 50% erhoben werden. Wird die Dienstleistung des EDÖB zu kommerziellen Zwecken weiterverwendet, kann ein Zuschlag von 100% erhoben werden.
Setzen Sie sich für weitere Informationen zum Thema jederzeit mit uns in Verbindung. Bei der Umsetzung sowie beim Feinschliff der Massnahmen zur Anpassung Ihrer Unternehmensstrukturen an die (neuen) gesetzlichen Datenschutzbestimmungen helfen wir Ihnen gerne.
Wir beraten Sie auch gerne unverbindlich in einem ersten Gespräch (z. B. MS-Teams) über pragmatische und unkomplizierte Lösungsmöglichkeiten, die Ihren Datenschutz wesentlich erleichtern und definitiv Aufwand und Kosten sparen.