Das revidierte Datenschutzgesetz

Ab dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz. Die aktuellen Regeln werden denjenigen der Datenschutzgrundverordnung angenähert, wobei es weiterhin Unterschiede geben wird. Im revidierten Gesetz werden auch einige Strafbestimmungen eingeführt; nur schon aus diesem Grund ist ein prüfender Blick in eigenen Datenschutzerklärung(en) sinnvoll. Es ist nun auch der richtige Zeitpunkt, um generell den eigenen Umgang mit dem Thema Datenschutz unter die Lupe zu nehmen.

Im Netz finden sich zahlreiche qualitativ hochwertige Checklisten, Übersichten und Fachartikel zum neuen Datenschutzgesetz (z.B. auf www.datenrecht.ch). Aus diesem Grund beschränken wir uns nachstehend auf eine kurze Übersicht über vier Themenfelder, welche in der Beratungstätigkeit am meisten nachgefragt werden.

1. Datenschutzerklärung

Die Informationspflicht ist ein zentrales Element des Datenschutzrechts. Dazu gehört, dass u.a. darüber informiert wird, ob und falls ja, welche Daten in welchem Umfang bearbeitet und allenfalls geteilt werden.

Dabei ist zu beachten, dass Personendaten (= Informationen, die eine Identifikation der betroffenen Person ermöglichen, entweder alleine oder in Kombination mit anderen Angaben) nicht nur online (Stichwort: Website), sondern auch offline (Stichwort: Verträge, CRM) bearbeitet werden.

Es ist davon auszugehen, dass jedes Unternehmen in irgendeiner Form Personendaten bearbeitet. Daher ist es empfehlenswert, zumindest eine allgemeine Datenschutzerklärung über die Unternehmenswebsite zugänglich zu machen.

Folgende Elemente müssen in der Datenschutzerklärung enthalten sein, wenn Personendaten bearbeitet werden:

• Kontaktdaten Verantwortliche(r)
• Kategorien von Personendaten
• Kategorien der betroffenen Personen
• Bearbeitungszweck(e)
• Empfänger von Personendaten (falls Daten weitergegeben werden)
• Informationen zur Übermittlung ins Ausland (falls Daten ins Ausland übermittelt werden)

Hinweis: Falls Sie die Datenschutzerklärung von einer anderen Website kopiert haben, prüfen Sie sorgfältig, ob alle erforderlichen Inhalte individuell auf Ihre Tätigkeit angepasst sind. Es lohnt sich, dies von einer Fachperson (intern oder extern) prüfen zu lassen. Datenschutzerklärungen können auch durch Generatoren erstellt werden. Es stehen auch zahlreiche (entgeltliche und unentgeltliche) Mustervorlagen im Netz zur Verfügung. Achten Sie auf seriöse Anbieter!

Achtung: Prüfen Sie auch sorgfältig, ob Sie in den Anwendungsbereich der DSGVO (Datenschutzgesetz der EU) fallen. Falls ja, müssen die entsprechenden Regelungen ebenfalls umgesetzt werden. Beachten Sie, dass in diesem Fall auch eine Datenschutzvertretung in der EU notwendig ist! 

2. Cookies und Cookie-Banner

Die Verwendung von Cookies und den jeweiligen Tracking-Massnahmen auf Websites sind grundsätzlich Teil der Datenschutzerklärung (welche Art von Personendaten von welchen Personengruppen werden zu welchem Zweck erhoben).

Bei den meisten (v.a. ausländischen) Websites werden sog. Cookie-Banner eingesetzt. Dies ist das Resultat von entsprechenden EU-Bestimmungen und jeweiligen länderspezifischen Umsetzungen. Grundsätzlich gilt in den meisten EU-Staaten, dass Websitebesuchende Cookies zustimmen müssen (sog. Opt-in). Davon ausgenommen sind die sog. zwingenden oder essentiell erforderlichen Cookies (technische Voraussetzungen für die Funktionalität der Website).  

Die Schweizer Gesetzgebung ist liberaler ausgestaltet. Gemäss Fernmeldegesetz dürfen Cookies eingesetzt werden, wenn die Nutzenden entsprechend informiert werden. Entsprechend müssen die verwendeten Cookies und die damit verbundenen datenschutzrechtlich relevanten Handlungen in der Datenschutzerklärung aufgelistet sein. Bezüglich Cookie-Banner ist es in der Schweiz möglich, dass per Voreinstellungen sämtliche Cookies akzeptiert werden und die Nutzenden diese Einwilligung aktiv widerrufen müssen (sog. Opt-out).

Hinweis: Es wird immer wieder die Meinung vertreten, in der Schweiz seien Cookie-Banner wie in der EU erforderlich. Führende Schweizer Datenschutzexperten sehen das dezidiert anders – sofern sich das Anwendungsgebiet der angebotenen Dienstleistung ausschliesslich auf die Schweiz bezieht.

Achtung: Im Zweifelsfall ist es empfehlenswert, einen Cookie-Banner mit der Möglichkeit zum Opt-in aufzuschalten. Dies gilt sowieso auch dann, wenn Sie in den Anwendungsbereich der relevanten Regulierungen (Cookie-Richtlinie und nationale Umsetzungen / DSGVO / e-privacy Richtlinie) fallen.

3. Bearbeitungsverzeichnis

Mit dem revidierten Datenschutzgesetz werden Verantwortliche und Auftragsbearbeiter verpflichtet, ein Verzeichnis ihrer Bearbeitungstätigkeiten (= Bearbeitungsverzeichnis) zu führen. Eine Ausnahme von dieser Pflicht gibt es dann, wenn ein Unternehmen weniger als 250 Mitarbeitende beschäftigt und die Datenbearbeitung ein geringes Risiko für Persönlichkeitsverletzungen mit sich bringt.

Zwingend ist ein Bearbeitungsverzeichnis dann, wenn automatisierte Bearbeitung von besonders schützenwerten Personendaten (z.B. Gesundheitsdaten) im grossen Umfang oder ein Profiling mit hohem Risiko (Persönlichkeitsprofil, welches hohes Risiko für die Persönlichkeit / Grundrechte mit sich bringt) vorgenommen wird.

Im Bearbeitungsverzeichnis sind mindestens folgende Angaben festzuhalten:

• Identität Verantwortliche(r)
• Bearbeitungszweck
• Beschreibung Kategorien der betroffenen Personen
• Beschreibung Kategorien der Personendaten
• Empfängerkategorien
• Aufbewahrungsdauer oder Kriterien zur Festlegung der Aufbewahrungsdauer
• Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit
• Bei Datenbekanntgabe ins Ausland: Nennung der Staaten sowie Garantien

Hinweis: Viele KMU werden von der Ausnahmeregelung bezüglich Anzahl Mitarbeitende profitieren. Doch auch in diesem Fall ist sorgfältig zu prüfen, ob eine automatisierte Bearbeitung von besonders schützenswerten Personendaten oder ein Profiling mit hohem Risiko vorgenommen wird, denn in diesen Fällen greift die Ausnahmeregelung nicht.

4. Datensicherheit

Verantwortliche und Auftragsbearbeiter sind zu einer angemessenen Datensicherheit verpflichtet. Dies muss einerseits durch eine Risikoeinschätzung und andererseits durch technische und organisatorische Massnahmen (sog. TOMs) geschehen.

Bei der Risikoeinschätzung ist in einem ersten Schritt der Schutzbedarf der Personendaten zu bestimmen. Dieser wird einerseits nach Art der Daten und andererseits nach Zweck, Umfang, Art und Umstände der Bearbeitung festgelegt. In einem zweiten Schritt ist das Risiko für eine Persönlichkeits- oder Grundrechtsverletzung zu evaluieren, dabei müssen folgende Kriterien einbezogen werden:

• Ursache des Risikos
• Hauptgefahren
• Risikoverringernde Massnahmen (tatsächliche oder geplante)
• Wahrscheinlichkeit und Schwere einer Datensicherheitsverletzung trotz den risikoverringernden Massnahmen

Anhand der Risikoanalyse werden die für die Datensicherheit erforderlichen TOMs definiert, wobei diese jeweils nach Stand der Technik und Implementierungskosten zu evaluieren sind. Folgende Punkte müssen durch die TOMs sichergestellt werden:

• Vertraulichkeit (Zugriffs-, Zugangs- und Benutzerkontrolle)
• Verfügbarkeit (Datenträger- , Speicher- und Transportkontrolle, Wiederherstellung, Systemsicherheit)
• Integrität (Datenträger- , Speicher- und Transportkontrolle, Wiederherstellung, Systemsicherheit)
• Nachvollziehbarkeit (Eingabe- und Bekanntgabekontrolle, Massnahmen zur Erkennung und Beseitigung von Verletzungen)

Hinweis: Viele Unternehmen haben die Bearbeitung von Personendaten an Auftragsbearbeiter ausgelagert. In der entsprechenden Auftragsdatenvereinbarung (ADV) sind die Pflichten zur Einhaltung der Datensicherheit festzuhalten. Überprüft werden können die TOMs mit entsprechenden Audits oder-Reports (z.B. ISAE Report).

5. Fazit

Mit Blick auf die neuen Regelungen im Herbst ist es spätestens jetzt an der Zeit, den eigenen Umgang mit dem Datenschutz einem prüfenden Blick zu unterziehen und allenfalls korrigierende Massnahmen zu ergreifen.

Falls Sie Fragen zum revidierten Datenschutzgesetz haben steht Ihnen das Team von Gyr | Gössi | Olano | Staehelin gerne zur Verfügung.