Am 1. September 2023 ist das neue Schweizer Bundesgesetz über den Datenschutz und die dazugehörige revidierte Verordnung in Kraft getreten. Die neuen Schweizer Vorschriften auferlegen Privaten eine Reihe neuer Verpflichtungen, die denen der europäischen Datenschutz-Grundverordnung (DSGVO) sehr ähnlich sind und sich dennoch in gewissen Bereichen unterscheiden (sogenannter „Swiss Finish“). Soweit noch nicht erfolgt, müssen Unternehmen ihre Dokumente und Tätigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten an diese neuen Anforderungen anpassen. Dieser Beitrag leistet einen Kurz-Überblick über die neue Rechtslage und enthält unsere Handlungsempfehlungen für Ihr Unternehmen.
Welche Änderungen bringen die neuen Schweizer Datenschutzregeln mit sich?
Die neuen Schweizer Datenschutzbestimmungen bringen für Unternehmen und Einzelpersonen eine Reihe von neuen Verpflichtungen bei der Bearbeitung personenbezogener Daten mit wie beispielsweise die Verpflichtung, Verluste personenbezogener Daten oder andere Datenschutzverletzungen dem Schweizer Datenschutz- und Öffentlichkeitsbeauftragten zu melden, oder die Verpflichtung zur Durchführung von Datenschutz-Folgenabschätzungen, etc.
Die neuen Vorschriften lehnen sich in einigen Teilen an die rechtlichen Anforderungen der DSGVO an und Schweizer Unternehmen, deren Prozesse bereits mit der DSGVO übereinstimmen, verfügen bereits über eine solide Basis. Die DSGVO kennt beispielsweise bereits die Anforderung zur Erstellung von Datenschutzhinweisen. Diese Informationspflicht bei Datenbeschaffungen ist nun auch nach den neuen Schweizer Datenschutzbestimmungen Pflicht und verlangt bestimmte Mindestangaben, die nicht ganz deckungsgleich mit dem EU-Regelwerk ist.
Unternehmen sollten daher ihre bestehenden Prozesse, IT-Tools und Dokumente, einschliesslich Verträge, hinsichtlich der neuen Schweizerischen Anforderungen überprüfen und entsprechende Vorkehrungen treffen wie zum Beispiel
Einführung eines Verzeichnisses der Bearbeitungstätigkeiten (ausser für Unternehmen mit weniger als 250 Mitarbeitern und wenn kein erhebliches Datenschutzrisiko besteht);
Anpassung bestehender Datenschutzhinweise, um die Betroffenen in angemessener Weise über die Bearbeitungen ihrer personenbezogener Daten und die konkreten Bearbeitungszwecke zu informieren, und im Falle der grenzüberschreitender Übermittlung personenbezogener Daten die erforderlichen Angaben enthält, in welche Länder personenbezogene Daten transferiert werden und wie der Datenschutz gewährleistet ist.
Überarbeitung der Verträge, in deren Rahmen personenbezogene Daten ins Ausland übermittelt werden. Die Datenschutzklauseln sollten auf das schweizerische Datenschutzgesetz verweisen und eine Liste der Länder enthalten, in die personenbezogene Daten übermittelt werden.
Auf der anderen Seite sind unter dem neuen Schweizer Datenschutzgesetz die bestehenden allgemeinen Datenschutz-Grundsätze weiterhin anwendbar (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckgebundenheit, Transparenz oder Erkennbarkeit, Datengenauigkeit, Datensicherheit). Das bedeutet, dass das neue Schweizer Datenschutzgesetz im Gegensatz zur DSGVO nicht „per se“ eine Rechtsgrundlage für jede Datenverarbeitung verlangt. Eine Rechtfertigung (Einwilligung, Rechtsgrundlage oder ein überwiegendes öffentliches oder privates Interesse) für die Bearbeitung von Personendaten ist gemäss dem Datenschutzgesetz immer noch dann erforderlich, wenn die Bearbeitung entgegen der Datenschutz-Grundsätze oder entgegen der ausdrücklichen Willenserklärung der betroffenen Person erfolgt, oder wenn besonders schützenswerte Daten an Dritte bekanntgegeben werden soll.
Risiken im Rahmen der neuen Schweizer Datenschutzbestimmungen
Bei Nichteinhaltung des neuen Bundesgesetzes über den Datenschutz sieht das Gesetz Bussen bis zu einer Höhe von CHF 250’000 vor. Diese Bussen sind nicht so hoch wie die der DSGVO, aber sie werden gegen Einzelpersonen und nicht gegen das Unternehmen verhängt! Darüber hinaus kann die Verletzung von personenbezogenen Daten von Geschäftspartnern als Vertragsbruch gewertet werden und zu Vertragsstrafen, vorzeitiger Vertragsbeendigung, Schadensersatzforderungen, usw. der Gegenseite führen.
Empfehlungen
Wir empfehlen Schweizer Unternehmen:
Sich vor jeder Verarbeitung personenbezogener Daten zu vergewissern, dass die allgemeinen Datenschutzgrundsätze (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckgebundenheit, Transparenz oder Erkennbarkeit, Datengenauigkeit, Datensicherheit) eingehalten werden (eine legale Basis wie es die DSGVO kennt, ist nur in besonderen Fällen nötig);
Bestehende Prozesse, Instrumente, Dokumente, einschliesslich Verträge daraufhin zu überprüfen, ob sie mit den neuen Schweizer Datenschutzbestimmungen übereinstimmen;
Ein Verzeichnis der Bearbeitungstätigkeiten zu erstellen (ausser für Unternehmen mit weniger als 250 Mitarbeitern und wenn kein erhebliches Datenschutzrisiko besteht)
Alle erforderlichen Dokumente und Verfahren auszuarbeiten, zum Beispiel:
Datenschutzrichtlinien „Privacy by Default & Design“,
Richtlinie betreffend Verletzungen des Schutzes personenbezogener Daten,
Richtlinie zur Datenschutz-Folgenabschätzung,
Richtlinie zur Aufbewahrung personenbezogener Daten,
Richtlinie über den Zugang zu geschäftlichen E-Mails von Mitarbeitern, auch nach Beendigung des Arbeitsverhältnisses,
Liste und Beschreibung der technischen und organisatorischen Massnahmen im Bereich des Datenschutzes,
Datenschutzerklärungen für Angestellte, Freiberufler und Stellenbewerber;
Datenschutzrichtlinien, die auf der Website des Unternehmens veröffentlicht werden;
Cookie-Richtlinie (einschließlich Cookie-Pop-ups und Zustimmungsbanner),
Nutzungsbedingungen für Ihre Website, usw.;
Vor der Übermittlung personenbezogener Daten ins Ausland:
zu prüfen, ob das betreffende Land in der Liste der so genannten Angemessenheitsbeschlüssen des Schweizerischen Bundesrats (siehe Anhang 1 der Verordnung) als ein Land aufgeführt ist, das ein angemessenes Schutzniveau gewährleistet, und
wenn nicht, die modernisierten Standardvertragsklauseln für die Übermittlung personenbezogener Daten ins Ausland zu verwenden (einschliesslich einer Formulierung, die angibt, wie Benachrichtigungen über Datenschutzverletzungen zu behandeln sind);
Datenschutzhinweise zu erstellen oder zu überarbeiten, welche die Betroffenen in angemessener Weise über die Bearbeitungen ihrer personenbezogener Daten und die konkreten Bearbeitungszwecke informieren, einschliesslich im Falle der grenzüberschreitenden Übermittlung personenbezogener Daten mit erforderlichen Angaben, in welche Länder personenbezogene Daten transferiert werden und wie der Datenschutz gewährleistet ist;
Schulungen für Mitarbeitende durchzuführen, um sie auf die Anforderungen und Einschränkungen im Bereich des Schutzes personenbezogener Daten aufmerksam zu machen,
Sonstige notwendige organisatorische und technische Massnahmen im Bereich des Datenschutzes zu treffen (unter Umständen einen Datenschutzverantwortlichen im Unternehmen zu bestimmen).