Mit Wirkung ab dem 1. September 2023 tritt das neue Datenschutzgesetz in der Schweiz in Kraft. Dieses Gesetz markiert einen bedeutenden Meilenstein im Schutz personenbezogener Daten und bringt wichtige Änderungen für Unternehmen und Bürger mit sich. Das neue Datenschutzgesetz in der Schweiz wurde eingeführt, um den Schutz personenbezogener Daten zu stärken und den Datenschutz an die technologischen Entwicklungen in der digitalen Welt anzupassen. Es zielt darauf ab, die Rechte und Freiheiten der Bürgerinnen und Bürger zu wahren und gleichzeitig den Unternehmen klare Richtlinien für die Datenverarbeitung zu geben.
Das neue Datenschutzrecht stellt die Vereinbarkeit mit dem europäischen Recht sicher und ermöglicht es, die modernisierte Datenschutzkonvention 108 des Europarats zu ratifizieren. Diese Anpassungen im neuen Datenschutzrecht sind wichtig, damit die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung auch künftig ohne zusätzliche Anforderungen möglich bleibt.
Das neue Datenschutzgesetz gilt für die Bearbeitung von Personendaten durch Private und Bundesorgane. In der Folge sind private Unternehmen, aber auch Vereine sowie grundsätzlich auch Privatpersonen davon betroffen. Als Beispiel: Bereits die Aufschaltung eines Kontaktformulars auf einer Website oder der Erhalt von Bewerbungsunterlagen fallen in die Kategorie von Personendaten.
Der Bundesrat hat in der Verordnung über den Datenschutz bestimmt, dass Kleinstunternehmen von der Pflicht zur Führung eines detaillierten Bearbeitungsverzeichnisses befreit sind, wenn die Datenbearbeitungen nur ein geringes Risiko von Persönlichkeitsverletzungen mit sich bringen. Dennoch empfiehlt es sich für jedes Unternehmen, ein einfaches Register mit Angaben zu den verarbeiteten Daten zu führen.
Art. 24 nDSV:
«Unternehmen und andere privatrechtliche Organisationen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen sind von der Pflicht befreit, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, ausser eine der folgenden Voraussetzungen ist erfüllt:
Mit Personendaten sind sämtliche Daten gemeint, welche sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Personendaten sind dabei in «gewöhnliche» Daten wie bspw. Name, Adresse oder das Geburtsjahr, und in «besonders schützenswerte» Daten wie etwa religiöse, politische oder gewerkschaftliche Ansichten, gesundheitliche Angaben sowie strafrechtliche Verfolgungen oder Sanktionen zu unterteilen.
Die Bearbeitung von Personendaten ist sehr umfassend zu verstehen und beinhaltet insbesondere die Beschaffung, Speicherung und Aufbewahrung, die Verwendung und Veränderung sowie die Archivierung und Löschung von schützenswerten Personendaten. Das neue Datenschutzgesetz legt nahe, dass Personendaten rechtmässig und nach Treu und Glauben verarbeitet werden müssen. Insbesondere müssen die Grundsätze der Transparenz, der Zweckbindung sowie der Verhältnismässigkeit eingehalten werden.
Als erster Schritt erfolgen die Bestandsaufnahme und das Erstellen eines Verzeichnisses über die verarbeiteten Personendaten. Dieses Bearbeitungsverzeichnis soll insbesondere festhalten, welche Art von Personendaten erfasst und bearbeitet werden, von welcher Quelle die Daten stammen, für welchen Zweck die Daten verwendet werden und an welche Drittpersonen die Daten allfällig zur Verfügung gestellt werden. Mit Hilfe des Katalogs kann ein Unternehmen bewerten, welche Personendaten besonders sensibel sind und welche technischen und organisatorischen Massnahmen ergriffen werden müssen, um eine sichere Verwahrung und Verarbeitung dieser Daten gewährleisten zu können. So wird der Kontakt zum IT-Partner empfohlen, um abzuklären, wo die firmeninternen Daten gespeichert sind, in welchem Land der Server stationiert ist und ob Ihre aktuellen Sicherheitsmassnahmen ausreichend sind.
Im Anschluss daran müssen die betroffenen Personen über die Bearbeitung der Personendaten informiert werden. Viele Unternehmen besitzen bereits eine Datenschutzerklärung auf ihrer Homepage – hierbei ist es empfohlen, diese auf Vollständigkeit und Rechtsmässigkeit zu überprüfen. Abschliessend ist das Unternehmen verpflichtet, allfällige Drittdienstleister, an welche Personendaten weitergereicht werden, zu identifizieren und sogenannte Auftragsbearbeitungsverträge abzuschliessen. Sollten bereits solche Verträge existieren, ist es ebenfalls empfohlen, diese auf die neue Rechtsgültigkeit zu überprüfen.
Um den neuen Regelungen Nachdruck zu verleihen, wird zusammen mit dem revidierten Datenschutzgesetz eine persönliche Strafbarkeit eingeführt. Somit werden nicht die Unternehmen, sondern die verantwortlichen Mitarbeitenden bei einer Verletzung strafrechtlich zur Verantwortung gezogen.
«Wer geheime Personendaten vorsätzlich offenbart, von denen sie oder er bei der Ausübung ihres
oder seines Berufes, der die Kenntnis solcher Daten erfordert, Kenntnis erlangt hat, wird auf Antrag mit
Busse bis zu 250’000 Franken bestraft.» (Art. 62 Abs. 1 nDSG)
Ein nachhaltig sensibler Umgang mit Personendaten ist für alle unerlässlich. Es lohnt sich, eine frühzeitige Überprüfung der Datenschutzkonformität sowie der bereits bestehenden internen Prozesse durchzuführen.
Sollten sie Unterstützung bei der Umsetzung des neuen Datenschutzgesetzes wünschen, steht Ihnen unser geschultes Personal natürlich gerne beratend zur Seite.
Externe Quellen: Treuhand|Suisse, EXPERTsuisse, Hueberli Lawyers AG