Wieso es an der Zeit für die Umsetzung des revidierten Datenschutzgesetzes («revDSG») ist
Ende September 2020 hat das Schweizer Parlament das revDSG verabschiedet. Dieses führt zu zahlreichen Angleichungen an die EU-Datenschutzgrundverordnung («DSGVO»), behält aber weiterhin seine eigene Struktur und weicht auch in diversen anderen Punkten von der DSGVO ab. Das Gesetz tritt per 01.09.2023 in Kraft. Da das revDSG keine Übergangsfrist zur Umsetzung der neuen Verpflichtungen vorsieht, ist es nun an allen Datenverarbeitern die Zeit zu nutzen, um die neuen Verpflichtungen umzusetzen.
Das revDSG sieht einige Neuerungen vor. Zum einen wird das revDSG gemäss dem Auswirkungsprinzip auch im Ausland Anwendung finden, aber keine juristischen Personendaten mehr schützen. Dahingegen wurde die Definition des Begriffs besonders schützenswerter Personendaten erweitert und umfasst künftig auch Daten über die Ethnie, genetische Daten sowie biometrische Daten, die eine natürliche Person eindeutig identifizieren. Ferner sieht das revDSG eine Definition für den Begriff Profiling vor.
Neben diesen veränderten Rahmenbedingungen sieht das revDSG auch neue oder umfassendere Informationspflichten, Pflichten an die Umsetzung des Datenschutzes im Unternehmen und Betroffenenrechte vor.
Das revDSG sieht zudem neu strafrechtliche Sanktionen in der Form von Bussen bis zu TCHF 250 für die verantwortlichen Personen vor. Bei Widerhandlungen, bei denen höchstens eine Busse von TCHF 50 in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismässig hoch wäre, kann auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Busse verurteilt werden. Zudem sieht das revDSG weitergehende Kompetenzen des EDÖB vor, so dass dieser neu verwaltungsrechtliche Untersuchungsverfahren eröffnen und Anordnungen verfügen kann, deren Missachtung ebenfalls zu Bussen führen kann. Solche Bussen werden durch die kantonalen Strafverfolgungsbehörden vollstreckt. Daneben besteht auch weiterhin die Möglichkeit von zivilrechtlichen Klagen auf Beseitigung, Unterlassung oder Schadenersatz.
Wir empfehlen Ihnen, die nachstehenden Punkte durchzugehen, um die Grundarbeit für ein datenschutzrechtlich gut aufgestelltes Unternehmen zu leisten:
Standorteinschätzung, wo das Unternehmen betreffend Datenschutz steht.
Erarbeitung und Instandhaltung eines Verarbeitungsverzeichnisses.
Implementierung von technischen und organisatorischen Massnahmen, um Datenschutz durch Technik sowie durch datenschutzfreundliche Voreinstellungen sicherzustellen.
Durchführung von Datenschutzfolgenabschätzungen im Fall von Datenbearbeitungen, welche ein hohes Risiko einer Verletzung der Persönlichkeit oder der Grundrechte einer betroffenen Person mit sich bringen.
Erfüllung der umfassenden Informationspflichten.
Erstellen und Abschluss notwendiger datenschutzrechtlicher Verträge, insbesondere beim Einsatz von Auftragsbearbeitern und internationalen Datentransfers.
Implementierung interner Prozesse zum Umgang mit datenschutzrechtlichen Anfragen und Sicherheitsverletzungen.
Schulung von Mitarbeitern insbesondere betreffend die Umsetzung der internen Prozesse.
Kurz nachdem nun die Herkulesaufgabe der Umsetzung der DSGVO abgeschlossen ist, steht mit dem revDSG die nächste Aufgabe an, welche aufgrund der fehlenden Umsetzungsfristen keinen Aufschub erlaubt.
Wieso es an der Zeit für die Umsetzung des revidierten Datenschutzgesetzes («revDSG») ist
Ende September 2020 hat das Schweizer Parlament das revDSG verabschiedet. Dieses führt zu zahlreichen Angleichungen an die EU-Datenschutzgrundverordnung («DSGVO»), behält aber weiterhin seine eigene Struktur und weicht auch in diversen anderen Punkten von der DSGVO ab. Das Gesetz tritt per 01.09.2023 in Kraft. Da das revDSG keine Übergangsfrist zur Umsetzung der neuen Verpflichtungen vorsieht, ist es nun an allen Datenverarbeitern die Zeit zu nutzen, um die neuen Verpflichtungen umzusetzen.
Das revDSG sieht einige Neuerungen vor. Zum einen wird das revDSG gemäss dem Auswirkungsprinzip auch im Ausland Anwendung finden, aber keine juristischen Personendaten mehr schützen. Dahingegen wurde die Definition des Begriffs besonders schützenswerter Personendaten erweitert und umfasst künftig auch Daten über die Ethnie, genetische Daten sowie biometrische Daten, die eine natürliche Person eindeutig identifizieren. Ferner sieht das revDSG eine Definition für den Begriff Profiling vor.
Neben diesen veränderten Rahmenbedingungen sieht das revDSG auch neue oder umfassendere Informationspflichten, Pflichten an die Umsetzung des Datenschutzes im Unternehmen und Betroffenenrechte vor.
Das revDSG sieht zudem neu strafrechtliche Sanktionen in der Form von Bussen bis zu TCHF 250 für die verantwortlichen Personen vor. Bei Widerhandlungen, bei denen höchstens eine Busse von TCHF 50 in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismässig hoch wäre, kann auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Busse verurteilt werden. Zudem sieht das revDSG weitergehende Kompetenzen des EDÖB vor, so dass dieser neu verwaltungsrechtliche Untersuchungsverfahren eröffnen und Anordnungen verfügen kann, deren Missachtung ebenfalls zu Bussen führen kann. Solche Bussen werden durch die kantonalen Strafverfolgungsbehörden vollstreckt. Daneben besteht auch weiterhin die Möglichkeit von zivilrechtlichen Klagen auf Beseitigung, Unterlassung oder Schadenersatz.
Wir empfehlen Ihnen, die nachstehenden Punkte durchzugehen, um die Grundarbeit für ein datenschutzrechtlich gut aufgestelltes Unternehmen zu leisten:
Standorteinschätzung, wo das Unternehmen betreffend Datenschutz steht.
Erarbeitung und Instandhaltung eines Verarbeitungsverzeichnisses.
Implementierung von technischen und organisatorischen Massnahmen, um Datenschutz durch Technik sowie durch datenschutzfreundliche Voreinstellungen sicherzustellen.
Durchführung von Datenschutzfolgenabschätzungen im Fall von Datenbearbeitungen, welche ein hohes Risiko einer Verletzung der Persönlichkeit oder der Grundrechte einer betroffenen Person mit sich bringen.
Erfüllung der umfassenden Informationspflichten.
Erstellen und Abschluss notwendiger datenschutzrechtlicher Verträge, insbesondere beim Einsatz von Auftragsbearbeitern und internationalen Datentransfers.
Implementierung interner Prozesse zum Umgang mit datenschutzrechtlichen Anfragen und Sicherheitsverletzungen.
Schulung von Mitarbeitern insbesondere betreffend die Umsetzung der internen Prozesse.
Kurz nachdem nun die Herkulesaufgabe der Umsetzung der DSGVO abgeschlossen ist, steht mit dem revDSG die nächste Aufgabe an, welche aufgrund der fehlenden Umsetzungsfristen keinen Aufschub erlaubt.
