Neues Datenschutzgesetz für die Schweiz

Wir weisen darauf hin, dass dieser Beitrag weder vollständig noch absolut "wasserdicht" ist.  Konvert macht keine Rechtsberatungen, sondern versucht die Leser dieses Beitrags auf ein wichtiges Thema zu sensibilisieren. 
Für die rechtlich korrekten Massnahmen wenden Sie sich an einen Rechtsanwalt Ihres Vertrauens. 

Das neue Datenschutzgesetz tritt am 01. September 2023 - ohne Übergangsfrist - in Kraft!

• Daten juristischer Personen sind nicht mehr geschützt
• Die Informationspflichten werden verschärft (Datenschutzerklärung)
• Privacy by design
• Meldepflicht bei Verletzung der Datensicherheit
• Profiling als neu eingeführter Begriff
• Pflicht zur Durchführung einer Datenschutz-Folgeabschätzung bei Bearbeitungen mit hohem Risiko
• Erweiterte Governance Pflichten
• Datenschutzberater
• Recht auf Datenübertragung
• Verschärfte Sanktionen

Ganz banal erklärt geht es um Personendaten und um die Bearbeitung dieser.

Jede Information, die mit einer Person verbunden ist oder verbunden werden kann:

• Name Vorname
• eMail-Adresse (z.B. name.vorname@konvert.ch)

• CEO von
• Mitarbeiter Nr. 007 😉
• IP-Adresse (z.B. 187.202.92.21)

Jeder Umgang mit Personendaten fällt unter die Bearbeitung!

• Das Erfassen
• Das Erheben
• Das Ordnen
• Das Speichern
• Das Verwenden
• Das Nutzen
• Das Ändern
• Das Einschränken
• Das Anonymisieren
• Das Löschen
• Das Vernichten

… nicht abschliessend …

• Rechtzeitige Planung der Datenbearbeitung
• Offene Kommunikation wozu die Daten verwendet werden
• Nur notwendige Daten bearbeiten
• Korrektur falscher Daten
• Löschen der Daten sofern diese nicht mehr benötigt werden
• Sicherung der Daten gegen unbefugte Zugriffe

Die organisatorischen Pflichten, die den Datenschutz absichern und begleiten bestehen aus folgenden Möglichkeiten:

• Datenschutzberater bestellen
• Bearbeitungsverzeichnis pflegen
• Bearbeitungsreglemente pflegen
• Datenschutz-Folgenabschätzungen durchführen
• Data Breaches melden

Unter Profiling wird die automatisierte Bearbeitung von Personendaten zur Bewertung persönlicher Aspekte (wirtschaftliche Lage, Vorlieben) verstanden. Sämtliche Profiling-Aktivitäten (z.B. Marketing-Automation, etc.) sind damit in der Datenschutzerklärung und in den Bearbeitungs-Verzeichnissen aufzuführen.

Diese umfasst die datenschutzrechtliche Selbstbeurteilung. Insbesondere ist die Abschätzung verpflichtend bei hohem Risiko für die betroffenen Personen (z.B. bei Verwendung neuer Technologien, umfangreiche Bearbeitung besonders schützenswerter Personendaten, etc.).

Unter dem Begriff Data Breach wird der planwidrige Verlust, ein Diebstahl von Daten, die Zerstörung von Daten oder der unerlaubte Zugriff auf Daten verstanden. 

Häufig sind die Fälle marginal und betreffen zum Beispiel versehentlich bekanntgegebene Personaldaten oder unerlaubte interne Zugriffe.

Es ist daher ratsam folgende Schritte zu planen:

Für intern produzierte Fehler

• Interne Eskalation gemäss Weisung
• Beurteilung des Schadens
• ggf. Meldung an die Betroffenen

Bei planwidrigem Verlust, Diebstahl oder externem Zugriff

• Interne Eskalation gemäss Weisung
• Keine spontanen Meldungen durch Mitarbeitende nach aussen
• Unter Umständen behördliche Meldung
• Meldung "so rasch als möglich" (max. 72 Stunden)
• Unter Umständen – in Rücksprache mit den Behörden – Meldung an die Betroffenen

• Die Information erfolgt in der Regel über die Datenschutzerklärung
• Auskünfte über die gespeicherten Daten und eine Kopie der gesamten, gespeicherten Daten dürfen eingeholt werden
• Falsche Daten können gemeldet werden und der Anspruch auf die Berichtigung dieser besteht
• Es darf der weiteren Bearbeitung der Daten widersprochen werden (auch gegen die Löschung der Daten)
• Es kann bei der Behörde eine Beschwerde gegen das datenführende Unternehmen eingereicht werden

Das Nichteinhalten des neuen Datenschutzgesetzes kann zu empfindlichen Bussen führen. So können private Personen mit bis zu CHF 250'000 und Geschäftsbetriebe mit bis zu CHF 50'000 bestraft werden.
Sofern ein solcher Vorfall an die Öffentlichkeit getragen wird ist von einem nicht zu vernachlässigenden Reputations-Schaden für das Unternehmen auszugehen.

Die Europäische Datenschutzverordnung (DSGVO) ist in Teilen strenger als die Schweizerische Version (DSG). Insbesondere bei den Themen Governance, Inhalt der Datenschutzerklärung und Meldepflichten bestehen Unterschiede.

"Wettbewerbstechnisch" wird ab September 2023 die lasche Handhabung von Newslettern ebenfalls strenger geregelt und es ist in jedem Fall ein "double opt-in" erforderlich.