Das Schweizer Bundesgesetz über den Datenschutz (Datenschutzgesetz – DSG) ist nur in Verbindung mit der Schweizer Verordnung über den Datenschutz (Datenschutzverordnung – DSV) zu lesen, welche die gesetzlichen Bestimmungen präzisiert. Die DSV trat gemeinsam mit dem DSG und der Verordnung über Datenschutzzertifizierungen (VDSZ) am 1. September 2023 in Kraft. Wir zeigen auf, worauf Unternehmen in der Schweiz achten müssen und welche Präzisierungen zu den Bestimmungen des DSG in der DSV enthalten sind.
Zusammenspiel von DSG, DSV und VDSZ
Die DSV und die VDSZ sind Verordnungen und ergänzen an einigen Stellen das DSG der Schweiz. Sie sind also rechtsetzende Erlasse, welche dem DSG nachgeordnet sind. Damit hat der Bundesrat von seiner Kompetenz Gebrauch gemacht, Ausführungsvorschriften zu erlassen. Die VDSZ ist eine gesonderte Neuerung bzw. ein neues Themengebiet und beinhaltet spezielle Regelungen zur Datenschutzzertifizierung. Alle drei Regelungen – DSG, DSV und VDSZ – haben eine besondere Bedeutung, indem sie aufeinander abgestimmt sind und daher eine Gesamtheit von Bestimmungen zum Schutz von Personendaten für die Schweiz abbilden.
Die wichtigsten Regelungen der Datenschutzverordnung
Datensicherheit
Unter dem neuen DSG stehen Verantwortliche und Auftragsbearbeiter in der Pflicht, durch geeignete technische und organisatorische Massnahmen (TOM) eine dem Risiko angemessene Datensicherheit zu gewährleisten. Art. 8 Absatz 3 DSG verpflichtet den Bundesrat, Mindestanforderungen an die Datensicherheit zu definieren. Der Bundesrat hat dies in der DSV getan.
Die Datenschutzverordnung hält fest, welche Kriterien dabei zu berücksichtigen sind, und gibt Leitlinien vor, wie die Massnahmen auszugestalten sind (Art. 1, 2 und 3 DSV). Die Verordnung vermeidet es, starre Mindestanforderungen vorzulegen, die für alle Unternehmen gelten, da eine solche Regelung nicht praktikabel wäre. Stattdessen, wie in Art. 8 Abs. 1 DSG vorgeben und ähnlich wie in der EU-Datenschutz-Grundverordnung (DSGVO) in Art. 32, wird ein risikobasierter Ansatz verfolgt. Verantwortliche und Auftragsbearbeiter müssen den Schutzbedarf beurteilen und festlegen, welche Massnahmen angesichts des Risikos einer bestimmten Bearbeitung zu ergreifen sind.
Beim Erläutern der Mindestanforderungen legte der Bundesrat Wert darauf, die Vorschriften mit dem Stand der Technik abzustimmen und auch auf die Kompatibilität mit der DSGVO. Letzteres wird damit begründet, dass Schweizer Unternehmen, die in der EU tätig sind, somit eine DSGVO-konforme Datensicherheit gewährleisten können. Konkret bedeutet dies, dass Schweizer Unternehmen, die die Anforderungen der DSGVO in Bezug auf technische und organisatorische Massnahmen bereits erfüllen, auch den Anforderungen des Schweizer Datenschutzrechts genügen.
Der Schutzbedarf wird anhand der Art zu bearbeitender Personendaten, Zweck, Art, Umfang und Umständen der Bearbeitung beurteilt. So ist beispielsweise die automatisierte Bearbeitung einer grossen Menge Personendaten, die als besonders schützenswert gelten, immer mit einem hohen Schutzbedarf verbunden. Ebenso ist Profiling mit hohem Risiko, für das keine Präventionsmassnahmen gewährleistet werden können, mit einem hohen Schutzbedarf verbunden.
Für diese beiden Bearbeitungen, sprich Profiling mit hohem Risiko und die automatisierte Bearbeitung einer grossen Menge Personendaten, die als besonders schützenswert gelten, schreibt die DSV eine verbindliche Massnahme vor: Das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten muss protokolliert werden (Art. 4 DSV). Mit Ausnahme der Protokollierung des Lesens und Bekanntgabe gelten diese Anforderungen auch, wenn Personendaten allgemein öffentlich zugänglich sind. Die Protokollierung muss Aufschluss geben über die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität von Empfängern der Daten. Die Protokolle müssen mindestens ein Jahr aufbewahrt werden – und zwar getrennt vom System, in welchem die Personendaten bearbeitet werden. Sie dürfen zudem nur bestimmten Organen und Personen zugänglich sein.
In der Praxis bedeutet dies, dass Unternehmen, die z.B. Fotos ihrer Mitarbeiter auf ihrer Website online stellen, schriftliche Protokolle über den Umgang mit den Fotos führen müssen, und diese Protokollierungen müssen getrennt mit angemessener Zugriffskontrolle für ein Jahr aufbewahrt werden. Unternehmen mit aktiver Eingabe- und Bekanntgabekontrolle sowie einem Berechtigungskonzept bzw. einer Benutzerkontrolle haben hier bereits einen deutlichen Vorteil.
Bearbeitungsreglement und Verzeichnis der Bearbeitungstätigkeiten
Das neue DSG (Art. 12 DSG) verlangt von Verantwortlichen (egal ob Bundesorgan oder private Personen) und Auftragsbearbeitern ein Verzeichnis der Bearbeitungstätigkeiten zu führen, welches jede Datenbearbeitung dokumentiert. Ausgenommen hiervon sind natürliche Personen und Unternehmen, die am 1. Januar eines Jahres weniger als 250 Mitarbeitende beschäftigen, ausser eine der folgenden Voraussetzungen ist erfüllt (Art. 24 DSV):
- Es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet.
- Es wird ein Profiling mit hohem Risiko durchgeführt.
Zu dieser Pflicht fügt die Datenschutzverordnung die Anforderung hinzu, auch ein Bearbeitungsreglement zu erstellen, wenn private Personen einer dieser zwei Bearbeitungen nachgehen (Art. 5 DSV).
Bundesorgane sind von der Verpflichtung zum Bearbeitungsreglement in weit mehr Fällen betroffen als private Personen. Eine Liste von Bearbeitungen, bei denen die Verpflichtung für Bundesorgane greift, stellt Art.6 DSV bereit. Die DSV enthält eine Auflistung der Informationen, die dieses Reglement enthalten muss (Art. 5 DSV für private Personen und Art. 6 DSV für Bundesorgane).
Im Gegensatz zum Verzeichnis der Bearbeitungstätigkeiten konzentriert sich der Inhalt mehr auf die technischen und organisatorischen Aspekte. Es ist deshalb ratsam, das Bearbeitungsreglement mit dem Verzeichnis der Bearbeitungstätigkeiten zu kombinieren, da die beiden Dokumente sich gegenseitig ergänzen und, im Falle von privaten Organisationen, in den gleichen Fällen gefordert werden.
Achtung: Die übrigen Bestimmungen des Datenschutzgesetzes, insbesondere die Auskunfts- und Informationspflichten, gelten auch dann, wenn ein Unternehmen von der Pflicht zur Führung eines Bearbeitungsverzeichnisses befreit ist.
Bearbeitung durch Auftragsbearbeiter
Die neue Pflicht des DSG, dass ein Auftragsbearbeiter die Zustimmung des Verantwortlichen einholen muss, bevor er einen Unterauftragsbearbeiter einsetzt, wird in der DSV konkretisiert. Gemäss Art. 7 DSV kann die vorgängige Genehmigung des Verantwortlichen spezifischer oder allgemeiner Art sein. Bei einer allgemeinen Genehmigung informiert der Auftragsbearbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsbearbeiter. Der Verantwortliche kann Widerspruch gegen diese Änderung erheben. Dies entspricht im Wesentlichen der Vorgehensweise, die die DSGVO vorschreibt.
Bekanntgabe von Personendaten ins Ausland
Sollen Personendaten ins Ausland übertragen werden, ergänzt die DSV die Regelungen des DSG ebenfalls.
Mehr dazu erfahren Sie in unserem Ratgeber zur rechtskonformen Übermittlung von Personendaten ins Ausland.
Pflichten des Verantwortlichen
Informationspflichten
Das DSG dehnt die Informationspflichten auf die Bearbeitung jeglicher Personendaten aus. Laut DSV müssen Informationen über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form erteilt werden (Art. 13 DSV).
Geben Bundesorgane Personendaten bekannt aufgrund einer gesetzlichen Grundlage (Art. 36 DSG), sind sie zudem verpflichtet, die Empfänger der Personendaten über die Aktualität, Zuverlässigkeit und Vollständigkeit der bekanntgegebenen Personendaten zu informieren, soweit sich diese Informationen nicht aus den Daten selbst oder aus den Umständen ergeben (Art. 29 DSV).
Datenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzungen sind bei Verarbeitungen mit hohen Risiken zu erstellen, und zwar vor Inbetriebnahme der geplanten Bearbeitung. Die Datenschutz-Folgenabschätzung ist nach Beendigung der Datenbearbeitung mindestens zwei Jahre aufzubewahren.
Datenschutzvorfälle
Laut dem neuen DSG müssen Datenpannen in bestimmten Fällen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Die DSV enthält eine Auflistung von Angaben, die eine Meldung einer Verletzung der Datensicherheit an den EDÖB enthalten muss (Art. 15 DSV). Dieses Verfahren und der Inhalt der erforderlichen Meldung ähneln im Wesentlichen den Anforderungen der DSGVO. Ein Unterschied besteht darin, dass die DSV eine gesetzliche Aufbewahrungsfrist für diese dokumentierten Meldungen vorschreibt. Sie müssen zwei Jahre ab dem Datum der Meldung an die EDÖB aufbewahrt werden.
Tipp: Lesen Sie unsere ausführliche Anleitung zum Umgang mit Datenschutzvorfällen!
Betroffenenrechte
Das Auskunftsrecht wird im neuen DSG ausgeweitet und das Recht auf Datenherausgabe oder -übertragung eingeführt. Die DSV legt die Modalitäten für die Ausübung dieser Rechte, die Zuständigkeiten, die Fristen und die Kosten fest. Standard ist, dass die Rechte schriftlich oder elektronisch eingefordert und beantwortet werden müssen. Gemeinsam für die Bearbeitung Verantwortliche und Auftragsbearbeiter sind gleichermassen in der Pflicht. Ebenso wie unter der DSGVO müssen die Anfragen innerhalb von 30 Tagen beantwortet werden.
Die DSV definiert zudem die technischen Anforderungen an die Umsetzung des Rechts auf Datenherausgabe oder -übertragung und beschränkt dessen Umfang. Demnach ist der Anspruch beschränkt auf Personendaten, die die betroffene Person dem Verantwortlichen wissentlich und willentlich zur Verfügung gestellt hat, sowie Daten, die der Verantwortliche über die betroffene Person und ihr Verhalten im Rahmen der Nutzung eines Diensts oder Geräts erhoben hat. Personendaten, die Verantwortliche mit Hilfe der bekanntgegebenen Daten erzeugt haben, sind davon nicht betroffen.
Verantwortliche, die bereits DSGVO-konforme Prozesse für den Umgang mit Betroffenenanfragen implementiert haben, müssen nur minimale Änderungen vornehmen.
Externe oder interne Datenschutzberater
Private Unternehmen können einen externen oder internen Datenschutzberater ernennen. Bundesorgane sind gesetzlich dazu verpflichtet, einen Datenschutzberater zu bestellen (Art. 25 DSV).
Tipp: Mehr Information dazu lesen Sie in unserem Artikel zu Funktionen und Aufgaben von Datenschutzberatenden.
Handlungsempfehlungen für Unternehmen in der Schweiz
Die DSV setzt den Trend des DSG fort und gleicht die Anforderungen des schweizerischen Rechts deutlich an die Anforderungen der DSGVO an. Unternehmen, die bereits DSGVO-konform arbeiten, sind zu grossen Teilen bereits konform mit dem Schweizer Datenschutzgesetz und der Datenschutzverordnung, so, wie es der Schweizer Gesetzgeber gewollt hat. Diese Unternehmen haben demnach entsprechend weniger Handlungsbedarf.
Unternehmen, welche noch kein Datenschutz-Managementsystem nach Anforderungen der DSGVO eingeführt haben, werden sollten umgehend (mindestens) folgende Massnahmen umsetzen:
- Führen Sie eine Bestandsaufnahme Ihrer Datenbearbeitungen durch, um anschliessend im Rahmen einer Gap-Analyse den datenschutzrechtlichen Handlungsbedarf festzustellen.
- Stellen Sie sicher, dass Betroffene ausreichend informiert werden.
- Legen Sie Prozesse fest, um Betroffenenanfragen nachkommen zu können.
- Stellen Sie sicher, dass Sie auf Datenschutzvorfälle reagieren können und ein Meldeprozess vorhanden ist.
- Erstellen und pflegen Sie ein aktuelles Verzeichnis der Bearbeitungstätigkeiten.
- Überprüfen Sie ihre Bearbeitungen durch Auftragsbearbeiter.