Schweizer Datenschutzgesetz - Was ist zu beachten?

Seit dem 1. September 2023 ist sie nun in Kraft: die Revision des Schweizer Datenschutzgesetzes (DSG). Die umfassenden neuen Bestimmungen enthalten sowohl Differenzierungen als auch zahlreiche Angleichungen an die in der Europäischen Union geltende Datenschutzgrundverordnung (DSGVO). Besonders die Anforderungen an die Informations-, Dokumentations- und Meldepflichten werden verschärft. Die folgenden Bestimmungen sollten Sie unbedingt kennen und umsetzen.

Grundsätzlich gilt das DSG in der Schweiz. Es gilt jedoch das Auswirkungsprinzip. Dieses besagt, dass das DSG auch dann zu beachten ist, wenn sich im Ausland stattfindende Datenbearbeitungen in der Schweiz auswirken. Zudem ist zu beachten, dass bei grenzüberschreitenden Tätigkeiten mit EU-Ländern, also insbesondere wenn Daten von EU-Bürgern bearbeitet werden, auch die DSGVO selbst zur Anwendung kommt. Dies ist immer im Einzelfall zu prüfen.

Zudem bezieht sich das DSG mit der Neuerung ausschliesslich auf die Verarbeitung von Daten natürlicher Personen. Juristische Personen werden vom DSG nicht erfasst.

Personenbezogene Daten

Personenbezogene Daten sind Informationen, die entweder direkt einer bestimmten Person zugeordnet werden können oder die durch Zusatzinformationen oder Datenkombinationen auf eine bestimmte Person zurückgeführt werden können. Praktisch alle Informationen, die einer natürlichen Person zugeordnet werden können, sind personenbezogene Daten.

Beispiele: allgemeine Angaben (Name, Alter, Privatanschrift, Familienstand), körperliche Merkmale, Werturteile, Bankdaten, Online-Informationen (IP-Adressen) oder Kundendaten.

Besonders schützenswerte personenbezogenen Daten

Bestimmte personenbezogene Daten erfordern eine besonders sorgfältige Behandlung, da sie äusserst sensibel sind und erhebliche Auswirkungen auf die Persönlichkeitsrechte einer Person haben können. Zu diesen besonders schützenswerten Daten gehören Angaben über ethnische Herkunft, Religion, Behinderung oder Gesundheitszustand, sexuelle Orientierung, Gewerkschaftszugehörigkeit, politische Meinung sowie biometrische und genetische Daten.

Ein Beispiel hierfür wäre die Weitergabe von Informationen über Krankheiten, Sucht oder Risikoverhalten an Krankenversicherer, was dazu führen könnte, dass die betroffenen Personen von Zusatzversicherungen ausgeschlossen oder mit höheren Prämien belastet werden.

Die Unterscheidung zwischen personenbezogenen und besonders schützenswerten Daten ist entscheidend, da das Datenschutzrecht für besonders schützenswerte Personendaten einen erhöhten Schutz vorsieht. Dies bedeutet, dass erweiterte Informationspflichten und strengere Rechtfertigungsgründe für die Verarbeitung solcher Daten gelten.

Konkret müssen für diese Datenkategorie ein Bearbeitungsreglement, eine Datenschutzfolgenabschätzung und ein Bearbeitungsprotokoll erstellt werden.

Jedes Unternehmen - unabhängig von seiner Grösse - muss die datenschutzrechtlichen Pflichten einhalten. Denn jedes Unternehmen bearbeitet in irgendeiner Form Daten, sei es von Kunden, Mitarbeitenden, Lieferanten, Geschäftspartnern und vielen mehr. Gewisse Pflichten müssen aber nur bestimmte Unternehmen erfüllen, die besonders viele Daten bearbeiten oder deren Bearbeitung besonders risikobehaftet ist.

Verzeichnis der Datenbearbeitungen

Gemäss Artikel 12 DSG führt das Unternehmen ein Verzeichnis aller Datenbearbeitungen. Verpflichtet dazu sind Unternehmen mit mehr als 250 Mitarbeitenden oder wenn besonders schützenswerte Personendaten in grossem Umfang bearbeitet werden oder Profiling mit hohem Risiko durchgeführt wird. Ein Bearbeitungsverzeichnis ist aber auch für kleinere Unternehmen sinnvoll, um sich einen Überblick über die aktuellen Bearbeitungsprozesse zu verschaffen und gegebenenfalls Defizite zu erkennen und zu beheben.

Risikobewertung und Datenschutz-Folgenabschätzung

Für datenschutzrelevante Bearbeitungen, die ein hohes Risiko für die Betroffenen darstellen können, ist gemäss Artikel 22 DSG eine Datenschutz-Folgenabschätzung durchzuführen.

Profiling

Wird ein Profiling mit hohem Risiko durchgeführt, also die Verknüpfung von persönlichen Daten, aus der sich Persönlichkeitsmerkmale einer Person ableiten lassen, ist die ausdrückliche Einwilligung der betroffenen Personen einzuholen.

Übermittlung personenbezogener Daten ins Ausland

Die rechtmässige Übermittlung von personenbezogenen Daten in Drittstaaten darf ausschliesslich unter Beachtung angemessener Datenschutzstandards oder anderer rechtlicher Grundlagen erfolgen. Informationen über Länder mit angemessenem Datenschutzniveau sind unter diesem Link abrufbar. Artikel 16 Absatz 2 DSG regelt die Voraussetzungen für Übermittlungen in Drittstaaten, die nicht auf der Liste aufgeführt sind.

Bearbeitung personenbezogener Daten im Ausland

Lässt ein Unternehmen personenbezogene Daten durch Dritte bearbeiten, so ist es dafür verantwortlich, dass die Datenbearbeitung gemäss den geltenden Datenschutzbestimmungen erfolgt. Für eine solche Bearbeitung ist in der Regel ein Auftragsbearbeitungsvertrag abzuschliessen.

Technische und organisatorische Massnahmen

Gemäss Artikel 8 DSG sind geeignete technische Schutzmechanismen und organisatorische Prozesse einzurichten, die sicherstellen, dass Datenschutzrisiken minimiert und Personendaten geschützt werden.

Privacy by Default und Privacy by Design

Bei der Konzeption, Gestaltung und Weiterentwicklung von IT-Systemen sind nach Artikel 7 DSG die Grundsätze des Datenschutzes und der IT-Sicherheit integrativ zu berücksichtigen. Die Umsetzung sollte voreingestellte Datenschutzmassnahmen enthalten, die dem Schutz der Privatsphäre der Nutzerinnen und Nutzer dienen. Der Einzelne soll vor möglichen Risiken für seine Rechte und Freiheiten geschützt werden, ohne dass er selbst aktiv werden muss.

Schulung der Mitarbeitenden

Die Mitarbeitenden sind in angemessenen Abständen über den Datenschutz und die Datenschutzprozesse zu schulen. Dies geschieht in der Regel durch E-Learning oder Präsenzschulungen.

Informationspflichten

Das Unternehmen stellt sicher, dass die betroffenen Personen alle relevanten Informationen über die Datenbearbeitung gemäss Artikel 19 DSG erhalten können. In bestimmten Fällen kann auf die Informationspflicht verzichtet werden (Artikel 20 DSG). Wird eine Website betrieben, wird die Informationspflicht in der Regel durch eine auf der Website veröffentlichte Datenschutzerklärung erfüllt.

Auskunftsrecht/Datenherausgabe

Betroffene Personen können gemäss Artikel 25 DSG Auskunft und Herausgabe ihrer Daten verlangen. Das Unternehmen hat eine Auskunftspflicht, die auch bei Auftragsbearbeitung besteht. Die Auskunft ist in der Regel innerhalb von 30 Tagen unentgeltlich zu erteilen. Betroffene haben auch das Recht auf Löschung oder Berichtigung ihrer Daten.

Auskunftsrechte der Mitarbeitenden

Auch Mitarbeitende haben ein Auskunftsrecht über die Bearbeitung ihrer Daten im Unternehmen (Auskunft, Berichtigung, Widerspruch).

Datenschutzverletzungen

Verstösse gegen den Datenschutz sind von den Mitarbeitenden so rasch als möglich der verantwortlichen Stelle im Unternehmen zu melden. Bei Verstössen mit voraussichtlich hohem Risiko erfolgt eine unverzügliche Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) unter Angabe der Art des Verstosses, seiner Auswirkungen und der getroffenen oder geplanten Massnahmen.

Die Strafen bei Verstössen gegen das Datenschutzgesetz wurden mit der Revision deutlich erhöht - sie können bis zu CHF 250'000 betragen. Konkret geht es um die Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten, die im Datenschutzgesetz vorgeschrieben sind. Dazu gehören beispielsweise das Beschaffen von Personendaten, ohne die betroffenen Personen zu informieren, die Verweigerung oder die falsche Auskunft, wenn jemand von Ihnen Auskunft darüber verlangt, ob in Ihrem Unternehmen Personendaten bearbeitet werden.

Die Sanktionen treffen die verantwortliche Person, nicht das Unternehmen. Das bedeutet nicht unbedingt, dass diejenigen Mitarbeitende, die einen Fehler machen, bestraft werden, sondern diejenigen Personen, die nach der internen Organisation des Unternehmens für den Datenschutz verantwortlich sind. In einem kleinen Unternehmen ist dies in der Regel der Inhaber oder die Inhaberin.