Newsletter #2 9/2022 Abschluss der Totalrevision des Schweizer Datenschutzgesetzes (DSG)


Überblick Die Totalrevision des Schweizer Datenschutzgesetzes (DSG) ist abgeschlossen. Am 31. August 2022 hat der Bundesrat die Datenschutzverordnung (DSV) veröffentlicht und das Inkrafttreten der neuen Regeln per 1. September 2023 beschlossen. Mit der Totalrevision sollte das in die Jahre gekommene Schweizer Datenschutzgesetz an die heutigen gesellschaftlichen und technologischen Verhältnisse angepasst und den jüngeren und moderneren Regelungen im europäischen Datenschutzumfeld (insb. EU-DSGVO) angenähert werden. Das nun vorliegende Gesetz und die dazugehörige Verordnung stimmen zwar in vielen Teilen mit den EU-Regeln überein. Dennoch sind bei der Prüfung und Implementierung des neuen Datenschutz-Setups in einem Unternehmen einige sogenannte «Swiss-Finishes» zu berücksichtigen. Schweizer Unternehmen haben nun ein Jahr Zeit, die neuen Regeln umsetzen – (weitere) Übergangsfristen sind keine vorgesehen. Gerne informieren wir Sie hiermit kurz über die wichtigsten Neuerungen und unser Angebot für Sie. Im Anhang steht Ihnen zudem eine Checkliste mit den einzelnen Aufgaben für die schrittweise Umsetzung der neuen Datenschutzregelungen in Ihrem Unternehmen zur Verfügung. Wichtige Neuerungen Wir beschränken uns im Nachfolgenden auf die wichtigsten Neuerungen gegenüber dem geltenden Recht: Kein Schutz von Daten juristischer Personen: Während das geltende DSG auf Daten sowohl natürlicher als auch juristischer Personen anwendbar ist, beschränkt das revDSG den Geltungsbereich – gleich wie die EU-DSGVO – auf Daten natürlicher Personen. Profiling und Profiling mit hohem Risiko: Es wird zwischen normalem «Profiling» und «Profiling mit hohem Risiko» unterschieden. Unter Profiling fällt jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, zu analysieren oder vorherzusagen (Art. 5 lit. f nDSG). Das Profiling mit hohem Risiko bringt zudem ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich (Art. 5 lit. g nDSG). Profiling setzt für sich allein keine Einwilligung voraus, auch nicht bei hohem Risiko. Es ist jedoch im Zusammenhang mit den Informationspflichten, der Protokollierungspflicht und weiteren administrativen Pflichten von Bedeutung (vgl. unten). Deutlich erweiterte Informations- und Auskunftspflichten: Die neuen Regelungen verlangen, dass betroffene Personen insbesondere über die Beschaffung von Personendaten informiert werden, wobei alle Informationen mitzuteilen sind, die erforderlich sind, damit die betroffenen Personen ihre Rechte geltend machen können und eine transparente Datenbearbeitung gewährleistet ist. Dazu gehören insbesondere die Kontaktdaten des Verantwortlichen, der Bearbeitungszweck und ggf. Empfänger der Personendaten, wenn diese weitergegeben werden (Art. 19 nDSG). Eine vorsätzliche Verletzung dieser Pflicht wird strafrechtlich sanktioniert. Zudem kann jede Person Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Wenn dies der Fall ist, sind ihr alle Informationen mitzuteilen, die erforderlich sind, damit sie ihre Rechte geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. Das Gesetz enthält eine entsprechende Aufzählung (Art. 25 nDSG). Neue Rollenbezeichnungen: Mit den neuen Regelungen werden die Begriffe des «Verantwortlichen» und des «Auftragsbearbeiters» eingeführt. Für das Verständnis der weiteren Ausführungen – sowie des Gesetzestextes selbst – ist es hilfreich, diese beiden Rollen zu kennen. Als Verantwortlicher gilt, wer […] über den Zweck und die Mittel einer Datenbearbeitung entscheidet, also z.B. ein Arbeitgeber für die Bearbeitung von Personendaten seiner Angestellten oder ein Händler für die Bearbeitung von Personendaten seiner Kunden. Als Auftragsbearbeiter gilt demgegenüber, wer […] im Auftrag des Verantwortlichen Personendaten bearbeitet, z.B. die Speicherung von Daten auf einem externen Server oder durch Cloud-Dienstleister. Administrative Pflichten: Auch die administrativen Pflichten wurden ausgebaut. Diese umfassen beispielsweise: das Führen eines Bearbeitungsverzeichnisses (Art. 12 nDSG). Ein Bearbeitungsverzeichnis ist ein Inventar, das die verschiedenen Datenbearbeitungen im Unternehmen enthält. Erfasst werden dabei die unterschiedlichen Zwecke der Bearbeitung (z.B. HR, Marketing etc.) und ihre wesentlichen Rahmenbedingungen. Ausnahmen gelten für Unternehmen mit weniger als 250 Mitarbeiterinnen und Mitarbeitern (Art. 24 DSV); die Erstellung von Datenschutz-Folgeabschätzungen, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann (Art. 22 nDSG); bei Verstössen gegen das Datenschutzgesetz (Art. 24 nDSG und Art. 15 DSV); das Protokollieren von automatisierten Bearbeitungen besonders schützenswerter Personendaten in grossem Umfang oder Profiling mit hohem Risiko, wenn die ergriffenen präventiven Massnahmen den Datenschutz nicht zu gewährleisten vermögen (Art. 4 DSV); und das Erstellen eines Reglements für automatisierte Bearbeitungen. Dieses ist zudem regelmässig zu aktualisieren, wenn besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet oder Profiling mit hohem Risiko durchgeführt wird (Art. 5 DSV). Datensicherheit: Es müssen technische und organisatorische Massnahmen (z.B. Zugriffsrechte, Pseudonymisierung) ergriffen werden, um eine angemessene Datensicherheit zu gewährleisten. Dies beinhaltet auch, dass die Applikationen u.a. so ausgestaltet werden, dass Personendaten standardmässig anonymisiert und/oder nach einer bestimmten Zeit gelöscht werden. Werden die Personendaten durch einen Auftragsbearbeiter bearbeitet, muss der Verantwortliche sicherstellen, dass auch der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten (z.B. durch sog. Auftragsdatenbearbeitungsverträge, ADV). Im Zusammenhang mit der Datensicherheit ist ebenfalls erwähnenswert, dass «über die gesamte Bearbeitungsdauer» eine Pflicht zur Überprüfung und gegebenenfalls Anpassung der getroffenen Massnahmen besteht und ein vorsätzlicher Verstoss gegen die Mindestanforderungen an die Datensicherheit sanktionsbewehrt ist. Bekanntgabe von Personendaten ins Ausland: Als Bekanntgabe gilt insbesondere auch die Speicherung der Personendaten auf einem ausländischen System (Server, Cloud), aber auch ein Zugriff durch ein ausländisches Support-Team. Grundsätzlich dürfen Personendaten ins Ausland bekanntgegeben werden, wenn die Gesetzgebung des Drittstaates einen angemessenen Schutz gewährleistet (Art. 16 Abs. 1 nDSG). Die Länder, in welchen dies der Fall ist, sind in Anhang 1 der DSV aufgelistet. Bei einer Bekanntgabe von Personendaten in andere Staaten – so insbesondere auch in die USA – wird entweder die Anwendung einer konkreten Ausnahmebestimmung oder die Implementierung von alternativen Schutzmassnahmen zur Gewährleistung eines angemessenen Datenschutzes vorausgesetzt (Art. 16 Abs. 2 und Art. 17 nDSG). Sanktionen: Das neue Datenschutzgesetz sieht für die Verletzung bestimmter Pflichten Bussen bis zu CHF 250'000 vor (Art. 60 ff. nDSG). Strafbar sind vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit. Anders als in der EU, wo sich die Sanktionen gegen die Unternehmen richten, wird in der Schweiz grundsätzlich die verantwortliche natürliche Person gebüsst. Das Unternehmen selbst kann nur mit einer Busse bis zu CHF 50’000 gebüsst werden, wenn die Ermittlung der strafbaren natürlichen Person innerhalb des Unternehmens oder der Organisation einen unverhältnismässigen Untersuchungsaufwand mit sich ziehen würde. Wir empfehlen, zeitnah mit der Umsetzung der neuen Regelungen zu beginnen, damit Ihr Unternehmen am 1. September 2023 DSG-konform aufgestellt ist. Eine kurze Checkliste, die Ihnen den Einstieg erleichtern kann, steht wie bereits erwähnt im Anhang zur Verfügung. Unser Angebot Gerne unterstützen wir Sie pragmatisch und nachhaltig bei Ihren Datenschutz-Projekten, beispielsweise: durch Schulungen und Trainings; bei der GAP-Analyse und beim Aufsetzen Ihres Datenschutz-Setups; mit Empfehlungen zu hilfreichen Datenschutz-Tools; bei der Erstellung der notwendigen Datenschutzerklärungen; bei der Vertragsgestaltung mit Ihren Partnern; bei grösseren Auslagerungen von Datenbearbeitungen/Outsourcing (z.B. bei der Nutzung von Cloud Services) oder in Zusammenhang mit Datentransfers ins Ausland. Wir hoffen, Ihnen mit diesen Informationen zu dienen und stehen bei Rückfragen gerne zur Verfügung. Checklist_DE.pdf Checklist_IT.pdf Checklist_FR.pdf Checklist_EN.pdf Kontakte Prof. Dr. Cornelia Stengel Tel. +41 58 200 39 00 Fax +41 58 200 39 11 cornelia.stengel@kellerhals-carrard.ch Stefano Perucchi Tel. +41582003100 Fax +41582003111 stefano.perucchi@kellerhals-carrard.ch Dr. Urs Marti Tel. +41 58 200 35 28 Fax +41 58 200 35 11 urs.marti@kellerhals-carrard.ch Dr. Mario M. Marti Tel. +41 58 200 35 00 Fax +41 58 200 35 11 mario.marti@kellerhals-carrard.ch Christophe Rapin Tel. +41 58 200 33 30 Fax +41 58 200 33 11 christophe.rapin@kellerhals-carrard.ch Dr. Thomas Bähler Tel. +41 58 200 35 00 Fax +41 58 200 35 11 thomas.baehler@kellerhals-carrard.ch Dr. Nicolas Mosimann Tel. +41 58 200 30 49 Fax +41 58 200 30 11 nicolas.mosimann@kellerhals-carrard.ch Dr. Daniel Alder Tel. +41 58 200 39 33 Fax +41 58 200 39 11 daniel.alder@kellerhals-carrard.ch Ralph Gramigna Tel. +41 58 200 39 06 Fax +41 58 200 39 11 ralph.gramigna@kellerhals-carrard.ch

Überblick

Die Totalrevision des Schweizer Datenschutzgesetzes (DSG) ist abgeschlossen. Am 31. August 2022 hat der Bundesrat die Datenschutzverordnung (DSV) veröffentlicht und das Inkrafttreten der neuen Regeln per 1. September 2023 beschlossen. Mit der Totalrevision sollte das in die Jahre gekommene Schweizer Datenschutzgesetz an die heutigen gesellschaftlichen und technologischen Verhältnisse angepasst und den jüngeren und moderneren Regelungen im europäischen Datenschutzumfeld (insb. EU-DSGVO) angenähert werden. Das nun vorliegende Gesetz und die dazugehörige Verordnung stimmen zwar in vielen Teilen mit den EU-Regeln überein. Dennoch sind bei der Prüfung und Implementierung des neuen Datenschutz-Setups in einem Unternehmen einige sogenannte «Swiss-Finishes» zu berücksichtigen.

Schweizer Unternehmen haben nun ein Jahr Zeit, die neuen Regeln umsetzen – (weitere) Übergangsfristen sind keine vorgesehen. Gerne informieren wir Sie hiermit kurz über die wichtigsten Neuerungen und unser Angebot für Sie. Im Anhang steht Ihnen zudem eine Checkliste mit den einzelnen Aufgaben für die schrittweise Umsetzung der neuen Datenschutzregelungen in Ihrem Unternehmen zur Verfügung.

Wichtige Neuerungen

Wir beschränken uns im Nachfolgenden auf die wichtigsten Neuerungen gegenüber dem geltenden Recht:

Kein Schutz von Daten juristischer Personen: Während das geltende DSG auf Daten sowohl natürlicher als auch juristischer Personen anwendbar ist, beschränkt das revDSG den Geltungsbereich – gleich wie die EU-DSGVO – auf Daten natürlicher Personen.
Profiling und Profiling mit hohem Risiko: Es wird zwischen normalem «Profiling» und «Profiling mit hohem Risiko» unterschieden. Unter Profiling fällt jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, zu analysieren oder vorherzusagen (Art. 5 lit. f nDSG). Das Profiling mit hohem Risiko bringt zudem ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich (Art. 5 lit. g nDSG). Profiling setzt für sich allein keine Einwilligung voraus, auch nicht bei hohem Risiko. Es ist jedoch im Zusammenhang mit den Informationspflichten, der Protokollierungspflicht und weiteren administrativen Pflichten von Bedeutung (vgl. unten).
Deutlich erweiterte Informations- und Auskunftspflichten: Die neuen Regelungen verlangen, dass betroffene Personen insbesondere über die Beschaffung von Personendaten informiert werden, wobei alle Informationen mitzuteilen sind, die erforderlich sind, damit die betroffenen Personen ihre Rechte geltend machen können und eine transparente Datenbearbeitung gewährleistet ist. Dazu gehören insbesondere die Kontaktdaten des Verantwortlichen, der Bearbeitungszweck und ggf. Empfänger der Personendaten, wenn diese weitergegeben werden (Art. 19 nDSG). Eine vorsätzliche Verletzung dieser Pflicht wird strafrechtlich sanktioniert. Zudem kann jede Person Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Wenn dies der Fall ist, sind ihr alle Informationen mitzuteilen, die erforderlich sind, damit sie ihre Rechte geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. Das Gesetz enthält eine entsprechende Aufzählung (Art. 25 nDSG).
Neue Rollenbezeichnungen: Mit den neuen Regelungen werden die Begriffe des «Verantwortlichen» und des «Auftragsbearbeiters» eingeführt. Für das Verständnis der weiteren Ausführungen – sowie des Gesetzestextes selbst – ist es hilfreich, diese beiden Rollen zu kennen. Als Verantwortlicher gilt, wer […] über den Zweck und die Mittel einer Datenbearbeitung entscheidet, also z.B. ein Arbeitgeber für die Bearbeitung von Personendaten seiner Angestellten oder ein Händler für die Bearbeitung von Personendaten seiner Kunden. Als Auftragsbearbeiter gilt demgegenüber, wer […] im Auftrag des Verantwortlichen Personendaten bearbeitet, z.B. die Speicherung von Daten auf einem externen Server oder durch Cloud-Dienstleister.
Administrative Pflichten: Auch die administrativen Pflichten wurden ausgebaut. Diese umfassen beispielsweise:
- das Führen eines Bearbeitungsverzeichnisses (Art. 12 nDSG). Ein Bearbeitungsverzeichnis ist ein Inventar, das die verschiedenen Datenbearbeitungen im Unternehmen enthält. Erfasst werden dabei die unterschiedlichen Zwecke der Bearbeitung (z.B. HR, Marketing etc.) und ihre wesentlichen Rahmenbedingungen. Ausnahmen gelten für Unternehmen mit weniger als 250 Mitarbeiterinnen und Mitarbeitern (Art. 24 DSV);
- die Erstellung von Datenschutz-Folgeabschätzungen, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann (Art. 22 nDSG);
- bei Verstössen gegen das Datenschutzgesetz (Art. 24 nDSG und Art. 15 DSV);
- das Protokollieren von automatisierten Bearbeitungen besonders schützenswerter Personendaten in grossem Umfang oder Profiling mit hohem Risiko, wenn die ergriffenen präventiven Massnahmen den Datenschutz nicht zu gewährleisten vermögen (Art. 4 DSV); und
- das Erstellen eines Reglements für automatisierte Bearbeitungen. Dieses ist zudem regelmässig zu aktualisieren, wenn besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet oder Profiling mit hohem Risiko durchgeführt wird (Art. 5 DSV).
Datensicherheit: Es müssen technische und organisatorische Massnahmen (z.B. Zugriffsrechte, Pseudonymisierung) ergriffen werden, um eine angemessene Datensicherheit zu gewährleisten. Dies beinhaltet auch, dass die Applikationen u.a. so ausgestaltet werden, dass Personendaten standardmässig anonymisiert und/oder nach einer bestimmten Zeit gelöscht werden.

Werden die Personendaten durch einen Auftragsbearbeiter bearbeitet, muss der Verantwortliche sicherstellen, dass auch der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten (z.B. durch sog. Auftragsdatenbearbeitungsverträge, ADV).

Im Zusammenhang mit der Datensicherheit ist ebenfalls erwähnenswert, dass «über die gesamte Bearbeitungsdauer» eine Pflicht zur Überprüfung und gegebenenfalls Anpassung der getroffenen Massnahmen besteht und ein vorsätzlicher Verstoss gegen die Mindestanforderungen an die Datensicherheit sanktionsbewehrt ist.

Bekanntgabe von Personendaten ins Ausland: Als Bekanntgabe gilt insbesondere auch die Speicherung der Personendaten auf einem ausländischen System (Server, Cloud), aber auch ein Zugriff durch ein ausländisches Support-Team.

Grundsätzlich dürfen Personendaten ins Ausland bekanntgegeben werden, wenn die Gesetzgebung des Drittstaates einen angemessenen Schutz gewährleistet (Art. 16 Abs. 1 nDSG). Die Länder, in welchen dies der Fall ist, sind in Anhang 1 der DSV aufgelistet. Bei einer Bekanntgabe von Personendaten in andere Staaten – so insbesondere auch in die USA – wird entweder die Anwendung einer konkreten Ausnahmebestimmung oder die Implementierung von alternativen Schutzmassnahmen zur Gewährleistung eines angemessenen Datenschutzes vorausgesetzt (Art. 16 Abs. 2 und Art. 17 nDSG).

Sanktionen: Das neue Datenschutzgesetz sieht für die Verletzung bestimmter Pflichten Bussen bis zu CHF 250'000 vor (Art. 60 ff. nDSG). Strafbar sind vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit. Anders als in der EU, wo sich die Sanktionen gegen die Unternehmen richten, wird in der Schweiz grundsätzlich die verantwortliche natürliche Person gebüsst. Das Unternehmen selbst kann nur mit einer Busse bis zu CHF 50’000 gebüsst werden, wenn die Ermittlung der strafbaren natürlichen Person innerhalb des Unternehmens oder der Organisation einen unverhältnismässigen Untersuchungsaufwand mit sich ziehen würde.

Wir empfehlen, zeitnah mit der Umsetzung der neuen Regelungen zu beginnen, damit Ihr Unternehmen am 1. September 2023 DSG-konform aufgestellt ist. Eine kurze Checkliste, die Ihnen den Einstieg erleichtern kann, steht wie bereits erwähnt im Anhang zur Verfügung.

Unser Angebot

Gerne unterstützen wir Sie pragmatisch und nachhaltig bei Ihren Datenschutz-Projekten, beispielsweise:

durch Schulungen und Trainings;
bei der GAP-Analyse und beim Aufsetzen Ihres Datenschutz-Setups;
mit Empfehlungen zu hilfreichen Datenschutz-Tools;
bei der Erstellung der notwendigen Datenschutzerklärungen;
bei der Vertragsgestaltung mit Ihren Partnern;
bei grösseren Auslagerungen von Datenbearbeitungen/Outsourcing (z.B. bei der Nutzung von Cloud Services) oder
in Zusammenhang mit Datentransfers ins Ausland.

Wir hoffen, Ihnen mit diesen Informationen zu dienen und stehen bei Rückfragen gerne zur Verfügung.

Kontakte

Suche einschränken

Newsletter #2 9/2022 Abschluss der Totalrevision des Schweizer Datenschutzgesetzes (DSG)

Kontakte

Prof. Dr. Cornelia Stengel

Stefano Perucchi

Dr. Urs Marti

Dr. Mario M. Marti

Christophe Rapin

Dr. Thomas Bähler

Dr. Nicolas Mosimann

Dr. Daniel Alder

Ralph Gramigna