Das neue Datenschutzgesetz: Muss ich eine Datenschutzerklärung erstellen?

Die Schweiz passt im September 2023 das Datenschutzgesetz an. Das Datenschutzgesetz regelt, wie mit personenbezogenen Daten umgegangen werden muss. Das Datenschutzgesetz des Bundes gilt für alle Privatpersonen (Personen, Unternehmen, Vereine, usw.) sowie Bundesorgane. Kantonale öffentlich-rechtliche Organe müssen sich weiterhin an die kantonalen Gesetze halten. Unter Personendaten versteht man sämtliche Informationen, die sich auf eine bestimmte oder eine bestimmbare Person beziehen. Im neuen Datenschutzgesetz werden unter Anderem auch die Anforderungen an die Datenschutzerklärung verschärft: Im Rahmen der Revision wurden insbesondere wesentlich strengere Sanktionen eingeführt, erweiterte Informationspflichten geschaffen und die Pflicht zur Erstellung eines Bearbeitungsverzeichnisses aufgenommen. Mit der Revision des Datenschutzgesetzes werden sich für viele Personen auch neue Fragen stellen. Deshalb gehen wir hier auf einige wichtige Änderungen ein und erläutern diese etwas näher. 

Wann tritt das neue Datenschutzgesetz in der Schweiz in Kraft? 

Das neue Schweizer Datenschutzgesetz wird am 1. September 2023 in Kraft treten und das Schweizer Datenschutzrecht auf das Niveau der EU anheben. Damit wird sichergestellt, dass die Schweiz weiterhin einen gleichwertigen Datenschutz zur EU halten kann. Obwohl das neue Datenschutzgesetz, kurz DSG, teilweise auch nDSG oder revDSG abgekürzt, sich in vielen Punkten an die EU-Datenschutzgrundverordnung (DSGVO) anpasst, behält es dennoch Eigenheiten und weicht in gewissen Punkten auch von der DSGVO ab.  

Was ist im neuen Datenschutzgesetz (nDSG oder auch revDSG) genau neu und worauf muss geachtet werden? Brauchen wir jetzt immer eine Datenschutzerklärung? 

Im Gegensatz zum bisherigen Gesetz müssen neu alle Verantwortlichen bei jeder Beschaffung von Personendaten informieren, sofern keine der gesetzlich festgelegten Ausnahmen vorliegen. Unter der Beschaffung von Personendaten wird jede Bearbeitung von Personendaten verstanden, also auch ein nur kurzzeitiges Speichern bspw.  

Somit muss in den allermeisten Fällen auch eine Datenschutzerklärung erstellt werden. Eine Datenschutzerklärung geht im neuen Datenschutzgesetz aber deutlich weiter, als was mit den gängigen Datenschutz-Generatoren angeboten wird, denn Datenschutz geht weit über die Datenschutzerklärung einer Webseite hinaus. Auch Firmen ohne Webseiten müssen zukünftig über ihre Datenbearbeitungen informieren. So muss bspw. auch jede Videoüberwachungsanlage über die nachfolgenden Informationen über den Betrieb der Anlage verfügen, ein kleines Kamera-Emblem reicht also nicht. 

Die betroffenen Personen müssen bei der Beschaffung von Personendaten mindestens über folgende Punkte informiert werden:  

  • Zweck der Bearbeitung   
  • Identität und Kontaktdaten der verantwortlichen Person 
  • alle möglichen Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekannt gegeben werden können 
  • Sofern Daten ins Ausland bekannt gegeben werden: der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten (Wichtig: eine Bekanntgabe liegt auch vor, wenn die Daten einfach im Ausland bearbeitet oder gespeichert werden).  

Somit müssen neu alle Unternehmen eine Datenschutzerklärung erstellen, wobei die oben beschriebenen vier Mindestangaben enthalten sein sollten – im Gegensatz zur DSGVO sind diese jedoch weniger umfassend. Nur hinsichtlich Informationspflicht bezüglich Datenbekanntgabe ins Ausland geht das Schweizer Datenschutzgesetz weiter als die DSGVO. 

Wann brauchen wir ein Verzeichnis der Bearbeitungstätigkeiten?  

Neu sieht das Datenschutzgesetz vor, dass Verantwortliche sowie Auftragsbearbeiterinnen bzw. -bearbeiter ein Verzeichnis über ihre Datenbearbeitungstätigkeiten führen müssen; diese Angaben müssen stets aktuell und genau sein. Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitungen ein geringeres Risiko von Persönlichkeitsverletzungen mit sich bringen, sind von dem Führen eines solchen Verzeichnisses befreit. Dennoch kann das Führen eines solchen Verzeichnisses in jedem Fall empfohlen werden, denn sie ist zentrale Informationsstelle für alle Bearbeitungstätigkeiten in Ihrem Unternehmen und kann dann auch bei dem Bearbeiten von Betroffenenrechten hilfreich sein.  

Der Mindestinhalt des Verzeichnisses wird im neuen DSG beschrieben. 

Wie hoch sind die Bussen im neuen Datenschutzgesetz?  

Im Vergleich zur bisherigen Regelung wurden die Strafbestimmungen im neuen Datenschutzgesetz deutlich verschärft und ausgeweitet. Wer die Auskunftspflichten, die Informationspflichten oder die Mitwirkungspflichten verletzt, kann mit einer Busse von bis zu CHF 250’000 bestraft werden. Auch wenn man gegen seine berufliche Schweigepflicht verstösst oder eine Verfügung missachtet, kann dies mit bis zu CHF 250'000 bestraft werden – genauso wie bei Verstössen gegen Sorgfaltspflichten. Diese sind:  

  • Missachtung der Regeln für die Datenbekanntgabe ins Ausland,  
  • Missachtung der Regeln für den Einbezug von Auftragsbearbeitern, und  
  • Missachtung der Mindestanforderungen an die Datensicherheit.  

Die Verfolgung und Beurteilung strafbarer Handlungen fällt unter die Zuständigkeit der Kantone; jedoch kann auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Strafanzeige erstatten; er hat dann dieselben Rechte wie eine Privatklägerin bzw. ein Privatkläger im Strafverfahren. Der EDÖB kann auch ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen.  

Wer muss die Bussen im neuen Datenschutzgesetz zahlen?  

Obwohl die datenschutzrechtlichen Pflichten den einzelnen Unternehmen auferlegt werden, wird bei Verstössen gegen Strafbestimmungen innerhalb eines Unternehmens denjenigen Personen Verantwortung zugeschrieben, die über leitende Funktionen verfügen; es sind jedoch auch Fälle denkbar, in denen nichtleitende Personen belangt werden können. Wichtig ist, dass jede Person persönlich verantwortlich ist, sich an das Datenschutzrecht zu halten und bei Verstössen auch persönlich gebüsst werden kann. 

Was ist Privacy by Design und Privacy by Default?  

Das Prinzip «Privacy by Design» wird nun auch im neuen Schweizer Datenschutzgesetz berücksichtigt; dies bedeutet, dass schon bei der Planung (dem Design) eines Projektes darauf geachtet werden muss, dass alle Vorschriften zum Schutz von personenbezogenen Daten eingehalten werden können – beispielsweise durch technische Vorkehrungen und organisatorische Massnahmen. Privacy by Design muss bereits möglichst früh beachtet werden, es ist wichtig, dass bspw. Bei der Erstellung einer Webseite bereits früh auf unnötiges Datensammeln verzichtet wird (bspw. Auf die Einbettung von Google Schriftarten (Google-Fonts) ganzheitlich verzichten, oder diese selbst hosten, auf privacy-freundliche Analytics-Dienste setzen und Inhalte von Dritten bspw. nur mit einem opt-in einbetten).  

Zusätzlich müssen Verantwortliche sicherstellen, dass standardmässig nur Daten verarbeitet werden, welche für den jeweiligen Zweck erforderlich sind. Das nennt man «Privacy by Default». Die Bearbeitung muss also standardmässig auf das nötige Mindestmass reduziert sein. Ein Beispiel für Privacy by Default wären Cookie-Einstellungen, die standardmässig auf die technisch zwingend notwendigen Cookies beschränkt sind. Alle weitergehenden Cookies oder Personenbearbeitungen müssten standardmässig deaktiviert sein und durch die Benutzerin oder den Benutzer selbstständig aktiviert werden. 

Privacy by Design und Privacy by Default gelten aber nicht nur für Webseiten, sondern sind Grundsätze, die auf jede Datenbearbeitung Anwendung finden müssen. 

Wann muss eine Verletzung des Datenschutzes gemeldet werden? 

Bei einer Verletzung der Datensicherheit, die zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen könnte, müssen die datenverantwortlichen Personen den EDÖB «so rasch als möglich» informieren. Die DSGVO, schreibt hingegen eine Meldefrist von 72 Stunden vor. 

Von einer solchen Verletzung wird ausgegangen, wenn personenbezogene Informationen unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden. Eine solche Meldepflicht wird, wie bereits erwähnt, auch in der DSGVO vorgesehen. Verglichen mit der Regelung aus der DSGVO sieht das neue Datenschutzgesetz jedoch eine mildere Regelung vor, da eine Meldung nur bei einem hohen Risiko vorgeschrieben wird.  

Was ist eine Datenschutz-Folgenabschätzung und wann brauchen wir eine? 

Wenn eine geplante Datenverarbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte einer Person darstellen kann, muss zuvor eine Datenschutzfolgenabschätzung durchgeführt werden. Das neue Datenschutzgesetz definiert das «hohe Risiko» jedoch nicht.  

Die Datenschutz-Folgenabschätzung muss bereits in der Planungsphase stattfinden. Es müssen somit einerseits die Risiken und andererseits auch die geeigneten Massnahmen beschrieben werden. Wenn bei einer Folgenabschätzung herauskommt, dass trotz der geplanten Massnahmen ein zu grosses Risiko verbleibt, muss vorgängig zwingend eine Stellungnahme des EDÖB eingeholt werden. 

Was sind Auftragsbearbeiterinnen und Auftragsbearbeiter?  

Ein Auftragsbearbeitungsverhältnis kann durch Vertrag oder Gesetz begründet werden (bspw. Outsourcing in die Cloud). Die Auftragsbearbeiterin bzw. der Auftragsbearbeiter darf dabei die Daten nur so bearbeiten wie es die verantwortliche Person selbst auch tun dürfte. Die verantwortliche Person muss sicherstellen, dass ihre Auftragnehmerin oder ihr Auftragnehmer über genügend Fachwissen verfügt um die Datensicherheit gewährleisten zu können. Hier ändert sich an der bestehenden Rechtslage somit nichts. Neu wird gesetzlich jedoch festgelegt, dass ein Dritter nur mit vorheriger Zustimmung des Verantwortlichen hinzugezogen werden darf – dies entspricht dem Vorgehen nach DSGVO-Regeln.