Teil 3 – Datenverarbeitung: Anforderungen an Schweizer Unternehmen nach dem revidierten Datenschutzgesetz

Datenschutz-Folgenabschätzung

Art. 22 DSGneu normiert die Anwendung einer DSFA. Diese ist immer dann notwendig, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Vor jedem Projekt im Unternehmen muss also die Überlegung angestellt werden, welche Daten wie, wo, von wem und wozu bearbeitet und ggf. weitergeben werden.

 Des Weiteren müssen auch die Speicherfristen und die Sicherheit der Speichermedien bedacht werden. Ist in der vorhergesehenen Datenbearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Personen enthalten?

Die DSFA muss also eine Beschreibung der geplanten Bearbeitung (mehrere Bearbeitungsvorgänge können zusammengefasst werden), eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte enthalten (Art. 22 Abs. 3 DSGneu). Gemäss Art. 22 Abs. 2 DSGneu definiert sich ein hohes Risiko insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. 

Die DSFA ist in Art. 35 DSGVO geregelt und Art. 22 DSGneu prinzipiell sehr ähnlich. Art. 35 Abs. 7 DSGVO enthält die Mindestanforderungen, welche – im Gegensatz zum DSGneu – auch die Rechtsgrundlage enthalten muss (vgl. Rz. 19 und 20). Auch hier gilt, wenn die Internetseite bereits auf die DSGVO ausgerichtet ist, erübrigen sich weitere Anpassungen. 

Unterschiedlich ist die Pflicht zur Meldung bei Verarbeitungen mit vermutungs-weise hohem Risiko. Diese müssen nämlich unter der DSGVO in jedem Fall der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. Im DSGneu (Art. 23 Abs. 4 DSGneu) ist die Konsultation eines Datenschutzberaters (normiert durch Abs. 10 DSGneu) anstelle der Konsultation des EDÖBs möglich.

Benennung eines Datenschutzverantwortlichen

Im Gegensatz zur DSGVO wird im DSGneu auch weiterhin nicht die Pflicht zur Benennung eines Datenschutzverantwortlichen bestehen (Art. 37 ff. DSGVO). Jedoch ist im Gesetz die Möglichkeit einer Benennung eines Datenschutz-beraters vorgesehen (Art. 10 DSGneu), welcher aber keine rechtlich praxis-relevanten Vorteile bringt. Einzig können gemäss Art. 23 Abs. 4 DSGneu Datenbearbeitungsvorhaben, welche trotz erfolgter DSFA und der Festlegung von Massnahmen weiterhin ein hohes Risiko aufweisen, dem Datenschutz-berater anstelle des EDÖBs vorgelegt werden.

Verarbeitungsverzeichnis

Gemäss Art. 12 DSGneu ist ein Verzeichnis der Bearbeitungstätigkeiten zu führen, dies gilt für den Verantwortlichen sowie allfällige Auftragsverarbeiter. Art. 12 Abs. 5 DSGneu nennt die Ausnahmen dieser Pflicht für Unternehmen, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung nur ein geringes Risiko für Verletzungen der Persönlichkeit der betroffenen Person mit sich bringt. Gemäss Art. 30 Abs. 1 DSGVO muss das Verzeichnis von Verarbeitungstätigkeiten folgende Angaben enthalten:

  • Namen und Kontaktdaten des Verantwortlichen;
  • Die Zwecke der Verarbeitungstätigkeit;
  • Beschreibung der Kategorien der betroffenen Personen und Kategorien der personenbezogenen Daten;
  • Kategorien von Empfängern;
  • Ggf. Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation;
  • Wenn möglich, die vorgesehene Frist für die Löschung der verschiedenen Datenkategorien;
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen gemäss Art. 32 Abs. 1 DSGVO.

Diese Anforderungen der DSGVO können im DSGneu so übernommen werden, müssen allerdings explizit um die Auflistung der Exportländer und deren Rechtsgrundlage für die Bearbeitung ergänzt werden.

Sensibilisierung Mitarbeiter

Es ist von zentraler Bedeutung, dass alle Verantwortlichen wie auch alle Mitarbeiter zum Thema Datenschutz geschult und sensibilisiert werden. Art. 62 DSGneu („Verletzung der beruflichen Schweigepflicht“) führt nämlich neu ein „Berufsgeheimnis“ für alle diejenigen ein, die Daten verarbeiten.

War diese Art von Berufsgeheimnis früher nur in bestimmen Berufsgruppen (z. B. Anwälte, Ärzte, Banker etc.) Pflicht, gilt diese Schweigepflicht neu für alle Berufsleute, welche in Ausübung des Berufes Personendaten erfahren, sofern deren Kenntnis für die Ausübung des Berufes nötig ist. Dies soll ein Schutz der Kunden(daten) gewährleisten. Ein Verstoss gegen diese Schweigepflicht kann persönlich mit einer Busse bis zu CHF 250’000 bestraft werden. Diese Regelung existiert in der DSGVO nicht. 

Fragen zur Revision des Schweizer Datenschutzgesetzes?

Nutzen Sie die Chance und vereinbaren Sie einen Termin

Fenster schliessen
Jetzt anrufen