In der Schweiz tritt am 1. September 2023 das totalrevidierte Datenschutzgesetz (DSG) zusammen mit der neuen Datenschutzverordnung (DSV) sowie der Verordnung über Datenschutzzertifizierungen (VDSZ) in Kraft. Es gibt keine Übergangsfrist. Damit erfolgt eine Angleichung an die europäische Gesetzgebung und Anpassung an die veränderten technologischen sowie gesellschaftlichen Verhältnisse. Um den neuen Anforderungen gerecht zu werden, sollten Unternehmen rechtzeitig eine Standortbestimmung vornehmen und entsprechende Massnahmen ergreifen. Das ist deshalb wichtig, weil das neue DSG erweiterte Straftatbestände und verschärfte Strafbestimmungen vorsieht und es dabei nicht nur um massgebliche Geldstrafen, sondern auch um einen schwerwiegenden Imageschaden oder ein Datenbearbeitungsverbot resp. einen Datenbearbeitungsstopp geht. Hier ist eine Übersicht, was für Unternehmen zu tun ist:
- Ein Unternehmen muss ein Datenbearbeitungsverzeichnis erstellen, sofern besonders schützenswerte Personendaten in grossem Umfang bearbeitet werden oder die Datenbearbeitungen nicht nur ein geringes Risiko bergen oder wenn es alternativ mehr als 250 Mitarbeitende beschäftigt. Dazu müssen Richtlinien erarbeitet werden mit klaren Rollen, Funktionen und Verantwortlichkeiten, und es sind ein Verzeichnis der Bearbeitungstätigkeiten zu erstellen und entsprechende Weisungen zu erlassen.
- Bestehende Datenschutzerklärungen sowie AGBs müssen eingeführt resp. auf die aktuellen Bestimmungen angepasst werden. Zu beachten ist, dass Datenschutzhinweise sämtliche Datenbearbeitungen beschreiben (keine Beschränkung auf die Webseite), sofern keine gesetzliche Pflicht die Bearbeitung rechtfertigt. Die Rechtmässigkeit, Zweckbindung, Datenrichtigkeit etc. sind zu dokumentieren und zu prüfen.
- Ein Unternehmen muss die betroffenen Personen bei jeder Beschaffung von Personendaten angemessen informieren. Zum Mindestinhalt der Informationspflicht zählen die Identität sowie die Kontaktdaten des Unternehmens sowie der Bearbeitungszweck (wozu die Personendaten beschafft werden). Weitere Informationspflichten ergeben sich im Einzelfall (z.B. Datenbekanntgabe an Dritte oder Bekanntgabe von Personendaten ins Ausland).
- Die technischen und organisatorischen Massnahmen (TOM) müssen überprüft und implementiert und das IT-Reglement aktualisiert werden.
- Jedes Unternehmen braucht eine Geheimhaltungserklärung und ein Berechtigungskonzept. Wenn Daten outgesourct werden, ist ein Auftragsdatenbearbeitungsvertrag abzuschliessen.
- Unternehmen müssen einen klar strukturierten Prozess sowie adäquate Hilfsmittel etablieren, um Verletzungen der Datensicherheit zu melden. Wenn es zu einem Verlust oder einer unbefugten Offenlegung personenbezogener Daten kommt, müssen die betroffenen Personen informiert und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eine detaillierte Meldung einer Verletzung der Datensicherheit gemacht werden (Art. 15 DSV).
- Das revidierte DSG stärkt das Auskunftsrecht der Betroffenen. Neu ist eine Informationspflicht bei automatisierten Einzelentscheidungen (z.B. durch Algorithmen) vorgesehen. Ein Unternehmen muss diesbezüglich klare Prozesse für Auskunftsbegehren, Berichtigung, Datenportabilität sowie menschliches Gehör einführen sowie ein Löschkonzept vorsehen.
- Wer eine Datenbearbeitung plant, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann (z.B. bei der Verwendung neuer Technologien wie KI), muss eine Datenschutz-Folgenabschätzung (DSFA) erstellen und gegebenenfalls eine Stellungnahme des EDÖB einholen (Art. 22 und 23 DSG). Dazu hat ein Unternehmen einen klar strukturierten Prozess und adäquate Hilfsmittel zur Durchführung von DSFAs zu etablieren. Das Unternehmen muss dokumentieren, wo welche Daten für welchen Zweck bearbeitet werden.
Das revidierte Datenschutzgesetz stellt Unternehmen vor neue Herausforderungen, was die Einhaltung der Datenschutzanforderungen betrifft. Wenn das gelingt, bietet das revidierte Gesetz eine Chance, den Datenschutz zu verbessern und das Vertrauen der Kunden und Geschäftspartner zu gewinnen. Wenn Sie eine Standortbestimmung wünschen oder Unterstützung bei der Implementierung der aktuellen technischen und organisatorischen Massnahmen benötigen, stehen Ihnen unsere erfahrenen CISOs und Security Consultants von CYSPA zur Verfügung, um Ihre Daten optimal zu schützen und die Anforderungen der neuen Gesetzgebung zu erfüllen.
FRAGEN? WIR BERATEN SIE GERNE!