Das neue Schweizer Bundesgesetz über den Datenschutz (DSG) tritt am 1. September 2023 in Kraft und revidiert das alte Schweizer Datenschutzgesetz von 1992 grundlegend. Die Änderungen, die ihr als Tech-Unternehmen beachten müsst, hängen davon ab, ob ihr bereits DSGVO (EU-Datenschutzgrundverordnung) bzw. DSG-konform seid oder gerade erst mit dem Thema Datenschutz beginnt. In diesem Blogbeitrag geht es um die praktischen Schritte, die ihr unternehmen müsst, um dem neuen Schweizer Datenschutzrecht gerecht zu werden.
Schritte für DSGVO-konforme Unternehmen
Wenn euer Unternehmen bereits DSGVO-konform ist, ist die gute Nachricht, dass ihr nur geringfügige Änderungen berücksichtigen müsst. Ihr solltet euch besonders auf diese zwei Punkte des neuen DSG konzentrieren:
- Vergewissert euch, dass in euren Datenschutzerklärungen und Auftragsverarbeitungsverträgen die Länder aufgeführt sind, in die euer Unternehmen Daten übermittelt. Während die DSGVO von Unternehmen nur verlangt, die betroffenen Personen darüber zu informieren, ob sie Daten in Drittländer übermitteln und wenn ja, welche Garantien gelten, ist das DSG in diesem Punkt spezifischer und verlangt Informationen über die konkrete Liste der Drittländer, in die die personenbezogenen Daten übermittelt werden.
- Ihr solltet prüfen, ob ihr eventuell einen Schweizer Vertreter braucht. Unternehmen ohne Niederlassung in der Schweiz müssen einen Vertreter oder eine Vertreterin in der Schweiz benennen, wenn sie (1) Daten von Schweizer Personen verarbeiten, während sie Waren oder Dienstleistungen in der Schweiz anbieten oder das Verhalten von Personen in der Schweiz beobachten, (2) die Datenverarbeitung regelmässig und umfangreich ist und (3) ein hohes Risiko für die betroffene Person darstellt, wobei hier ein gewisser Interpretationsspielraum besteht. Wenn ihr jedoch sensible Daten wie Gesundheits- oder genetische Daten verarbeitet, solltet ihr auf jeden Fall prüfen, ob ihr einen Schweizer Vertreter braucht. Sobald dieser ermittelt ist, sollte er in den einschlägigen Unterlagen wie Auftragsverarbeitungsverträgen und Datenschutzerklärungen offiziell benannt werden.
Schritte für Unternehmen, die bereits mit dem aktuellen Schweizer Datenschutzgesetz konform sind
Für Tech-Unternehmen, die mit dem aktuellen DSG konform sind, müssen weitere Schritte unternommen werden, um die bevorstehenden Gesetzesänderungen zu berücksichtigen. Dies sind die wichtigsten Bereiche, in denen euer Unternehmen seine aktuellen Richtlinien möglicherweise aktualisieren muss:
- Die Definition und die Vorschriften zum Profiling haben sich geändert. Darunter ist jede Form der automatisierten Datenverarbeitung zu verstehen, die zum Beispiel darauf abzielt, Aspekte oder das Verhalten der betroffenen Personen vorherzusagen oder zu analysieren. Die Durchführung dieses einfachen Profilings allein erlegt privaten Unternehmen keine weiteren Verpflichtungen auf. Wenn dieses Profil jedoch auf einer automatisierten Bewertung beruht oder zu einer automatisierten Entscheidung führt, könnte es als “Profiling mit hohem Risiko”eingestuft werden. Dies kann dazu führen, dass weitere Schritte notwendig sind, wie z.B. das Einholen einer ausdrücklichen Einwilligung oder erweiterte Rechte für Einzelpersonen.
- Ihr solltet eure Datenschutzerklärungen überprüfen, um sicherzustellen, dass sie ausreichende Informationen über den für die Datenverarbeitung Verantwortlichen, den Zweck der Datenverarbeitung, Drittempfänger der personenbezogenen Daten und mögliche Übermittlungen in Drittländer enthalten.
- Im Zusammenhang mit den Rechten der betroffenen Personen führt das aktualisierte Gesetz das Recht auf Datenübertragbarkeit ein. Dieses Recht kann die Umsetzung technischer Maßnahmen erfordern, die es den betroffenen Personen ermöglichen, ihre personenbezogenen Daten in einem gängigen Format zu erhalten, wenn diese Daten automatisiert und auf der Grundlage einer Einwilligung oder im Zusammenhang mit einem Vertrag verarbeitet werden.
- Wenn euer Unternehmen mehr als 250 Mitarbeiter beschäftigt, muss es ein Verzeichnis von Bearbeitungstätigkeiten führen. Das bedeutet, dass alle Datenverarbeitungsaktivitäten dokumentiert werden müssen, z.B. der Zweck der Verarbeitung, die Kategorien personenbezogenen Daten, die betroffenen Personen und die jeweiligen Aufbewahrungsfristen.
- Das neue DSG schreibt auch die Einrichtung eines Verfahrens zur Meldung von Datenschutzverletzungen vor. Unternehmen sollten ein Verfahren einrichten, um Datenschutzverletzungen umgehend zu erkennen, zu melden und zu behandeln. Ausserdem sollten die Mitarbeiter/innen darin geschult werden, wie sie auf Datenschutzverletzungen reagieren können. Wenn die Datenschutzverletzung zu einem hohen Risiko für die betroffenen Personen führt, müsst ihr die Datenschutzbehörde so schnell wie möglich informieren.
- Unternehmen sollten auch prüfen, ob sie eine Datenschutz-Folgenabschätzung durchführen müssen. Diese sind immer dann erforderlich, wenn die geplante Datenverarbeitung die Grundrechte der betroffenen Personen gefährden könnte. Dies kann der Fall sein, wenn neue Technologien eingesetzt werden und vor allem, wenn es um die Verarbeitung sensibler Daten in großem Umfang oder um die systematische Überwachung von Personen im öffentlichen Raum geht.
- Schliesslich ist es auch wichtig, die Verträge mit Auftragsbearbeitern zu überprüfen und zu aktualisieren. Beispielsweise sollte sichergestellt werden, dass diese Verträge ausdrücklich die Sicherheit der verarbeiteten personenbezogenen Daten garantieren und ein Verfahren für den Umgang mit Datenschutzverletzungen enthalten.
Ganz von vorne anfangen – Was tun, wenn Datenschutz für euch Neuland ist?
Wenn ihr gerade erst mit eurer Unternehmenstätigkeit beginnt und Datenschutzbestimmungen für euch völlig neu sind, raten wir euch, zunächst die folgenden Punkte zu klären:
- Der erste Schritt besteht darin, herauszufinden, welches Recht auf euer Unternehmen anwendbar ist (in den meisten Fällen das neue Schweizer DSG, die EU-DSGVO oder beide) und die wichtigsten Datenschutzrisiken für eure Geschäftsidee zu ermitteln. Berücksichtigt dabei Faktoren wie den Standort eures Unternehmens, die Art der erhobenen Daten, den Zweck der Verarbeitung und mögliche grenzüberschreitende Datenübertragungen sowie die Verarbeitung sensibler Daten wie z.B. Gesundheitsdaten.
- Verschafft euch ausserdem einen Überblick über die Datenverarbeitungsaktivitäten in eurem Unternehmen, z.B. in den Bereichen Vertrieb, Marketing, Personal und IT. Überprüft die Dienstleister, mit denen euer Unternehmen Daten austauscht oder speichert, z.B. Cloud-Dienste und externe Softwareunternehmen. Stellt sicher, dass sie die Datenschutzbestimmungen einhalten und dass angemessene vertragliche Vereinbarungen getroffen wurden.
- Wir empfehlen euch außerdem, euch zunächst auf die Bereiche zu konzentrieren, die nach Aussen gerichtet sind, wie zum Beispiel die Website und die dort zugängliche Datenschutzerklärung. Überprüft und passt diese Bereiche zuerst an, um sicherzustellen, dass sie den neuen DSG-Anforderungen entsprechen.
- Wenn euer Unternehmen nicht über die erforderlichen Fachkenntnisse oder Ressourcen verfügt, solltet ihr erwägen, externe Hilfe von Datenschutzberatern oder Rechtsexperten in Anspruch zu nehmen, um die Einhaltung der geltenden Datenschutzgesetze zu gewährleisten.
Fazit
Das neue Schweizer Bundesgesetz über den Datenschutz (DSG) bringt einige Änderungen mit sich, die Tech-Unternehmen beachten müssen. Wenn euer Unternehmen bereits DSGVO-konform ist, sind nur geringfügige Anpassungen erforderlich, wie z.B. die Angabe der Länder, in die Daten übermittelt werden, in euren Datenschutzdokumenten und gegebenenfalls die Ernennung eines Schweizer Datenschutzbeauftragten.
Unternehmen, die das aktuelle DSG einhalten, sollten ihre internen Prozesse überprüfen, insbesondere im Hinblick auf Profiling, das Recht auf Datenübertragbarkeit, die mögliche Notwendigkeit, Aufzeichnungen über die Bearbeitungstätigkeiten zu führen, Verfahren zur Meldung von Datenschutzverletzungen und Verträge mit externen Auftragsbearbeitern. Wenn Datenschutz für euer Unternehmen völlig neu ist, solltet ihr die anwendbaren Gesetze ermitteln, eure Datenverarbeitungsaktivitäten anhand eines risikobasierten Ansatzes in Bezug auf euren Geschäftsplan bewerten, die Bereiche mit der höchsten Sensibilität priorisieren und bei Bedarf externe Hilfe für die Einhaltung der Vorschriften in Betracht ziehen.