Bereit für das neue Datenschutzrecht?

Am 1. September 2023 tritt das revidierte Datenschutzgesetz samt angepasster Datenschutzverordnung in Kraft. Die Revision bezweckt die Anpassung des Datenschutzrechts an die technologischen Entwicklungen und die Stärkung der Selbstbestimmung über die eigenen Daten. Ausserdem wird das Schweizer Datenschutzrecht den europäischen Regeln angeglichen, wodurch der freie  Datenverkehr mit der EU gewährleistet bleibt. Für natürliche Personen bringen die Gesetzesänderungen neue Rechte mit sich, für Unternehmen bedeuten sie primär neue Pflichten.

Neue Rechte

Im Zentrum des neuen Datenschutzrechts steht der Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden. Die betroffenen Personen müssen neu bei jeder Datenbeschaffung – und nicht nur wie bisher bei besonders schützenswerten Daten – darüber informiert werden, dass Daten gesammelt werden, zu welchem Zweck und, gegebenenfalls, an wen die Daten weitergeleitet werden. Sie müssen über die Identität und die Kontaktdaten des für das Sammeln Verantwortlichen orientiert werden. Erst dadurch ist es den betroffenen Personen möglich, ihre weitergehenden Rechte geltend zu machen: Sie können unter anderem die Herausgabe oder die Löschung ihrer Daten verlangen oder, dass falsche Daten berichtigt werden. In der Regel erfolgt die Information mithilfe einer oder mehrerer Datenschutzerklärungen, die an die Kunden und Kundinnen, Mitarbeitenden und Besucher und Besucherinnen auf der Website zu richten sind.

Neue Pflichten

Das sind die wichtigsten neuen Pflichten für Unternehmen:

• Erweiterte Informations- und Auskunftspflichten, z. B. Datenschutzerklärungen gegenüber Kundinnen und Kunden, Mitarbeitenden, Lieferanten.

• Datenschutz durch Technik (Privacy by design) und durch datenschutzfreundliche Voreinstellungen (Privacy by default), z. B. Voreinstellung der Cookies derart, dass nur die absolut notwendigen Daten gesammelt werden.

• Sicherstellung der Datensicherheit durch technische und organisatorische Massnahmen, z. B. IT-Sicherheitsschulungen der Mitarbeitenden und faktische und technische Zugriffsbeschränkungen.

• Anlegen eines Datenbearbeitungsverzeichnisses (von dieser Pflicht befreit sind Unternehmen mit weniger als 250 Mitarbeitenden, sofern kein hohes Risiko für Persönlichkeitsverletzung vorliegt).

• Datenschutz-Folgenabschätzung, welche bei Datenbearbeitungen mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen vorzunehmen ist, z. B. bei umfangreicher Bearbeitung besonders schützenswerter Daten. Zu den als besonders schützenswert geltenden Daten zählen neben gesundheitlichen, religiösen und politischen Informationen nun auch genetische und biometrische Daten.

• Erweiterte Dokumentations- und Nachweispflichten.

• Pflicht zur Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten bei Verletzung der Datensicherheit (bei hohem Risiko), z. B. Datenverlust infolge IT-Angriff.

Handlungsbedarf?

Um abschätzen zu können, ob die neuen datenschutzrechtlichen Bestimmungen eingehalten werden, drängt sich eine Bestandesaufnahme der Datenbearbeitungen auf: Unternehmen sollten analysieren, wo und wann im Unternehmen welche Daten wie, von wem und wofür bearbeitet werden, welche Risiken damit verbunden sind und welche unternehmensinternen, datenschutzrechtlichen Leitplanken bereits gelten. Zu beachten ist, dass der Begriff Bearbeiten weit gefasst zu verstehen ist: Mit Bearbeiten ist jeglicher Umgang mit Daten von natürlichen Personen gemeint, also beispielsweise das Beschaffen, Speichern, Aufbewahren, Verwenden, aber auch das Verändern, Bekanntgeben und Löschen davon. Als Grundregel gilt: Je mehr Daten ein Unternehmen bearbeitet oder je mehr dieser Daten «besonders schützenswert» im Sinne des Gesetzes sind, desto höher sind die datenschutzrechtlichen Anforderungen. Anhand der Bestandesaufnahme können datenschutzrechtliche Lücken eruiert und die erforderlichen Massnahmen abgeleitet werden.

Quelle: EXPERT INFO 2/2023