- Bern, Politik - Markus Hugentobler
Fallstricke des revidierten Datenschutzgesetzes
Fallstricke des revidierten Datenschutzgesetzes: Per 1. September 2023 wird das revidierte Datenschutzgesetz in Kraft treten. Es wartet mit neuen Begriffen, Rollen und Aufgaben auf. Zentral ist die Dokumentation jedes einzelnen Umsetzungsschrittes. Bei dieser Gelegenheit ist zu ermitteln, wer im Unternehmen welche Daten zu welchem Zweck bearbeitet.
Die Zeit drängt
Auch wenn der Gesetzgebungsprozess an sich von demjenigen in der EU abweicht und nicht als Übernahme von EU-Recht angesehen werden kann, sind etwa 80% der Bestimmungen des revidierten Datenschutzgesetzes (rDSG) inhaltlich mit jenen der europäischen Datenschutzgrundverordnung (DSGVO) vergleichbar. Der Gesetzgebungsprozess dauerte lange, weil die Forderungen der politisch Linken und der politisch Rechten nur schwer als Kompromiss abgebildet werden konnten.
Der Bundesrat hat bestimmt, dass die einjährige Übergangsfrist bereits seit Verabschiedung der Datenschutzverordnung (DSV) per 31. August 2022 läuft und am 31. August 2023 endet. Während dieser Frist haben die Unternehmen Zeit, sich auf die neuen Vorschriften einzustellen. Das neue Datenschutzrecht wird also ab dem 1. September 2023 umgesetzt.
Möglichst rasch sollten sich die Unternehmen deshalb insbesondere um die neuen Aufgaben und Pflichten, welche sie treffen, kümmern und eine verantwortliche Person für den Datenschutz bezeichnen. Unverändert geblieben sind die datenschutzrechtlichen Grundsätze: Rechtmässigkeit der Datenerhebung, Treu und Glauben, Erkennbarkeit der Beschaffung und des Zwecks (Transparenz), Zweckbindung, Verhältnismässigkeit, Richtigkeit der Daten und Datensicherheit. Gerade im arbeitsrechtlichen Kontext ist zu berücksichtigen, dass gemäss der spezialgesetzlichen Norm in Art. 328b OR der Arbeitgeber nur Daten über Kandidatinnen und Kandidaten bzw. Mitarbeitende bearbeiten darf, die für deren Eignung oder die Durchführung des Arbeitsverhältnisses (gemeint sind hauptsächlich administrative Belange wie z.B. die Abrechnung mit der Ausgleichskasse) zwingend erforderlich sind.
Neue Rollen und Strafbarkeit
Das rDSG unterscheidet hinsichtlich der Rollen zwischen dem Datenverantwortlichen, dem Auftragsbearbeiter und der Datenschutzberaterin bzw. dem Datenschutzberater. Diese drei Rollen muss man im Gesetz allerdings suchen, denn die beiden ersten sind unter dem Kapitel Begriffe in Art. 5 aufgeführt, letztere hingegen findet in Art. 10 Erwähnung und ist als freiwillige interne Stelle ausgestaltet. Die Datenbearbeitung extern zu gegeben ist zulässig, z.B. die Lohnbuchhaltung an ein Payroll-Unternehmen oder die Rekrutierung an ein Assessment Center. Der Beauftragte darf die Daten jedoch nur in dem Umfang bearbeiten, wie es dem Auftraggeber selbst erlaubt ist. Prüft der Auftraggeber nicht, ob die Datensicherheit beim Beauftragten gewährleistet ist, macht er sich strafbar.
In Art. 60 ff. rDSG sind neu Bussen bis CHF 250’000 vorgesehen. Im Gegensatz zur DSGVO wird nicht das Unternehmen gebüsst, sondern der oder die im Unternehmen für die Verfehlung letztlich verantwortliche Mitarbeitende. Die Unternehmensstrafe ist als Ausnahmetatbestand konzipiert. Auch wenn das Unternehmen die Busse bezahlt, trägt diese Person das Risiko des Strafregistereintrags. Gebüsst wird nur auf Antrag hin – es handelt sich nicht um ein Offizialdelikt – und bei vorsätzlicher Verletzung der datenschutzrechtlichen Bestimmungen.
„Zentral ist die Dokumentation der Abklärungen zur Umsetzung des rDSG.“
Neue Aufgaben und Pflichten
Zu den neuen Pflichten zählt u.a. die Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten, des sogenannten Dateninventars. Im Unternehmen oder der Organisation muss vereinfacht ausgedrückt ermittelt werden, wer welche Daten zu welchem Zweck bearbeitet. Unternehmen und Organisationen mit weniger als 250 Mitarbeitenden sind von diesem aufwändigen Prozess befreit, wenn sie nicht besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder ein Profiling mit hohem Risiko durchführen. Weiter erforderlich ist eine Datenschutz-Folgenabschätzung (DSFA) bei der Bearbeitung heikler Daten, d.h. Daten mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person. Stellt das Unternehmen oder ein Verein fest, dass keine solchen Daten bearbeitet werden, braucht es keine DSFA, doch sollte diese Feststellung im Rahmen der Schwellenwertanalyse dokumentiert werden.
Der Datenverantwortliche muss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, so rasch als möglich melden. Dies kann beispielsweise der Fall sein, wenn ein Mitarbeitender ein nicht passwortgeschütztes Smartphone im Zug liegen lässt, ein Rekrutierungsdossier mit Auswertungsberichten per E-Mail an einen falschen Empfänger ausserhalb der Organisation verschickt oder ein E-Mail-Konto gehackt wird. Die Datenschutzgesetzgebung enthält Vorschriften über den Mindestinhalt einer solchen Meldung. An sich kein neues Thema sind die Informations- und Auskunftspflichten, doch werden erhöhte Anforderungen an sie gestellt. Bearbeitet ein Unternehmen Personendaten, informiert es am besten auf der Webseite darüber, z.B. mit einem Link zur Datenschutzerklärung. Dort kann dann auch gleich die E-Mail-Adresse eines Datenschutzberaters angegeben werden, z.B. „datenschutz@xy.ch“. Hinsichtlich der Auskunftspflicht soll ein Prozess etabliert werden, wer im Unternehmen für konkrete Anfragen zuständig ist.
Weil ab Herbst 2023 nur noch Daten von natürlichen Personen geschützt sind, werden Vereine und Stiftungen ebenfalls in die Pflicht genommen. Auch wenn die meisten Vereine kaum mit hohen Risiken behaftete Daten ihrer Mitglieder bearbeiten, sollten im Sinne einer Schwellenwertanalyse sowohl diese Feststellung als auch die Folgerung daraus dokumentiert werden, dass weder ein Dateninventar noch eine DSFA als erforderlich betrachtet werden.
Weiterführende Informationen zum Artikel “Fallstricke des revidierten Datenschutzgesetzes”
Bundesrat BR: Neues Datenschutzrecht ab 1. September 2023
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): Das neue Datenschutzgesetz
Themenverwandte Artikel
Pierre-Gabriel Bieri, 16.10.2021: Datenschutz – Wir sind alle betroffen
Martin Troxler, 25.11.2020: Das neue Schweizer Datenschutzgesetz – eine sinnvolle Investition in die Zukunft