{"id":385,"date":"2022-06-10T14:37:03","date_gmt":"2022-06-10T12:37:03","guid":{"rendered":"https:\/\/lawyers.ycomm.ch\/?p=385"},"modified":"2022-08-22T10:46:06","modified_gmt":"2022-08-22T08:46:06","slug":"was-sie-zum-neuen-datenschutzgesetz-wissen-muessen","status":"publish","type":"post","link":"https:\/\/lawyers.ycomm.ch\/en\/was-sie-zum-neuen-datenschutzgesetz-wissen-muessen\/","title":{"rendered":"Was Sie zum neuen Datenschutz­gesetz wissen m\u00fcssen"},"content":{"rendered":"
von SABINE ROTH-BEYELER<\/em> ((Link zum Filtern oder zur Person))\n07.06.2022 13:45<\/em><\/pre>\n\n\n\n
Am 1. September 2023 wird das revidierte Schweizerische Datenschutzgesetz (revDSG) in Kraft treten, womit eine l\u00e4ngst \u00fcberf\u00e4llige Anpassung an die rasante technische Entwicklung der letzten Jahre erfolgt. Als Stichworte k\u00f6nnen hier die Begriffe Big Data, KI (k\u00fcnstliche Intelligenz) oder Cloudtechnologien genannt werden. Das neue Gesetz soll die Rechte der betroffenen Personen, aber auch das Verantwortungsbewusstsein der Verantwortlichen st\u00e4rken. Durch die Revision erfolgt sodann ein Gleichziehen mit dem bereits im Mai 2018 revidierten europ\u00e4ischen Datenschutzgesetz. Die Anpassung an die neue Gesetzgebung und die entsprechende Umstellung der internen Organisation, Abl\u00e4ufe und Systeme ist f\u00fcr viele Unternehmen mit Aufwand und Kosten verbunden. Dennoch lohnt es sich, diesen Aufwand auf sich zu nehmen: Zum einen weil dies das Vertrauen von Kunden und Mitarbeitenden f\u00f6rdert und zum anderen aber auch, weil unter k\u00fcnftigem Recht eine Verletzung von datenschutzrechtlichen Bestimmungen mit hohen Bussen sanktioniert wird und eine pers\u00f6nliche Haftung vorgesehen ist. Insbesondere f\u00fcr Unternehmen, welche besonders sch\u00fctzenswerte Daten und\/oder eine hohe Datenmenge bearbeiten, oder aber auch Personendaten ins Ausland \u00fcbermitteln, tun gut daran, ihre Datenschutz-Strategie zu \u00fcberarbeiten. Unternehmen, welche in den Anwendungsbereich des europ\u00e4ischen Datenschutzrechtes fallen, haben den Grossteil ihrer \u00abHausaufgaben\u00bb bereits erledigt: Der Schweizer Gesetzgeber hat sich bei vielen Normen an die Bestimmungen des Europ\u00e4ischen Rechtes angelehnt und nur in wenigen Bereichen bestehen Unterschiede.<\/p>\n\n\n\n
  1. Strafrechtliche Bestimmungen<\/strong><\/li><\/ol>\n\n\n\n
    Das revDSG sieht eine allgemeine Erh\u00f6hung des Strafmasses vor: K\u00fcnftig wird f\u00fcr alle Verst\u00f6sse ein maximales Strafmass von CHF 250’000.00 gelten (im Vergleich zu bis anhin CHF 10’000.00).<\/p>\n\n\n\n
    Die Liste des strafbaren Verhaltens wird an die neuen gesetzlichen Pflichten angepasst.<\/p>\n\n\n\n
    Im grossen Unterschied zur europ\u00e4ischen Datenschutzregelung wird in der Schweiz eine pers\u00f6nliche Haftung eingef\u00fchrt, d.h. die Strafandrohung richtet sich gegen die verantwortliche nat\u00fcrliche Person. Nur in F\u00e4llen von geringf\u00fcgigen \u00dcbertretungen und wenn die Ermittlung von strafbaren Personen zu unverh\u00e4ltnism\u00e4ssigen Untersuchungen f\u00fchrt, kann gem\u00e4ss Art. 64 Abs. 2 revDSG das Unternehmen direkt geb\u00fcsst werden. Es ist davon auszugehen, dass die \u00abneue\u00bb pers\u00f6nliche Haftung dazu f\u00fchren wird, dass der Einhaltung des Datenschutzes gr\u00f6ssere Priorit\u00e4t einger\u00e4umt wird wie bis anhin. Insbesondere aber auch, weil nach der g\u00e4ngigen Auffassung das Haftungsrisiko nicht von Versicherungen \u00fcbernommen werden kann. <\/p>\n\n\n\n
    F\u00fcr die Bejahung der Strafbarkeit ist vors\u00e4tzliches Handeln erforderlich. Die Inkaufnahme der Verletzung ist jedoch ausreichend. Die Verletzung der Strafbestimmung wird gem\u00e4ss Botschaft der Leitungsperson zugerechnet, wobei keine Organstellung notwendig ist.<\/p>\n\n\n\n
    1. Strafbares Verhalten nach revDSG<\/strong><\/li><\/ol>\n\n\n\n
      Nach Art. 60 revDSG macht sich strafbar, wer Informations-, Auskunfts- und Mitwirkungspflichten verletzt. Dies bedeutet, dass es beispielsweise strafbar ist, E-Mail-Adressen zu sammeln f\u00fcr Marketingzwecke, ohne die betroffenen Personen dar\u00fcber zu informieren. Ebenfalls mit einer Busse rechnen muss, wer auf ein Auskunftsbegehren mit vors\u00e4tzlich falschen Informationen reagiert.<\/p>\n\n\n\n
      Im Weiteren wird sich nach Art. 61 revDSG strafbar machen, wer Personendaten ins Ausland ohne angemessenen Schutz transferiert. Erlaubt ist ein Transfer nur unter der Voraussetzung, dass im Ausland ein angemessenes Datenschutzniveau besteht oder der Transfer sich auf eine Datenschutzgarantie abst\u00fctzt oder ein Ausnahmetatbestand (bspw. Einwilligung) vorliegt. Ansonsten ist der Transfer von Personendaten ins Ausland unzul\u00e4ssig.<\/p>\n\n\n\n
      Ferner darf der Verantwortliche nur Personendaten an Auftragsbearbeiter (bspw. IT-Support) \u00fcbertragen, wenn sichergestellt ist, dass die Personendaten in einer solchen Weise bearbeitet werden, wie der Verantwortliche es selbst tun darf und keine gesetzliche oder vertragliche Geheimhaltungspflicht dies verbietet. Sodann kann sich gem\u00e4ss Art. 61 Abs.3 revDSG strafbar machen, wer die vom Bundesrat angeordneten Bestimmungen \u00fcber die Mindestanforderungen an Datensicherheit missachtet (jene sind in der Verordnung zum revDSG konkretisiert).<\/p>\n\n\n\n
      Besonders zu beachten ist die in Art. 62 revDSG statuierte allgemeine berufliche Schweigepflicht: Demnach macht sich strafbar, wer geheime Personendaten vors\u00e4tzlich offenbart, von denen sie oder er bei der Aus\u00fcbung ihres oder seines Berufes Kenntnis erlangt hat. Strafbar machen k\u00f6nnen sich nach Abs. 2 sogar auch Hilfspersonen oder Auszubildende. Ohne gross Aufmerksamkeit zu erregen, wurde hier eine einschneidende, allgemeine und weitgreifende berufliche Schweigepflicht eingef\u00fchrt. Es ist abzuwarten, wie oft jene unter k\u00fcnftigem Recht zur Anwendung gelangen wird.<\/p>\n\n\n\n
      Ebenfalls mit Busse bestraft werden kann, wer nach Art. 63 revDSG die Verf\u00fcgungen des Eidgen\u00f6ssischen Datenschutzbeauftragten (ED\u00d6B) missachtet, vorausgesetzt die Bestrafung (Busse bis zu CHF 250’000.00) wurde bereits in der Verf\u00fcgung angedroht.<\/p>\n\n\n\n
      1. Tipps f\u00fcr die Praxis: Was bedeutet dies f\u00fcr mich als unternehmerisch t\u00e4tige Person?<\/strong><\/li><\/ol>\n\n\n\n
        Generell<\/strong><\/p>\n\n\n\n
        • Setzen Sie sich fr\u00fchzeitig mit einer im Datenschutz bewanderten Person zusammen, welche die neuen Anforderungen mit Ihnen zusammen bespricht. Es wird (neben vereinzelten Ausnahmen) keine formelle \u00dcbergangsfrist geben. Dies bedeutet, dass im Zeitpunkt des Inkrafttretens des Gesetzes das Unternehmen datenschutzkonform sein muss;<\/li>
        • \u00dcberlegen Sie, ob es f\u00fcr die Menge und die Art der bearbeiteten Personendaten sinnvoll ist, einen Datenschutzberater oder eine Datenschutzberaterin intern zu benennen oder extern zu beauftragen. Nach revDSG besteht keine Verpflichtung dazu. Es kann dennoch sinnvoll sein, um die Verantwortlichkeiten im Unternehmen klar abzugrenzen;<\/li>
        • Definieren Sie genau, wie Sie sich innerhalb Ihres Unternehmens organisieren, damit die Aufgaben, Kompetenzen und Verantwortlichkeiten unmissverst\u00e4ndlich geregelt sind. Schulen Sie Ihre Mitarbeiter im Umgang mit Personendaten.<\/li><\/ul>\n\n\n\n
          Datenschutzerkl\u00e4rung und vertragliche Dokumente<\/strong><\/p>\n\n\n\n
          • Datenschutzerkl\u00e4rung: Die betroffenen Personen m\u00fcssen dar\u00fcber informiert werden, welche Personendaten von ihnen beschafft und bearbeitet werden. Dies erfolgt durch eine sogenannte Datenschutzerkl\u00e4rung. Die Datenschutzerkl\u00e4rung wird in den meisten F\u00e4llen auf der Unternehmenswebseite aufgeschaltet und\/oder die AGB eines Unternehmens verweisen mittels Link auf die Datenschutzerkl\u00e4rung. Wichtig ist bei der Erstellung der Datenschutzerkl\u00e4rung, dass sie auf die individuellen Bed\u00fcrfnisse des Unternehmens (welche Systeme werden genutzt, wo werden Personendaten \u00fcberhaupt bearbeitet?) angepasst ist. Dadurch k\u00f6nnen unn\u00f6tig lange Erkl\u00e4rungen verhindert werden. Sollte Ihr Unternehmen automatisierte Entscheide durchf\u00fchren (ein Computer f\u00e4llt ein Ermessensentscheid bspw. in einem Bewerbungsprozess), muss die betroffene Person ausdr\u00fccklich dar\u00fcber informiert werden;<\/li>
          • Vertr\u00e4ge: Stellen Sie sicher, dass alle Vertr\u00e4ge (Kunden- und Mitarbeitervertr\u00e4ge) aber auch Vereinbarungen mit Ihren Dienstleistern (Auftragsbearbeiter) bei Bedarf angepasst werden. Entscheidend ist, dass unter anderem dem Verantwortlichen ein Kontrollrecht und Weisungsrecht gegen\u00fcber dem Auftragsbearbeiter einger\u00e4umt wird. Aber auch die Genehmigung f\u00fcr den Beizug von Subunternehmern muss Eingang in den Vertrag mit dem Auftragsbearbeiter finden. Falls Sie Dienstleistungen ausgelagert haben (Call Center oder weitere Managed Services), \u00fcberpr\u00fcfen Sie rechtzeitig, dass die Vertr\u00e4ge (inkl. Service Level Agreements) angepasst sind;<\/li>
          • Auslandtransfer: Arbeiten Sie mit Unternehmen im Ausland zusammen und \u00fcbermitteln Sie Personendaten an jene, achten Sie darauf, dass deren Schutz durch bspw. vertragliche Klauseln sichergestellt ist;<\/li>
          • Plattformen: \u00dcberpr\u00fcfen Sie, ob Ihre Plattformen (Homepage, Software, Cloudl\u00f6sungen, KI- und Big Data Plattformen usw.) den neuen Anforderungen Rechnung tragen. Wenn nicht bereits umgesetzt, wird es notwendig sein, die betreffenden Vertr\u00e4ge anzupassen.<\/li><\/ul>\n\n\n\n
            Interne Prozesse<\/strong><\/p>\n\n\n\n
            • Bearbeitungsverzeichnis: Analysieren Sie, in welchen Bereichen Sie Personendaten bearbeiten (Website, Video\u00fcberwachung etc.) und erstellen Sie ein entsprechendes Verzeichnis. Unternehmen, welche weniger als 250 Mitarbeitende besch\u00e4ftigen und deren Datenbearbeitung nur ein geringes Risiko betr\u00e4gt sowie auch kein Profiling enth\u00e4lt, sind von der Pflicht, ein Bearbeitungsverzeichnis zu erstellen, befreit. Trotzdem ist dieses Verzeichnis eigentlich f\u00fcr jedes Unternehmen sinnvoll;<\/li>
            • Meldung von Datenschutzverst\u00f6ssen (bspw. Arztzeugnis an \u00abfalschen\u00bb Patienten versendet): Legen Sie intern ein Verfahren fest f\u00fcr den Fall eines Datenschutzverstosses. Verst\u00f6sse, welche zu einem hohen Risiko f\u00fcr die Pers\u00f6nlichkeit oder die Grundrechte der betroffenen Personen f\u00fchren, m\u00fcssen dem ED\u00d6B gemeldet werden;<\/li>
            • Durchf\u00fchrung einer Datenschutz-Folgenabsch\u00e4tzung (\u00abDSFA\u00bb): Nach k\u00fcnftigem Recht muss eine DSFA vorgenommen werden, wenn eine Datenbearbeitung ein hohes Risiko f\u00fcr die Pers\u00f6nlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Im Rahmen einer Datenschutz-Folgenabsch\u00e4tzung wird die vorgesehene Bearbeitung der Personendaten, die damit verbundenen Risiken und die geeigneten Massnahmen zur Minimierung der Risiken festgehalten;<\/li>
            • Datenportabilit\u00e4t: K\u00fcnftig werden Sie verpflichtet sein, wenn Sie Personendaten im Zusammenhang mit einem Vertrag oder aufgrund von Einwilligung erhalten haben, jene jederzeit in einer g\u00e4ngigen elektronischen Form herausgeben zu k\u00f6nnen. Stellen Sie somit sicher, dass sie \u00fcber ein entsprechendes IT-Programm verf\u00fcgen (bspw. CSV Format);<\/li>
            • Technische und organisatorische Massnahmen (TOM): Wie unter bisherigem Recht muss der Verantwortliche auch die Datensicherheit gew\u00e4hrleisten, jedoch f\u00e4llt eine Verletzung der Datensicherheit k\u00fcnftig auch unter das Strafmass von Art. 61 revDSG. Wenn nicht bereits erledigt, beachten Sie, dass unter anderem der Datenzugang auf den Kreis der Berechtigten beschr\u00e4nkt ist, ein System f\u00fcr eine sichere Datenvernichtung existiert, regelm\u00e4ssig Back-ups vorgenommen werden usw. Weitere Informationen dazu finden Sie unter anderem auch im Leitfaden des Bundes zu den technischen und organisatorischen Massnahmen im Datenschutz.<\/li><\/ul>\n\n\n\n
              Das neu revidierte Datenschutzgesetz bedeutet insgesamt eine umfassendere und sch\u00e4rfere Regulierung im Umgang mit Personendaten und sieht gleichzeitig h\u00f6here Strafen bei Verst\u00f6ssen vor. Dies ist grunds\u00e4tzlich zu begr\u00fcssen, wobei wir uns gleichzeitig auch stets bewusst sein m\u00fcssen, dass es f\u00fcr Unternehmen schwierig, wenn nicht gar unm\u00f6glich ist, stets vollst\u00e4ndig datenschutzkonform zu sein. Damit dieser Schwierigkeit im Fall der F\u00e4lle auch Rechnung getragen werden kann, ist es ausschlaggebend, jederzeit belegen zu k\u00f6nnen, dass alle m\u00f6glichen Massnahmen ergriffen worden sind, um den Datenschutz zu gew\u00e4hrleisten. Es ist davon auszugehen, dass bereits dieser Umstand im Falle eines Verstosses sich strafmildernd auswirkt.<\/p>\n\n\n\n
              Sollten Sie Fragen betreffend die Umsetzung des Datenschutzes in Ihrem Unternehmen haben, beraten wir Sie gerne dabei.<\/p>","protected":false},"excerpt":{"rendered":"
              Breit abgest\u00fctztes Wissen, gro\u00dfer Erfahrungsschatz und sprachliche Gewandtheit zeichnen das internationale Mitarbeiterteam von WALDMANN PETITPIERRE aus.<\/p>","protected":false},"author":1,"featured_media":387,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-385","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-lawyers-letter"],"acf":[],"_links":{"self":[{"href":"https:\/\/lawyers.ycomm.ch\/en\/wp-json\/wp\/v2\/posts\/385","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/lawyers.ycomm.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/lawyers.ycomm.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/lawyers.ycomm.ch\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/lawyers.ycomm.ch\/en\/wp-json\/wp\/v2\/comments?post=385"}],"version-history":[{"count":9,"href":"https:\/\/lawyers.ycomm.ch\/en\/wp-json\/wp\/v2\/posts\/385\/revisions"}],"predecessor-version":[{"id":1644,"href":"https:\/\/lawyers.ycomm.ch\/en\/wp-json\/wp\/v2\/posts\/385\/revisions\/1644"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/lawyers.ycomm.ch\/en\/wp-json\/wp\/v2\/media\/387"}],"wp:attachment":[{"href":"https:\/\/lawyers.ycomm.ch\/en\/wp-json\/wp\/v2\/media?parent=385"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/lawyers.ycomm.ch\/en\/wp-json\/wp\/v2\/categories?post=385"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/lawyers.ycomm.ch\/en\/wp-json\/wp\/v2\/tags?post=385"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}