Zum Schluss ging es dann doch schneller als erwartet: Das totalrevidierte Schweizer Datenschutzgesetz (nachfolgend: DSG) wurde am 25. September 2020 vom Parlament verabschiedet. Derzeit läuft die 100-tägige Referendumsfrist. Anschliessend sind noch wichtige Details in den Verordnungen zum DSG auszuarbeiten, bevor diese in die Vernehmlassung gehen. Daher ist mit einem Inkrafttreten nicht vor 2022 zu rechnen. Aufgrund der eng begrenzten Übergangsfristen sind die Unternehmen gut beraten, sich zeitnah mit den bevorstehenden Änderungen zu befassen und entsprechende Massnahmen einzuleiten.
Die zentralen Punkte des revidierten Datenschutzgesetzes
Das Parlament hat sich im Rahmen der Beratung zum DSG an drei Grundsätzen orientiert:
- Die Schweiz will ihren Status als Land mit einem angemessenen Datenschutzniveau nicht verlieren. Das DSG soll einen mit der europäischen Datenschutzgrundverordnung (EU-DSGVO) vergleichbaren Schutz bieten.
- Die Privatsphäre der in der Schweiz lebenden Privatpersonen soll weiterhin auf dem hohen Standard bleiben und zusätzlich an moderne Datenbearbeitungen des digitalen Zeitalters angepasst werden.
- Die administrativen Belastungen für Unternehmen, insbesondere KMUs, sollen so gering wie möglich ausfallen.
Die Strafbestimmungen des DSG sehen bei Vorsatz Bussgelder von bis zu CHF 250'000 vor und zielen unter anderem auf die jeweils für die Datenbearbeitung verantwortliche Person ab (Mitarbeiter jeder Hierarchiestufe). Um das Risiko strafrechtlicher Sanktionen möglichst gering zu halten, sollten folgende Themen prioritär adressiert und allfällige Massnahmen in die Wege geleitet werden, um bei Inkraftsetzung des DSG die gesetzlichen Vorgaben zu erfüllen:
- Data Governance
Das DSG enthält keine Pflicht, einen Datenschutzberater einzusetzen. Auch wenn diese Funktion nicht offiziell besetzt wird, sollten sich die Unternehmen Gedanken machen, wie und ob sie eine unabhängige, mit dem notwendigen Fachwissen ausgestattete Kontaktstelle für datenschutzrelevante Fragen zur Verfügung stellen möchten. Neben einer internen Fachstelle für Datenschutz sollte auch eine Datenschutzstrategie und deren Umsetzung in einer Datenschutz-Weisung festgelegt werden.
- Mit Bussgeldern behaftete Sachverhalte
Am Grundsatz des bestehenden DSG wurde indes nichts geändert: eine Bearbeitung von Personendaten war schon immer zulässig, es sei denn, es liegen Ausnahmetatbestände vor. Unabhängig von einer allfälligen Rechtfertigung gemäss DSG müssen Unternehmen ihre Pflichten kennen und mindestens folgende, gemäss Art. 60-64 DSG mit Geldbussen bedrohten Pflichten zwingend beachten:
- Informationspflicht (z.B. Datenschutzerklärungen);
- Auskunftspflicht;
- Transparenzpflicht bei Bekanntgabe von Personendaten ins Ausland;
- Meldepflichten bei Verletzungen der Datensicherheit;
- Dokumentationspflichten bei Outsourcing und
- berufliche Schweigepflichten.
Als gute Basis für die unternehmensweite Risikoidentifizierung dient das Verzeichnis der internen und externen Datenbearbeitungstätigkeiten. Dieses sollte gleich zu Beginn der Umsetzung des DSG erstellt bzw. validiert werden. Zusätzlich braucht es eine kritische Analyse der bestehenden Datenschutzerklärungen, der damit verbundenen internen Dokumente und der Prozessbeschriebe. Im Zusammenhang mit der Auftragsbearbeitung müssen alle Verträge mit in- und ausländischen Lieferanten und deren Unterlieferanten überprüft werden.
Und wie geht es mit der EU-Äquivalenz weiter?
Das DSG orientiert sich stark an der EU-DSGVO. Für Schweizer Unternehmen ist es wichtig, dass zwischen der EU-DSGVO und dem DSG die sogenannte Äquivalenz von der EU-Kommission weiterhin anerkannt wird. Dies war die grundlegende Zielsetzung dieser Gesetzesrevision – denn ohne diese Äquivalenzanerkennung hätten Schweizer Unternehmen mit Kunden in der EU künftig einen deutlich höheren administrativen Aufwand. Hinzu kämen erhebliche Wettbewerbsnachteile im Vergleich zu den europäischen Nachbarn.
Die Auswirkungen der DSG-Revision auf den ausstehenden Äquivalenzentscheid der EU sind derzeit allerdings noch offen.
Die Vorbereitungsphase hat bereits begonnen
Schweizer Unternehmen empfiehlt es sich schon jetzt, sich bestmöglich auf die neuen Informations- und Dokumentationspflichten des DSG vorzubereiten. Für jene Unternehmen, die sich bisher nicht an der EU-DSGVO zu orientieren hatten, könnte dies ein markanter Initialaufwand bedeuten.