Das neue Schweizer Datenschutzgesetz: Gefahr erkannt, Gefahr gebannt?

Das revidierte Schweizer Datenschutzgesetz (revDSG) wurde am 25. September 2020 verabschiedet. Aller Voraussicht nach tritt es Mitte 2022 in Kraft.

Zahlreiche Bestimmungen im revDSG müssen auf Verordnungsebene konkretisiert werden. Die Vernehmlassung zur totalrevidierten Verordnung zum DSG (revVDSG) dauert noch bis zum 14. Oktober 2021. Es ist zu erwarten, dass wesentliche Regelungen, die eigentlich der Konkretisierung vieler Kernthemen hätten dienen sollen, nachgebessert werden. Gleichwohl ist zu empfehlen, die Umsetzungsarbeiten schon jetzt ernsthaft und effektiv zu planen bzw. begonnene Massnahmen konsequent fortzuführen.

Entscheidende Erstmassnahmen zur Umsetzung bei KMUs, die in aller Regel selten riskante Datenbearbeitungen (z.B. Abfrage von Gesundheitsdaten oder politischer Motivation) durchführen, sind meist weder kompliziert noch kostenintensiv. Wichtig ist nicht die Ganzheit aller Massnahmen, sondern eine klare Zielsetzung und ein realistischer Zeitplan.
 

Wie lautet eine geläufige Taucher-Weisheit? Plan your dive, dive your plan

Datenschutz-Compliance ist kein schnöder Selbstzweck. Sie dient dem Schutz des Kunden (seinen Persönlichkeits- und Grundrechten) sowie der Reputation des Unternehmens, indem strengen Sanktionen vorgebeugt und Mitarbeitende vor strafrechtlicher Verantwortung bewahrt werden.

Beginnen Sie gemäss der untenstehenden Prioritätenliste mit der Planung der Umsetzung, indem Sie eine Bestandsaufnahme aller Datenbearbeitungen durchführen und mittels Gap-Analyse Ihren Handlungsbedarf feststellen.

Umsetzung der neuen Datenschutzanforderungen in 5 Schritten:

1. Erfassung aller Datenbearbeitungen in einem Bearbeitungsverzeichnis: Zwar erst ab 250 Mitarbeitenden obligatorisch, zur Übersichtlichkeit und Dokumentation aller Verarbeitungsvorgänge aber auch für kleinere Betriebe sehr hilfreich und zu empfehlen.
    
2. Ausarbeitung eines internen Datenschutz-Reglements: Datenschutz-Policy, Weisungen und abgeleitete Richtlinien z.B. bezüglich des Einsatzes von Cloud-Diensten oder der Nutzung von CRM-Tools. Nutzungsregeln für Mitarbeitende beim Einsatz eigener Smartphones oder Laptops («Bring Your Own Device», BYOD) sowie Regelungen zum externen Datenzugriff aus dem Homeoffice.
    
3. Erstellung oder Anpassung von Datenschutzerklärungen für Dienstleistungen oder Produkte auf der Webseite, sowie in den allgemeinen Geschäftsbedingungen bzw. Dateninformationsblättern.
    
4. Auftragsdatenverarbeitung (z.B. bei Outsourcing in die Cloud), sofern das Unternehmen Dienstleistungen im IT-Bereich erbringt oder Tätigkeiten für Kunden an Dritte ausgelagert hat.
    
5. Implementierung risikobasierter Datensicherheitsmassnahmen: Definition des Sicherheitsanspruchs und Konzepterstellung, z.B. Prozess (Datenschutzfolgeabschätzung) bei Bearbeitungen mit hohem Risiko bei der Einführung neuer Technologien oder einen Meldeprozess bei Datenschutzverletzungen bzw. bei Profiling.
    

Was ist «Profiling» nochmal?

Nach der gesetzlichen Definition ist Profiling jede Art der automatisierten Bearbeitung von Personendaten, mit dem Ziel, persönliche Aspekte einer Person zu bewerten. Dies können eine Analyse oder Vorhersage der Arbeitsleistung, wirtschaftlichen Lage, Gesundheit, persönlichen Vorlieben, Zuverlässigkeit, des Verhaltens oder auch des Aufenthaltsorts sein. Die Bewertung dient dann z.B. der automatisierten Bonitätsbestimmung von Kunden oder einer Laufbahn- und Potentialanalyse der HR-Abteilung.

Das klingt einerseits nach organisierter Fremdbestimmung und dem Vordringen fragwürdiger Technologien in tiefere Schichten der menschlichen Persönlichkeit. Gleichzeitig umfasst modernes Profiling aber auch harmlose Vorgänge und solche im Rahmen gesetzlicher Pflichten, wie beispielsweise risikobasierte Datenanalysen (z.B. Kreditkartentransaktionen) zur Betrugs- und Geldwäschereiprävention. Profiling betrifft also viele Alltagsvorgänge im beruflichen und privaten Kontext.

Anders als beim europäischen Datenschutzrecht (EU-DSGVO) verlangt das neue revDSG grundsätzlich keine Einwilligung beim Profiling, solange die Bearbeitungsgrundsätze eingehalten werden. Trotz des vielen Hin und Her im Gesetzgebungsverfahren besteht die ursprüngliche Konzeption des Schweizer Datenschutzrechts fort: Datenbearbeitung ist grundsätzlich zulässig, sofern kein Ausnahmetatbestand vorliegt und die Bearbeitungsgrundsätze wie Transparenz, Zweckbindung und Verhältnismässigkeit eingehalten werden.

Kommt zum Profiling ein weiterer Risikofaktor hinzu, muss vorweg zusätzlich ein strukturiertes und dokumentiertes Risk Assessment (sogenannte Datenschutzfolgenabschätzung) durchgeführt werden. Markante Anwendungsbeispiele sind der Betrieb eines Fraud-Prevention Systems oder das Scoring bei Banken und Versicherungen.
 

Fazit

Zusammenfassend ist festzuhalten, dass die finale Version der Verordnung zum revDSG auf sich warten lässt und damit nötige Detailvorschriften zur Anwendung des Datenschutzgesetzes noch fehlen. Allerdings stehen die wichtigsten Eckpfeiler zum Schutz der Daten natürlicher Personen fest. Daher sind Unternehmen gut beraten, in der verbleibenden Zeit erforderliche Massnahmen zu planen und umzusetzen.