Dieser Beitrag gibt einen Über­blick über die be­vor­ste­hen­den Än­de­run­gen des Schwei­zer Da­ten­schutz­ge­set­zes (DSG) sowie Hin­wei­se, wie sich Un­ter­neh­men und Be­trie­be bereits jetzt darauf vor­be­rei­ten können.

7 Schrit­te für die Im­ple­men­tie­rung des neuen Datenschutzrechts:

1. Ver­trags­ma­nage­ment / Auftragsdatenbearbeitung
Das Schwei­zer Da­ten­schutz­ge­setz kennt eine Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung (AVV) wie die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) nicht. Al­ler­dings sind Ver­ein­ba­run­gen zur „Da­ten­si­cher­heit“ bereits heute Be­stand­teil von Ver­trä­gen. Dies be­deu­tet auch, dass Un­ter­neh­men grund­sätz­lich eine Do­ku­men­ta­ti­on der Da­ten­si­cher­heit vor­hal­ten müssen. In der Re­vi­si­on des DSG ist der Ab­schluss einer „Auf­trags­da­ten­be­ar­bei­tung“ vorgesehen.
Der Ver­ant­wort­li­che muss sich gemäß Entwurf der DSG-Re­­vi­­si­on ver­ge­wis­sern, dass der Auf­trags­be­ar­bei­ter in der Lage ist, nicht nur die Da­ten­si­cher­heit zu ge­währ­leis­ten, sondern auch die Rechte der be­trof­fe­nen Person.
Der Entwurf sieht u.a. vor, dass der Auf­trags­be­ar­bei­ter die Da­ten­be­ar­bei­tung ohne vor­gän­gi­ge schrift­li­che Zu­stim­mung des Ver­ant­wort­li­chen keinem wei­te­ren Auf­trags­be­ar­bei­ter Daten über­tra­gen darf. Der Ver­ant­wort­li­che ist darüber hinaus zu­künf­tig ver­pflich­tet, die be­trof­fe­ne Person zu in­for­mie­ren, wenn die Be­ar­bei­tung einem Auf­trags­be­ar­bei­ter über­tra­gen wird, und muss ihr die Daten oder Ka­te­go­rien von Daten mit­tei­len, die be­ar­bei­tet werden.

Es ist emp­feh­lens­wert sich einen Über­blick über die bereits be­auf­trag­ten Auf­trags­be­ar­bei­ter zu ver­schaf­fen und die Nach­wei­se der Da­ten­si­cher­heit ein­zu­for­dern. Dies, um den Status der Da­ten­si­cher­heit beim Auf­trags­be­ar­bei­ter zu prüfen und um ent­spre­chen­de Pro­zes­se im­ple­men­tie­ren zu können.

2. Si­cher­heit der Per­so­nen­da­ten / Datensicherung
Ähnlich wie Art. 32 DS-GVO prä­zi­siert der Entwurf der Re­vi­si­on, dass die Ver­ant­wort­li­chen und die Auf­trags­be­ar­bei­ter durch tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men die Daten vor un­be­fug­tem Be­ar­bei­ten oder Verlust schüt­zen müssen. Unter den Verlust fällt auch die Ver­nich­tung von Daten. Aus dieser Pflicht können sich un­ter­schied­li­che Maß­nah­men ergeben, wie z.B. pseud­ony­mi­sie­ren und chif­frie­ren. Es sind analog DS-GVO Ga­ran­tien vor­zu­se­hen, welche die Ver­trau­lich­keit, Voll­stän­dig­keit und Ver­füg­bar­keit des Systems und der Be­ar­bei­tungs­diens­te ge­währ­leis­ten oder si­cher­stel­len, dass der Zugang zu den Daten und Sys­te­men im Falle einer tech­ni­schen oder phy­si­schen Störung in­ner­halb an­ge­mes­se­ner Frist wieder zu Ver­fü­gung steht.

Schließ­lich kann die Pflicht be­stehen, Ver­fah­ren zu ent­wi­ckeln, mit denen die Wirk­sam­keit der tech­ni­schen und or­ga­ni­sa­to­ri­schen Vor­keh­ren zur Da­ten­si­cher­heit re­gel­mäs­sig un­ter­sucht, ana­ly­siert und be­ur­teilt werden können. Es ist emp­feh­lens­wert hier recht­zei­tig ent­spre­chen­de Prüf­pro­zes­se zu implementieren.
 
3. In­for­ma­ti­ons­pflich­ten bei der Be­schaf­fung von Daten
Der Ver­ant­wort­li­che muss zu­künf­tig die be­trof­fe­ne Person über die Be­schaf­fung von Per­so­nen­da­ten in­for­mie­ren, selbst wenn die Daten bei Dritten be­schafft werden. Der Ver­ant­wort­li­che muss die be­trof­fe­ne Person aktiv in­for­mie­ren. Die In­for­ma­ti­ons­pflich­ten der Re­vi­si­on sind ver­gleich­bar mit der der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung. Es sind Aus­nah­men hin­sicht­lich der In­for­ma­ti­ons­pflich­ten in der Re­vi­si­on geplant. Diese be­schrän­ken sich aber über­wie­gend darauf, dass der Be­trof­fe­ne bereits zu einem frü­he­ren Zeit­punkt in­for­miert wurde und/oder sich an den In­for­ma­tio­nen in der Zwi­schen­zeit nichts ge­än­dert hat.

4. Rechte der Betroffenen
Das DSG kennt u.a. bereits das Aus­­­kunfts- und Lösch­recht. Jede Person kann vom Ver­ant­wort­li­chen kos­ten­los Aus­kunft darüber ver­lan­gen, ob Daten über sie be­ar­bei­tet werden. Die Re­vi­si­on bleibt un­ver­än­dert zum ak­tu­el­len Recht. Wei­ter­ge­hen­der sind wohl die zu be­aus­kunften­den Angaben. Es handelt sich dabei grund­sätz­lich um die­je­ni­gen In­for­ma­tio­nen, die er­for­der­lich sind, damit die be­trof­fe­ne Person ihre Rechte geltend machen kann und damit eine trans­pa­ren­te Da­ten­be­ar­bei­tung ge­währ­leis­tet ist. Auf jeden Fall sind mit­zu­tei­len die Iden­ti­tät und die Kon­takt­da­ten des Ver­ant­wort­li­chen, die be­ar­bei­te­ten Per­so­nen­da­ten und der Zweck der Be­ar­bei­tung. Des Wei­te­ren die Dauer der Auf­be­wah­rung. Der Be­trof­fe­ne hat eben­falls ein Wi­der­spruchs­recht sowie ein Recht auf Be­rich­ti­gung, Lö­schung oder Ver­nich­tung von Daten.

Es ist emp­feh­lens­wert recht­zei­tig ent­spre­chen­de Pro­zes­se zu im­ple­men­tie­ren. Ob der Be­trof­fe­ne zu­künf­tig auch ein Recht auf Da­ten­por­ta­bi­li­tät hat, bleibt abzuwarten.

5.  Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung
In der Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung muss zu­nächst die ge­plan­te Be­ar­bei­tung dar­ge­legt werden wie auch z.B. die Risiken für die für die Per­sön­lich­keit oder die Grund­rech­te der be­trof­fe­nen Person. Ein Verstoß gegen die Pflich­ten kann zu­künf­tig sank­tio­niert werden. Die Ein­füh­rung der Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung ist für Bun­des­or­ga­ne keine Neuheit. Der Ver­ant­wort­li­che ist ver­pflich­tet, eine Pro­gno­se darüber zu machen, wie welche Ver­let­zun­gen der Per­sön­lich­keit oder der Grund­rech­te ver­rin­gert oder solchen vor­ge­beugt wird. Damit wird neu die Pflicht zum sog. Daten­schutz durch Technik ein­ge­führt. Dies ist wie­der­um in der Da­ten­si­cher­heit zu berücksichtigen.

Auch hier ist es emp­feh­lens­wert recht­zei­tig ent­spre­chen­de Pro­zes­se und Zu­stän­dig­kei­ten zu definieren.

6. Do­ku­men­ta­ti­ons­pflicht
Unter dem Artikel „Ver­schie­de­ne weitere Pflich­ten“ des Ver­ant­wort­li­chen bzw. des Auf­trags­be­ar­bei­ter fällt die Do­ku­men­ta­ti­ons­pflicht. Der Ver­ant­wort­li­che und der Auf­trags­be­ar­bei­ter ist ver­pflich­tet seine Da­ten­be­ar­bei­tungs­vor­gän­ge zu do­ku­men­tie­ren. Die Do­ku­men­ta­ti­ons­pflicht enthält ähn­li­che Re­ge­lun­gen wie Art. 30 DS-GVO. Es ent­fällt dadurch die bis­he­ri­ge Ver­pflich­tung, Da­ten­samm­lun­gen beim Be­auf­trag­ten zu registrieren.

Es ist auch hier emp­feh­lens­wert mit einer Do­ku­men­ta­ti­on, evtl. unter Zu­hil­fe­nah­me der durch deut­sche Da­ten­schutz­auf­sichts­be­hör­den zur Ver­fü­gung ge­stell­ten For­mu­la­re, recht­zei­tig zu be­gin­nen. Dies auch vor dem Hin­ter­grund, dass diese Do­ku­men­ta­ti­on u.a. für die Er­fül­lung der Be­trof­fe­nen­rech­te, In­for­ma­ti­ons­pflich­ten sowie der Meldung von Da­ten­schutz­ver­let­zun­gen er­for­der­lich, aber zu­min­dest hilf­reich, ist.

7. Meldung von Ver­let­zun­gen des Datenschutzes
Eine Mel­de­pflicht wie die DS-GVO sie vor­sieht, kennt das DSG nicht. Im Rahmen der Re­vi­si­on wird eine Pflicht ein­ge­führt. Der Ver­ant­wort­li­che hat un­be­fug­te Da­ten­be­ar­bei­tung oder den Verlust von Daten, es sei denn die Ver­let­zung des Da­ten­schut­zes führt vor­aus­sicht­lich nicht zu einem Risiko für die Per­sön­lich­keit und die Grund­rech­te der be­trof­fe­nen Person, zu melden.

Es ist emp­feh­lens­wert recht­zei­tig Pro­zes­se zu im­ple­men­tie­ren, um Ver­let­zun­gen wie z.B. Verlust, un­be­fug­te Lö­schung, (recht­zei­tig) zu er­ken­nen, zu do­ku­men­tie­ren und um sie dann den Be­hör­den ent­spre­chend melden zu können.

Aus­blick:
Der Schwei­zer Ge­setz­ge­ber hatte 2019 ent­schie­den, die To­tal­re­vi­si­on zu staf­feln: Zuerst die Schen­­gen-Ver­­­trä­­ge und dann die To­tal­re­vi­si­on des Da­ten­schutz­ge­set­zes. Die To­tal­re­vi­si­on soll vor­aus­sicht­lich bis Ende 2020 ab­ge­schlos­sen sein. Eine Über­gangs­frist für Un­ter­neh­men ist nicht geplant.


Autorin: Regina Mühlich ist Ge­schäfts­füh­re­rin der Management­beratung AdOrga Solutions GmbH. Sie ist Ex­per­tin für Daten­schutz, Sach­ver­stän­di­ge für EDV und Daten­schutz sowie Da­ten­­­schutz-Au­­di­­to­rin, Qua­li­täts­­­ma­nage­ment-Be­auf­­tra­g­­te und Com­pli­ance Officer. Als Datenschutz­beauftragte und Com­pli­ance Officer berät und un­ter­stützt sie na­tio­na­le und in­ter­na­tio­na­le Un­ter­neh­men aus un­ter­schied­lichs­ten Bran­chen. Im Daten­schutz ist sie seit über 20 Jahren tätig. Sie ist ge­frag­te Re­fe­ren­tin für Se­mi­na­re und Vor­trä­ge, Mit­glied des IDG-Ex­­per­­ten­­net­z­­wer­kes sowie Mit­glied des Vor­stan­des des Be­rufs­ver­bands der Da­ten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e. V.

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!