Dieser Beitrag gibt einen Überblick über die bevorstehenden Änderungen des Schweizer Datenschutzgesetzes (DSG) sowie Hinweise, wie sich Unternehmen und Betriebe bereits jetzt darauf vorbereiten können.
7 Schritte für die Implementierung des neuen Datenschutzrechts:
1. Vertragsmanagement / Auftragsdatenbearbeitung
Das Schweizer Datenschutzgesetz kennt eine Vereinbarung zur Auftragsverarbeitung (AVV) wie die Datenschutz-Grundverordnung (DS-GVO) nicht. Allerdings sind Vereinbarungen zur „Datensicherheit“ bereits heute Bestandteil von Verträgen. Dies bedeutet auch, dass Unternehmen grundsätzlich eine Dokumentation der Datensicherheit vorhalten müssen. In der Revision des DSG ist der Abschluss einer „Auftragsdatenbearbeitung“ vorgesehen.
Der Verantwortliche muss sich gemäß Entwurf der DSG-Revision vergewissern, dass der Auftragsbearbeiter in der Lage ist, nicht nur die Datensicherheit zu gewährleisten, sondern auch die Rechte der betroffenen Person.
Der Entwurf sieht u.a. vor, dass der Auftragsbearbeiter die Datenbearbeitung ohne vorgängige schriftliche Zustimmung des Verantwortlichen keinem weiteren Auftragsbearbeiter Daten übertragen darf. Der Verantwortliche ist darüber hinaus zukünftig verpflichtet, die betroffene Person zu informieren, wenn die Bearbeitung einem Auftragsbearbeiter übertragen wird, und muss ihr die Daten oder Kategorien von Daten mitteilen, die bearbeitet werden.
Es ist empfehlenswert sich einen Überblick über die bereits beauftragten Auftragsbearbeiter zu verschaffen und die Nachweise der Datensicherheit einzufordern. Dies, um den Status der Datensicherheit beim Auftragsbearbeiter zu prüfen und um entsprechende Prozesse implementieren zu können.
2. Sicherheit der Personendaten / Datensicherung
Ähnlich wie Art. 32 DS-GVO präzisiert der Entwurf der Revision, dass die Verantwortlichen und die Auftragsbearbeiter durch technische und organisatorische Maßnahmen die Daten vor unbefugtem Bearbeiten oder Verlust schützen müssen. Unter den Verlust fällt auch die Vernichtung von Daten. Aus dieser Pflicht können sich unterschiedliche Maßnahmen ergeben, wie z.B. pseudonymisieren und chiffrieren. Es sind analog DS-GVO Garantien vorzusehen, welche die Vertraulichkeit, Vollständigkeit und Verfügbarkeit des Systems und der Bearbeitungsdienste gewährleisten oder sicherstellen, dass der Zugang zu den Daten und Systemen im Falle einer technischen oder physischen Störung innerhalb angemessener Frist wieder zu Verfügung steht.
Schließlich kann die Pflicht bestehen, Verfahren zu entwickeln, mit denen die Wirksamkeit der technischen und organisatorischen Vorkehren zur Datensicherheit regelmässig untersucht, analysiert und beurteilt werden können. Es ist empfehlenswert hier rechtzeitig entsprechende Prüfprozesse zu implementieren.
3. Informationspflichten bei der Beschaffung von Daten
Der Verantwortliche muss zukünftig die betroffene Person über die Beschaffung von Personendaten informieren, selbst wenn die Daten bei Dritten beschafft werden. Der Verantwortliche muss die betroffene Person aktiv informieren. Die Informationspflichten der Revision sind vergleichbar mit der der Datenschutz-Grundverordnung. Es sind Ausnahmen hinsichtlich der Informationspflichten in der Revision geplant. Diese beschränken sich aber überwiegend darauf, dass der Betroffene bereits zu einem früheren Zeitpunkt informiert wurde und/oder sich an den Informationen in der Zwischenzeit nichts geändert hat.
4. Rechte der Betroffenen
Das DSG kennt u.a. bereits das Auskunfts- und Löschrecht. Jede Person kann vom Verantwortlichen kostenlos Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Die Revision bleibt unverändert zum aktuellen Recht. Weitergehender sind wohl die zu beauskunftenden Angaben. Es handelt sich dabei grundsätzlich um diejenigen Informationen, die erforderlich sind, damit die betroffene Person ihre Rechte geltend machen kann und damit eine transparente Datenbearbeitung gewährleistet ist. Auf jeden Fall sind mitzuteilen die Identität und die Kontaktdaten des Verantwortlichen, die bearbeiteten Personendaten und der Zweck der Bearbeitung. Des Weiteren die Dauer der Aufbewahrung. Der Betroffene hat ebenfalls ein Widerspruchsrecht sowie ein Recht auf Berichtigung, Löschung oder Vernichtung von Daten.
Es ist empfehlenswert rechtzeitig entsprechende Prozesse zu implementieren. Ob der Betroffene zukünftig auch ein Recht auf Datenportabilität hat, bleibt abzuwarten.
5. Datenschutz-Folgenabschätzung
In der Datenschutz-Folgenabschätzung muss zunächst die geplante Bearbeitung dargelegt werden wie auch z.B. die Risiken für die für die Persönlichkeit oder die Grundrechte der betroffenen Person. Ein Verstoß gegen die Pflichten kann zukünftig sanktioniert werden. Die Einführung der Datenschutz-Folgenabschätzung ist für Bundesorgane keine Neuheit. Der Verantwortliche ist verpflichtet, eine Prognose darüber zu machen, wie welche Verletzungen der Persönlichkeit oder der Grundrechte verringert oder solchen vorgebeugt wird. Damit wird neu die Pflicht zum sog. Datenschutz durch Technik eingeführt. Dies ist wiederum in der Datensicherheit zu berücksichtigen.
Auch hier ist es empfehlenswert rechtzeitig entsprechende Prozesse und Zuständigkeiten zu definieren.
6. Dokumentationspflicht
Unter dem Artikel „Verschiedene weitere Pflichten“ des Verantwortlichen bzw. des Auftragsbearbeiter fällt die Dokumentationspflicht. Der Verantwortliche und der Auftragsbearbeiter ist verpflichtet seine Datenbearbeitungsvorgänge zu dokumentieren. Die Dokumentationspflicht enthält ähnliche Regelungen wie Art. 30 DS-GVO. Es entfällt dadurch die bisherige Verpflichtung, Datensammlungen beim Beauftragten zu registrieren.
Es ist auch hier empfehlenswert mit einer Dokumentation, evtl. unter Zuhilfenahme der durch deutsche Datenschutzaufsichtsbehörden zur Verfügung gestellten Formulare, rechtzeitig zu beginnen. Dies auch vor dem Hintergrund, dass diese Dokumentation u.a. für die Erfüllung der Betroffenenrechte, Informationspflichten sowie der Meldung von Datenschutzverletzungen erforderlich, aber zumindest hilfreich, ist.
7. Meldung von Verletzungen des Datenschutzes
Eine Meldepflicht wie die DS-GVO sie vorsieht, kennt das DSG nicht. Im Rahmen der Revision wird eine Pflicht eingeführt. Der Verantwortliche hat unbefugte Datenbearbeitung oder den Verlust von Daten, es sei denn die Verletzung des Datenschutzes führt voraussichtlich nicht zu einem Risiko für die Persönlichkeit und die Grundrechte der betroffenen Person, zu melden.
Es ist empfehlenswert rechtzeitig Prozesse zu implementieren, um Verletzungen wie z.B. Verlust, unbefugte Löschung, (rechtzeitig) zu erkennen, zu dokumentieren und um sie dann den Behörden entsprechend melden zu können.
Ausblick:
Der Schweizer Gesetzgeber hatte 2019 entschieden, die Totalrevision zu staffeln: Zuerst die Schengen-Verträge und dann die Totalrevision des Datenschutzgesetzes. Die Totalrevision soll voraussichtlich bis Ende 2020 abgeschlossen sein. Eine Übergangsfrist für Unternehmen ist nicht geplant.
Autorin: Regina Mühlich ist Geschäftsführerin der Managementberatung AdOrga Solutions GmbH. Sie ist Expertin für Datenschutz, Sachverständige für EDV und Datenschutz sowie Datenschutz-Auditorin, Qualitätsmanagement-Beauftragte und Compliance Officer. Als Datenschutzbeauftragte und Compliance Officer berät und unterstützt sie nationale und internationale Unternehmen aus unterschiedlichsten Branchen. Im Datenschutz ist sie seit über 20 Jahren tätig. Sie ist gefragte Referentin für Seminare und Vorträge, Mitglied des IDG-Expertennetzwerkes sowie Mitglied des Vorstandes des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.