Wie Sie nDSG-konform werden

Das Datenschutzgesetz musste einerseits dringend an die veränderten technologischen und gesellschaftlichen Verhältnisse angepasst werden.  Ausserdem wird mit dieser Revision das DSG auf die strengen Datenschutz-Grundverordnung der EU (DSGVO) angepasst. Es ist richtig und wichtig, damit die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkannt wird und im internationalen Markt wettbewerbsfähig bleibt. Letztlich geht es auch um den Schutz der Privatsphäre, daher ist es sinnvoll, bei der Umsetzung zu helfen.

• Geltungsbereich: Wie die DSGVO beschränkt sich das revidierte DSG auf den Datenschutz natürlicher Personen.
• Umfang: Genetische und biometrische Daten gelten als besonders schützenswert.
• Transparenz: Unternehmen müssen die betroffenen Personen über jede Datenbeschaffung angemessen informieren, nicht nur bei besonders schützenswerten Daten. Das ist ohne Software nicht leicht zu managen, denn es müssen zum Beispiel die Identität und die Kontaktdaten des für die Datenbearbeitung Verantwortlichen, der Bearbeitungszweck, die Empfänger bzw. Kategorien von Empfängern und das Empfängerland bei Datenexport ins Ausland mitgeteilt werden. Hier ist das nDSG strenger als die DSGVO. Es reicht also leider nicht aus, DSGVO-konform zu sein.
• Dokumentation: Unternehmen werden jetzt verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten mit den vorgeschriebenen Angaben vorzuweisen. Es entfällt die Pflicht zur Führung eines Verzeichnisses der Datensammlungen. Jedoch empfiehlt es sich, diese beiden Verzeichnisse smart miteinander zu koppeln.
• Folgen: Unternehmen sind verpflichtet, eine Folgenabschätzung zu dokumentieren, wenn die Datenbearbeitung für die Persönlichkeit oder die Grundein hohes Risiko mit sich bringt.
• Profile: Profiling ist im nDSG geregelt, das gilt für die automatisierte Datenbearbeitung, um bestimmte persönliche Aspekte einer Person zu bewerten. Im Unterschied zur DSGVO sieht das nDSG hier keine allgemeine Pflicht zur Einholung einer Einwilligung vor. Ausser bei einem Profiling mit hohem Risiko.
• Unverzügliche Meldung: Verletzungen der Datensicherheit, also unbeabsichtigtes oder widerrechtliches Verlieren, Löschen, Vernichten, Verändern oder Unbefugten zugänglich machen von Personendaten, müssen neu dem EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter)unverzüglich (Richtwert DSGVO innerhalb von 72 Stunden) gemeldet werden, wenn sie voraussichtlich zu einem hohen Risiko für die Betroffenen führen (beim DSGVO genügt sogar ein einfaches Risiko).
• Privacy-by-Design und Privacy-by-Default (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen): Dies verpflichtet Unternehmen, Datenbearbeitungsgrundsätze schon bei der Planung und Ausgestaltung von Applikationen zu berücksichtigen.

Die Art und Weise der Datenbearbeitung nach nDSG verändert sich im Gegensatz zum DSGVO nicht grundlegend. Unternehmen in der Schweiz benötigen eine Datenschutzerklärung, deren Mindestangaben weniger umfassend sind als die der DSGVO. Die Informationspflicht bezüglich der Datenbekanntgabe ins Ausland geht in der Schweiz weiter als die DSGVO.

Was gehört in eine Datenschutzerklärung?

• Bearbeitungszweck 
• Identität und Kontaktdaten des Verantwortlichen 
• Empfänger*innen oder Kategorien von Empfängerinnen und Empfänger*innen, denen Personendaten bekannt gegeben werden 
• Bei jeglicher Bekanntgabe von Daten ins Ausland: Der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten 

Für die Bearbeitung von Personendaten durch private Unternehmen ist im Unterschied zur DSGVO keine Einwilligung oder ein anderer Rechtfertigungsgrund nötig. Zu beachten ist weiterhin:

• Die Erfüllung der Informationspflichten –, Zweckbindung, Verhältnismässigkeit und Datensicherheit müssen transparent eingehalten werden,
• Wenn die betroffene Person der Bearbeitung selbst widerspricht ist das selbstverständlich zu respektieren. Eine Software kann helfen, diese Personen aus allen Verteilern zu entfernen
• Besonders schützenswerten Personendaten dürfen Dritten nie mitgeteilt werden.

Eine ausdrückliche Einwilligung ist hingegen nur bei der Bearbeitung von besonders schützenswerten Personendaten und neu bei einem Profiling mit hohem Risiko vorgeschrieben. 

Definitiv ja, denn das neue DSG knüpft in Bezug auf den räumlichen Geltungsbereich an das sogenannte Auswirkungsprinzip an. Es gilt somit auch für alle ausländische Firmen, die im Schweizer Markt aktiv sind, beziehungsweise deren Datenbearbeitung sich in der Schweiz auswirkt.

Umgekehrt gilt auch die DSGVO für Schweizer Unternehmen, die im EU-Raum aktiv sind.

Verarbeiten Sie grosse Mengen an Personendaten oder besonders schützenswerte Personendaten? Unterstützen Sie zum Beispiel Ihr Salesteam durch Profiling? Betreiben Sie Webshops? Haben Sie Kunden und Kontakte ausserhalb der Schweiz? Dann ist es höchste Zeit, das Thema anzugehen.   

Unternehmen, die bereits DSGVO-konform sind, sind zwar nicht sicher, haben aber den wenigsten Aufwand vor sich. Wer bisher das Thema ignoriert und noch nichts unternommen hat, ist wirklich gefordert.

Nein nicht grundsätzlich.

Schweizer Unternehmen sind jedoch zum Beispiel nach DSG generell verpflichtet, einen Datenschutzverantwortlichen ernennen, wenn sie Personendaten von Einwohnern der EU bearbeiten.

Die Ernennung eines Datenschutzberaters ist im Unterschied zur DSGVO freiwillig, bringt aber gewisse Vorteile. Es kann auch ein externer Datenschutzbeauftragter sein, der das Unternehmen hier vor den Folgen schützt und ein praktikables Datenschutzkonzept entwickelt. Das ist vielleicht sogar der cleverste Schachzug in Bezug auf die Verantwortlichkeit.