Inkrafttreten des neuen Datenschutzgesetzes mit Verordnung per 1. September 2023

Was ist der neuste Stand?

An seiner Sitzung vom 31. August 2022 hat der Bundesrat das Inkrafttreten des neuen Datenschutzgesetzes (DSG) per 1. September 2023 bestätigt. Ebenfalls hat der Bundesrat die neue Datenschutzverordnung (DSV) (sowie die neue Verordnung über Datenschutzzertifizierungen (VDSZ) publiziert, welche zusammen mit dem DSG in Kraft treten werden (Medienmitteilung). 

Welches sind die Neuerungen in der soeben publizierten Verordnung (DSV)?

Hier eine kurze Übersicht über die wichtigsten praxisrelevanten Bestimmungen der DSV:

• Bestätigung des risikobasierten Ansatzes: In verschiedenen Bestimmungen bestätigt die DSV, dass sich die zu treffenden (Sorgfalts-)Massnahmen nach dem (potenziellen) Risiko für die betroffenen Personen richten, z.B. in Bezug auf die Datensicherheit und die Bekanntgabe von Personendaten ins Ausland.
• Informationspflicht: Unternehmen müssen bekanntlich künftig über die Datenbearbeitung informieren (z.B. mittels Datenschutzerklärung). Gemäss DSV muss die Information «in präziser, transparenter, verständlicher und leicht zugänglicher Form» mitteilen. Gemäss dem Erläuterungsbericht zur DSV bedeutet dies z.B., dass bei der Datenschutzerklärung auf der Website gemäss «Best Practice»-Ansatz die Informationen in Form einer gegliederten Übersicht verfügbar sind. Um weitere Informationen zu erhalten, kann die betroffene Person danach auf diese zuerst angezeigten Informationen klicken, worauf sich ein Fenster mit detaillierteren Angaben öffnet.
• Datentransfers ins Ausland (z.B. im Zusammenhang mit Cloud-Outsourcings):
  • Der Bundesrat hat die Länder mit (aus Schweizer Sicht) angemessenem Datenschutz im Anhang zur Verordnung publiziert (diese ersetzt künftig die aktuelle Länderliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, EDÖB).
  • Falls der Bundesrat zu einem späteren Zeitpunkt ein Land nicht mehr als gleichwertig betrachtet, hat dies keinen Einfluss auf bereits erfolgte Datentransfers.
  • Falls Standardvertragsklauseln der Europäischen Kommission (mit entsprechenden Anpassungen an die Schweiz gemäss Mitteilung des EDÖB vom 27.08.2021) («SCC») verwendet werden, muss der Verantwortliche «Massnahmen» treffen, um sicherzustellen, dass der Datenimporteur die SCC beachtet. Im Kommentar des Bundesamtes für Justiz zur DSVwird diese Sorgfaltspflicht wie folgt präzisiert: «Die Angemessenheit der geforderten Massnahmen richtet sich nach den Umständen im konkreten Fall und dem Stand der Technik (…).» Auch hier wird somit von einem risikobasierten Ansatz ausgegangen. Der EDÖB hat diesbezüglich bereits am 18.06.2021 eine Anleitung für die Prüfung von Datenübermittlungen mit Auslandbezug publiziert.
• Verletzungen der Datensicherheit: Die DSV enthält eine Liste der Mindestangaben bei einer Meldung von Verletzungen der Datensicherheit an den EDÖB und die betroffenen Personen. Es besteht zudem eine Dokumentationspflicht (die Dokumentation ist mindestens 2 Jahre ab dem Zeitpunkt der Meldung aufzubewahren).
• Datenschutzberater:
  • Privatrechtlichen Unternehmen ist die Ernennung eines Datenschutzberaters weiterhin freigestellt.
  • Für «Bundesorgane» (einschliesslich privatrechtlich organisierter Unternehmen, die Aufgaben des Bundes erbringen, z.B. Pensionskassen im Obligatorium) ist die Ernennung eines Datenschutzberaters dagegen künftig obligatorisch. Die Kontaktdaten des Datenschutzberaters sind im Internet zu publizieren und dem EDÖB mitzuteilen.
  • Bearbeitungsverzeichnis: Privatrechtliche Unternehmen mit weniger als 250 Mitarbeitenden sind von der Pflicht zur Führung des Bearbeitungsverzeichnisses im Prinzip befreit (Ausnahmen gelten bei der umfangreichen Bearbeitung von «besonders schützenswerten Personendaten» oder beim «Profiling mit hohem Risiko»). Insbesondere im Hinblick auf die Erstellung der Datenschutzerklärung kann die Führung eines Bearbeitungsverzeichnisses aber auch in diesen Fällen sinnvoll sein.
• Automatisierte Bearbeitung von Personendaten bei «Bundesorganen»: Geplante automatisierte Bearbeitungstätigkeiten (z.B. im Zusammenhang mit automatisierten Entscheidfindungen) sind dem EDÖB im Zeitpunkt des Projektentscheids sowie beim Übergang in den produktiven Betrieb (bzw. Projekteinstellung) mitzuteilen.
• Protokollierung und Reglement bei der automatisierten Bearbeitung bestimmter Daten: Bei der (automatisierten) Bearbeitung von «besonders schützenswerten» Personendaten (z.B. Gesundheitsdaten, Strafregisterauszüge, biometrische Daten, usw.) und beim «Profiling mit hohem Risiko» muss unter bestimmten Bedingungen die Bearbeitung (speichern, verändern, lesen, bekanntgeben, löschen und vernichten der Daten) protokolliert werden. Ebenfalls besteht unter bestimmten Voraussetzungen die Pflicht zur Erstellung eines internen Reglements (betreffend interne Organisation, Datenbearbeitungs- und Kontrollverfahren, Massnahmen zur Gewährleistung der Datensicherheit).
• Datenschutz-Folgenabschätzungen müssen für mindestens zwei Jahre (nach Beendigung der Datenbearbeitung) aufbewahrt werden.

Was ist der Handlungsbedarf für Schweizer Unternehmen?

Unternehmen haben nun ein Jahr Zeit für die (Finalisierung der) Umsetzung der neuen Bestimmungen. Insbesondere da die Umsetzung auch IT-Implikationen haben kann (z.B. Einführung von Löschkapazitäten), sollte spätestens jetzt damit begonnen werden. Einen Überblick über die erforderlichen Anpassungen im Zusammenhang mit dem revidierten Datenschutzrecht finden Sie in unserem kürzlichen Blogpost.

Neben der Umsetzungsfrist gilt noch eine weitere Frist: Unternehmen müssen überdies SCC, welche noch auf der «alten» Version beruhen (d.h. vor 27.08.2021), bis zum 31.12.2022 mit den neuen (an die Schweiz angepassten) SCC ersetzen.

In unserer Blogserie informieren wir aktuell zu den Anforderungen und Neuerungen im Datenschutzrecht.

Unser Data Privacy | ICT | Implementationᐩ bei PwC Legal Schweiz unterstützt Unternehmen im privaten sowie im öffentlichen Bereich bei der Umsetzung des neuen Datenschutzrechts mit einem effizienten und pragmatischen Ansatz. 

#social#