Das erste Bundesgesetz über den Datenschutz in der Schweiz (DSG) vom 19.06.1992 trat 1993 in Kraft. Seit dem Inkrafttreten des DSG gab es vielfältigste technologische Entwicklungen, die in der bestehenden Form – logischerweise – nicht im Gesetz aus 1992 berücksichtigt werden konnten. In 2008 erfolgte bereits eine Teilrevision des Schweizer DSG mit dem Ziel, die Information der Bevölkerung über die „Bearbeitung“ (schweizerisches Pendant zur hiesigen „Verarbeitung“) der Daten zu stärken. In Anbetracht der weitreichenden technologischen Entwicklungen wird nun aber zum 1. September 2023 ein „totalrevidiertes“ DSG in Kraft treten, also ein neues Datenschutzgesetz.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) hat sich auf seiner Website mit dem neuen DSG und den Änderungen hierdurch befasst. In Anlehnung hieran möchten wir Ihnen in diesem Beitrag einen kurzen Überblick über die aus unserer Sicht hiervon relevantesten Änderungen für Unternehmen durch das neue Datenschutzgesetz (nDSG) geben. Zudem soll in diesem Zusammenhang auch auf wesentliche Unterschiede und Ähnlichkeiten zur DSGVO eingegangen werden.
Bitte beachten Sie, dass dieser Beitrag keinen abschließenden Überblick über alle Änderungen des nDSG geben kann, sondern dass es sich hierbei um ausgewählte Aspekte zum Überblick in Anlehnung an die obenstehende Publikation inklusive Ergänzungen handelt. Weiterführende Informationen zum nDSG finden Sie beim Eidgenössischen EDÖB auf der vorgenannten Webseite.
Gut zu wissen
Das nDSG lehnt sich stark an die Regelungen der DSGVO an, ist aber im Vergleich zu Letzterer erheblich kürzer gefasst. Die Begrifflichkeiten in den Gesetzen unterscheiden sich aber teilweise. Während die DSGVO beispielsweise von der „Verarbeitung“ personenbezogener Daten spricht, benennt das nDSG dies als „Bearbeitung“. Das nDSG ist technologieneutral formuliert und von einem hohen Abstraktionsgrad geprägt.
Schutz lediglich von personenbezogenen Daten – Anwendungsbereich verringert sich
Als aufmerksamer Leser werden Sie sich jetzt vielleicht die Augen reiben. Dass die DSGVO nur personenbezogene Daten schützt, mag wohl allgemein bekannt sein. Weniger bekannt dürfte hierzulande hingegen sein, dass das derzeitige Schweizer Datenschutzgesetz neben personenbezogenen Daten auch die Daten juristischer Personen schützt. Insofern erfährt das nDSG hier eine Angleichung an die DSGVO, da das nDSG zukünftig auch „nur“ noch Anwendung auf personenbezogene Daten findet.
Informationspflichten – es werden mehr
Fortan sind die Betroffenen nach dem nDSG über alle beabsichtigten Bearbeitungen von personenbezogenen Daten zu informieren. Dies gilt auch dann, wenn die Daten nicht direkt bei der betroffenen Person erhoben werden. Dieser Umstand wird auch in der DSGVO berücksichtigt, in diesen Fällen ist nach Art. 14 DSGVO zu informieren. Insofern erfolgt auch hier eine Angleichung an die DSGVO. Es wird jedoch auch mehrere Ausnahmen im nDSG geben, unter denen die Informationspflichten keine Anwendung finden werden.
Datenpannen – hohes Risiko für Meldepflicht und Frist für Meldung
Neu ist auch, dass zukünftig Verletzungen der Sicherheit der Daten beim EDÖB gemeldet werden müssen. Diese sind jedoch nur dann zu melden, wenn diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder der Grundrechte der Betroffenen führen. Dies stellt einen wesentlichen Unterschied zu Art. 33 Abs. 1 DSGVO dar, in dem geregelt wird, dass Verletzungen des Schutzes personenbezogener Daten nur dann nicht zu melden sind, wenn diese voraussichtlich nicht zu einem Risiko für die Betroffenen führen. Die DSGVO setzt eine sehr geringe Risikoschwelle für die Meldepflichtigkeit von Datenverletzungen an, so dass Verletzungen des Schutzes personenbezogener Daten in aller Regel meldepflichtig sind, wenn ein voraussichtliches (geringes) Risiko nicht sicher ausgeschlossen werden kann. Die schweizerische Regelung hingegen normiert lediglich einen Meldebedarf, wenn ein voraussichtlich hohes Risiko besteht, was bedeuten dürfte, dass die Schwelle für die Meldung eines entsprechenden Vorfalls höher liegen dürfte.
Wichtig zu wissen ist auch, dass das nDSG im Unterschied zur DSGVO keine konkrete Meldefrist definiert. Vielmehr sind Verletzungen der Datensicherheit nach dem Gesetzeswortlaut „so rasch als möglich“ zu melden, wenn diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen führen. Nach Art. 33 Abs. 1 DSGVO ist eine Datenpanne innerhalb einer Frist von 72 Stunden zu melden.
Datenschutz-Folgenabschätzung – fortan auch für private Unternehmen
Für Privatunternehmen in der Schweiz bestand bislang keine Verpflichtung, sog. Datenschutz-Folgenabschätzungen (kurz: DSFA) durchzuführen. Durch das nDSG ändert sich dies aber nun, denn es obliegt dann auch privaten Unternehmen, eine DSFA durchzuführen, wenn eine geplante Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte von Betroffenen birgt. Die DSFA ist auch vor der Datenbearbeitung durchzuführen. Auch die DSGVO normiert in Art. 35 DSGVO die vorherige Durchführung einer DSFA, wenn eine Verarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Wenn aus der DSFA deutlich wird, dass die Maßnahmen zur Risikominimierung durch den Verantwortlichen das hohe Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen nicht ausräumen können und somit weiterhin ein hohes Risiko verbleibt, ist vor Beginn der Datenbearbeitung eine Stellungnahme des EDÖB einzuholen. Dies scheint vergleichbar mit der Pflicht des Verantwortlichen nach Art. 36 DSGVO die zuständige Aufsichtsbehörde zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
Datenschutzberatung – Vorteile für die verantwortlichen Stellen
Die Benennung von Datenschutzberatern ist für Privatunternehmen nach dem nDSG nicht verpflichtend. Lediglich Bundesorganen obliegt eine solche Pflicht. Die Benennung von Datenschutzberatern kann für die verantwortlichen Stellen jedoch Vorteile bieten, sofern die interne Datenschutzberatung fachlich unabhängig, weisungsunabhängig und so ausgeübt wird, dass keine Aufgaben durchgeführt werden, die nicht mit der Funktion vereinbar sind. Dann nämlich kann eine verantwortliche Stelle auf eine vorherige Stellungnahme des EDÖB zu einer Datenbearbeitung mit verbleibendem hohen Risiko nach Durchführung einer DSFA verzichten. Stattdessen kann dann allein auf die interne Beratung abgestellt werden.
Diese Möglichkeit sieht die DSGVO nicht vor. In Art. 37 DSGVO wird geregelt, in welchen Fällen die Verpflichtung besteht, einen Datenschutzbeauftragten zu benennen.
Verzeichnis von Bearbeitungstätigkeiten – künftig mehr Dokumentationspflichten
Nach der DSGVO sind Verantwortliche verpflichtet, ein sog. Verarbeitungsverzeichnis zu führen. Das Verarbeitungsverzeichnis ist auch regelmäßig auf seine Aktualität hin zu prüfen. Eine solche Pflicht wird fortan auch durch das nDSG normiert. D. h., dass Verantwortliche und ihre Auftragsbearbeiter alle Bearbeitungen von personenbezogenen Daten in einem entsprechenden Verzeichnis dokumentieren müssen. Wichtig ist auch hier, dass die Einträge stets aktuell gehalten werden und den durch das nDSG vorgegebenen Mindestkriterien genügen müssen. Es gibt jedoch Ausnahmen für bestimmte Unternehmen, so dass diese u. U. vom Führen eines Bearbeitungsverzeichnisses befreit sind.
Fazit
Insgesamt wird aus den o. g. Aspekten deutlich, dass sich das nDSG in den dargestellten Anforderungen an die Regelungen der DSGVO anlehnt, wobei die Regelungen nach dem schweizerischen nDSG teilweise auch großzügiger gefasst sind (z. B. Risikoschwelle für Meldepflicht einer Verletzung des Schutzes personenbezogener Daten). Es bietet sich an, die Neuerungen des nDSG im Blick zu behalten und als vom nDSG betroffenes Unternehmen rechtzeitig die erforderlichen Vorbereitungen zu treffen, um die neuen Regelungen fristgerecht ab dem 1. September 2023 umsetzen zu können.