Die Totalrevision des Schweizer Datenschutzgesetzes (DSG) tritt am 1. September 2023 in Kraft. Das neue DSG führt für sämtliche Unternehmen zahlreiche neue Pflichten ein und verschärft die Sanktionen für Gesetzesverstösse. Es lohnt sich deshalb, die Compliance-Projekte rechtzeitig zum Abschluss zu bringen.
Im Hinblick darauf beantworten Lukas Bühlmann (Partner) und Co-Autor Michael Schüepp (Senior Associate) von MLL Meyerlustenberger Lachenal Froriep AG in einem Gastbeitrag die wichtigsten Fragen. In diesem ersten Teil, ursprünglich auf der Webseite von MLL publiziert, werden Fragen allgemeiner Natur behandelt, während sich die Fragen im zweiten Teil (geplante Publikation Ende Juni) spezifischen Vorgaben des neuen DSG widmen.
Unser Unternehmen hat keinen Sitz in der Schweiz. Müssen wir uns dennoch an das DSG halten?
Ja, wenn Sie Daten von Personen mit Wohnsitz in der Schweiz bearbeiten, sollten Sie mit der Geltung des DSG rechnen. Denn im revidierten DSG bestimmt sich der räumliche Geltungsbereich neu ausdrücklich nach dem sog. Auswirkungsprinzip. Das heisst, dass das revidierte DSG auch für Unternehmen mit Sitz im Ausland anwendbar ist, wenn diese Personendaten bearbeiten und sich diese Datenbearbeitung in der Schweiz auswirkt. Damit weist das Schweizer Datenschutzrecht auch künftig einen weiten, extraterritorialen Anwendungsbereich auf. Dies gilt im Ergebnis auch für die zivil- und strafrechtliche Durchsetzung, für welche die bisherigen Grundsätze ebenfalls beibehalten wurden.
Neu können Unternehmen ohne Sitz in der Schweiz zudem dazu verpflichtet sein, eine Vertretung in der Schweiz zu bezeichnen, wenn sie Personendaten von Personen in der Schweiz bearbeiten. Diese Pflicht wird ausgelöst, wenn die Datenbearbeitung im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen oder der Verhaltensbeobachtung dieser Personen steht. Zudem muss es sich um eine umfangreiche und regelmässige Bearbeitung handeln, die ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt.
Unser Unternehmen hat bereits die Vorgaben der EU-DSGVO umgesetzt. Müssen wir trotzdem noch weitere Massnahmen für die DSG-Compliance ergreifen?
Ja, eine sorgfältige Prüfung der Compliance ist trotzdem dringend zu empfehlen. Es sind dabei die Besonderheiten jedes einzelnen Unternehmens und seiner Datenbearbeitungen zu berücksichtigen. Bei Unternehmen ohne Sitz in der Schweiz ist namentlich die Bestellung eines Vertreters in der Schweiz zu prüfen. Organisatorische Massnahmen können ferner angezeigt sein zum Umgang mit den drohenden Strafsanktionen und Strafverfahren gegen natürliche Personen. Obwohl mit dem neuen DSG eine Kompatibilität mit der DSGVO erreicht werden soll, werden trotzdem zahlreiche Unterschiede bestehen. So ist bspw. im Schweizer Recht – anders als unter der EU-DSGVO – für gewisse Bearbeitungen ein sog. Bearbeitungsreglement zu erstellen. Zudem ist etwa auch die Liste der Pflichtangaben, über welche die betroffenen Personen zu informieren sind, im DSG nicht abschliessend. Hier und bei anderen vermeintlich «kleinen» Unterschieden wird erst die Praxis zeigen, welche Bedeutung diesen zukommen wird. Insbesondere Schweizer Unternehmen ist deshalb eine erneute, genaue Prüfung sehr zu empfehlen. Dies gilt auch, wenn seit 2018 Anstrengungen zur schrittweisen Erfüllung der Vorgaben der EU-DSGVO unternommen wurden. Viele dieser Vorgaben, welche in zahlreichen Unternehmen nach wie vor nicht vollständig umgesetzt sind, werden mit der DSG-Revision ins Schweizer Recht überführt und gelten fortan unmittelbar für alle datenverarbeitenden Unternehmen mit Sitz in der Schweiz.
Was ist aus Unternehmenssicht insgesamt die wesentlichste Änderung?
Aufgrund der verschärften Sanktionen bei Verstössen wird der Umsetzungsdruck der im DSG auferlegten Pflichten klar ansteigen. Bei Verstössen sind als strafrechtliche Sanktion Bussen für natürliche Personen in Höhe von bis zu CHF 250’000 vorgesehen. Daneben gibt es zahlreiche neue Pflichten im Zusammenhang mit der Bearbeitung von Personendaten, von welchen insbesondere die Folgenden zu erheblichem Mehraufwand führen werden:
- Pflicht zur Führung eines Verzeichnisses aller Personendatenbearbeitungen (siehe unten);
- Data Breach Notification: Verletzungen der Datensicherheit (z.B. Datenverluste), die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen, sind unverzüglich dem Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und gegebenenfalls der betroffenen Person zu melden.
- Datenschutz-Folgenabschätzungen: Wenn eine beabsichtigte Datenbearbeitung ein hohes Risiko einer Verletzung der Persönlichkeit oder der Grundrechte einer betroffenen Person mit sich bringt, ist der Verantwortliche dazu verpflichtet, die Risiken einer solchen Bearbeitung in einer Datenschutz-Folgeabschätzung zu analysieren. Das E-DSG geht davon aus, dass insbesondere bei der Verwendung neuer Technologien und einer umfangreichen Bearbeitung besonders schützenswerter Personendaten oder bei der systematischen Überwachung umfangreicher öffentlicher Bereiche von einem hohen Risiko ausgegangen werden muss.
Welche neuen Vorschriften führen zum grössten Aufwand bei der Umsetzung?
Das Führen eines «Verzeichnisses der Bearbeitungstätigkeiten» wird für die meisten Unternehmen mutmasslich zum grössten Aufwand bei der Umsetzung führen, falls nicht bereits entsprechende Massnahmen für die DSGVO-Compliance getroffen wurden. Der grosse Aufwand folgt daraus, dass sämtliche Datenbearbeitungen des gesamten Unternehmens erfasst und genaue Angaben dazu gemacht werden müssen, wie z.B. zum Zweck der Bearbeitung sowie sämtlichen Kategorien von Datenempfängern. Darüber hinaus ist sicherzustellen, dass das Verzeichnis kontinuierlich aktualisiert wird.
Von der Pflicht zur Führung eines Verzeichnisses befreit sind Unternehmen, die am 1. Januar eines Jahres weniger als 250 Mitarbeitende beschäftigen. Dies gilt jedoch nur unter der Voraussetzung, dass das Unternehmen keine besonders schützenswerte Personendaten in grossem Umfang bearbeiten und kein Profiling mit hohem Risiko durchführen. Wer sich auf diese Ausnahme berufen will, ist deshalb gut beraten, sorgfältig abzuklären, ob diese Voraussetzungen tatsächlich erfüllt sind. Im Übrigen ist auch zu beachten, dass das Verzeichnis für die effiziente Erfüllung der weiteren Pflichten des neuen DSG sehr wichtig ist. Denn damit gewinnt ein Unternehmen einen Überblick über die Datenbearbeitungen, über die es z.B. in Datenschutzerklärungen informieren oder auf Anfrage von Kunden Auskunft erteilen muss.
Wie ist bei der Umsetzung der Massnahmen am besten vorzugehen?
In einem ersten Schritt sollten im Rahmen einer «Gap-Analyse» die Lücken in der datenschutzrechtlichen Compliance innerhalb des Unternehmens evaluiert werden, also gewissermassen die Differenz zwischen dem IST- und dem SOLL-Zustand. Um den SOLL-Zustand zu erreichen, müssen die konkreten Umsetzungsmassnahmen geplant und priorisiert werden. Anschliessend folgt die Umsetzung dieser Massnahmen entsprechend ihrer Priorität. Dies ist verbunden mit der Einführung neuer unternehmerischer Abläufe und Prozesse, die wiederkehrend zu evaluieren sind. Denn Datenschutz-Compliance ist kein einmaliges Projekt, welches abgeschlossen und beendet wird. Vielmehr handelt es sich dabei um ein «Work-in-Progress».
Welche Folgen hat ein Verstoss gegen die neuen Vorschriften?
Ein Verstoss kann strafrechtliche Sanktionen in Form einer Busse von bis zu CHF 250’000 zur Folge haben. Darüber hinaus kann auch der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen. Auch wenn der EDÖB selbst keine Sanktionen anordnen kann, drohen auch bei Missachtung einer Anordnung des EDÖB, also bspw. bei der Weiterbearbeitung von Daten trotz Verbot, Strafsanktionen in der gleichen Höhe. Zuständig für die Durchsetzung der strafrechtlichen Sanktionen werden die Strafverfolgungsbehörden der Kantone sein, d.h. die Staatsanwaltschaften. Möglich sind schliesslich weiterhin auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz.
Können Mitarbeiter persönlich (anstelle des Unternehmens) strafrechtlich verfolgt werden bei Verstössen gegen das DSG?
Ja, hierzu gilt es aber Folgendes zu beachten:
- Im Gesetzgebungsverfahren wurde zum Ausdruck gebracht, dass die Sanktionen auf die Leitungspersonen und nicht auf die ausführenden Mitarbeiter abzielen. Zugleich wurde aber nicht gänzlich ausgeschlossen, dass es auch Fälle geben kann, in welchen die Sanktion Mitarbeitern ohne Leitungsfunktion auferlegt werden könnte.
- Bei Widerhandlungen, bei denen höchstens eine Busse von CHF 50’000 in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismässig wäre, kann schliesslich auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Busse verurteilt werden.
Beide Punkte enthalten einen relativ hohen Interpretationsspielraum. Deshalb wird erst die Praxis zeigen, wie die neuen Vorschriften von den Staatsanwaltschaften und Gerichten angewendet werden.
Beitragsbild: Midjourney