Nach etwas über 30 Jahren in seiner ursprünglichen Form gilt seit 1. September das revidierte Schweizer Datenschutzgesetz (revDSG oder nDSG). Es bildet die digitale Realität von heute ab, indem es den Datenschutz natürlicher Personen stärkt und sich der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) annähert.
Unternehmen haben nun diverse neue Pflichten. Zum Beispiel:
Wie gehe ich also rechtlich auf Nummer sicher?
Genau dazu haben wir vier auf Datenschutz spezialisierte Rechtsexperten befragt. Clara-Ann Gordon, Partnerin bei Niederer Kraft Frey AG, Alexander Hofmann, Senior Advisor bei Laux Lawyers AG, Roland Mathys, Partner bei Schellenberg Wittmer Ltd., und Cornelia Stengel, Partnerin bei Kellerhals Carrard, geben uns einen Überblick und empfehlen konkrete Massnahmen.
Das neue Datenschutzgesetz will die Eigenverantwortung der Datenbearbeiter fördern – Es sieht neue Bussen vor – Es erfordert aktives Handeln, etwa in Form von Dokumentierung
Cornelia Stengel:
Die zentrale Idee des nDSG ist es, die Transparenz für betroffene Personen zu erhöhen und damit deren Rechte in Bezug auf die eigenen Daten zu stärken («informationelle Selbstbestimmung»). Weiter soll das nDSG die Prävention und die Eigenverantwortung der Datenbearbeiter fördern. Für Unternehmen bedeutet das vor allem neue Pflichten, insbesondere bei der Erhebung, dem Verlust oder dem Missbrauch von Personendaten.
|
«Die zentrale Idee des nDSG ist es, die Transparenz für betroffene Personen zu erhöhen und deren Rechte in Bezug auf die eigenen Daten zu stärken.» Cornelia Stengel |
|
Clara-Ann Gordon:
Das nDSG will unter anderem einen ähnlichen Schutzstandard wie die DSGVO erreichen. Unternehmen, die 2018 die Bestimmungen der DSGVO nicht implementiert haben, sind deshalb mit einer grösseren Aufgabe konfrontiert. Ferner drohen neu persönliche Bussen für die Verletzung des nDSG. Daher dürften Management und VR von Unternehmen der Einhaltung des nDSG mehr Aufmerksamkeit schenken.
Alexander Hofmann:
Zweifellos haben DSGVO, Digitalisierung und Cyberkriminalität das Bewusstsein für die Themen Datenschutz und -sicherheit geschärft. Mit der Revision des DSG ist vieles, was bereits bislang der guten Praxis entsprach, neu für alle Pflicht. Zusätzlich enthält das nDSG neue Pflichten, die Unternehmen nicht mehr allein durch «gutes Benehmen» erfüllen können, sondern die ein aktives Handeln, meist in Form von Dokumentierung, erfordern.
Unternehmen müssen sich einen Überblick über die bearbeiteten Daten verschaffen – Beim nDSG geht es um Verstehen, Kontrolle und Transparenz – Es führt neue Aspekte ein wie Extraterritorialität, erweiterte Informationspflichten, Meldung von Datensicherheitsverletzungen und strengere Sanktionen
Roland Mathys:
Dokumentierung ist auch hier das Stichwort. Wer bis jetzt die EU-DSGVO nicht umgesetzt hat, wird sich unter anderem dem Fact Finding widmen müssen: Welche Daten bearbeiten wir? Welche Datenflüsse finden statt? Wie sind wir dokumentiert?
Alexander Hofmann:
Es geht beim DSG primär um Verstehen (wer kontrollieren will, muss sich und seine Umgebung verstehen), Kontrolle (Personendaten gegen Zugriff durch unberechtigte schützen) und Transparenz (sag, was du tust, und tu, was du sagst).
Clara-Ann Gordon:
Zusätzlich sind insbesondere die folgenden Aspekte neu:
Extraterritorialität: Das nDSG ist nun auch auf Unternehmen mit Sitz im Ausland anwendbar, wenn sie Personendaten bearbeiten und diese Datenbearbeitung sich auf die Schweiz auswirkt. Das heisst: Alle Gruppengesellschaften eines Unternehmens, die Personendaten aus der Schweiz bearbeiten, sind dem nDSG unterstellt.
Erweiterte Informationspflichten: Bei der Weitergabe von Daten ins Ausland sind zwingend die Staaten im Ausland in der Datenschutzerklärung anzugeben. Dies betrifft nicht nur Drittländer, sondern alle Länder ausserhalb der Schweiz. Ferner müssen die Garantien für einen angemessenen Datenschutz (z.B. die EU-Standardvertragsklauseln) oder die Ausnahme, wenn keine solchen Garantien gegeben sind, angegeben werden.
Meldung von Datenschutzverletzungen: Verletzungen der Datensicherheit (z.B. Datenverlust), die zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen können, sind unverzüglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und gegebenenfalls der betroffenen Person zu melden.
Strengere Sanktionen: Das nDSG sieht strafrechtliche Sanktionen in Form einer Busse von bis zu CHF 250'000 vor. Zudem kann der EDÖB eine Administrativuntersuchung eröffnen und Verfügungen erlassen. Die strafrechtlichen Sanktionen richten sich vor allem gegen die Verantwortlichen (gemäss der Botschaft ist dies die Leitperson) und nicht gegen die ausführenden Mitarbeitenden. Sanktionen werden bei den folgenden Delikten verhängt, wenn sie vorsätzlich oder grobfahrlässig begangen werden:
Jedes Unternehmen muss auf das nDSG einhalten – Branchen, die sensitive Daten verarbeiten, und datenintensive Branchen sind besonders betroffen – Im B2B-Bereich tätige und nicht regulierte Unternehmen haben den grössten Nachholbedarf
Cornelia Stengel:
Jedes Unternehmen ungeachtet der Branche muss sich das neue Gesetz einhalten. Es lässt sich indes sagen: Je grösser das Volumen der von einem Unternehmen bearbeiteten Personendaten und/oder je sensibler die Personendaten, desto höher sind die Anforderungen an die Datenschutz-Compliance.
Roland Mathys:
Neben den Branchen, die sensitive Daten verarbeiten wie das Gesundheitswesen, sind Unternehmen in datenintensiven Branchen stärker betroffen, etwa Hyperscaler oder grosse Plattformen. Generell glaube ich, dass KMU stärker betroffen sind als Grossunternehmen, weil sie bisher viel weniger unternommen haben (z.B. DSGVO) und nicht über die gleichen Ressourcen verfügen.
|
«Unternehmen, die im B2B-Bereich tätig und nicht reguliert sind, haben erfahrungsgemäss einen grösseren Nachholbedarf und müssen jetzt mehr Aufwand für die nDSG-Compliance betreiben.» Clara-Ann Gordon |
|
Clara-Ann Gordon:
Meiner Erfahrung nach haben Unternehmen, die im B2B-Bereich tätig und nicht reguliert sind, am meisten Nachholbedarf und müssen daher jetzt einen grösseren Aufwand für die nDSG-Compliance betreiben.
In regulierten Bereichen sind neben dem nDSG branchenspezifische Vorgaben einzuhalten – Im Bankwesen zum Beispiel das Bankkundengeheimnis – Auch Berufe mit Geheimnisschutz wie Arzt oder Anwalt sind zusätzlich reguliert
Clara-Ann Gordon:
Mein Team und ich betreuen Klienten in diversen regulierten Bereichen wie dem Bank- oder Versicherungswesen sowie dem Gesundheits-/Pharma-, Telekom- und Energiesektor. Dort sind neben den Bestimmungen des nDSG zusätzlich branchenspezifische Vorgaben einzuhalten.
Cornelia Stengel:
Im Bankwesen ist hier insbesondere das Bankkundengeheimnis zu nennen, und Versicherungen bearbeiten häufig auch besonders sensible und schützenswerte Personendaten. Dazu kommen aufsichtsrechtliche Rahmenbedingungen der Finanzmarktregulierung und von (Aufsichts-)Behörden.
Alexander Hofmann:
Auch wir sind in Branchen tätig, die bezüglich der bearbeiteten Informationen über das allgemeine Datenschutzrecht hinaus reguliert sind, z.B. Berufe mit Geheimnisschutz, die dem Bankkunden-, Arzt-, Anwalts- oder Amtsgeheimnis unterstehen. Auch IT-Unternehmen (IT-Hosting, Public Cloud, SaaS), die in grossem Umfang Daten von Dritten speichern, bearbeiten oder absichern, beraten wir in sämtlichen Fragen des Daten- und Informationsrechts.
Datenschutz ist «Chefsache»
Alexander Hofmann:
Grundsätzlich haben Datenschutz und Datensicherheit die Aufmerksamkeit der Geschäftsleitung verdient. Daher sollte das Thema zur «Chefsache» erklärt und von dort aus organisiert werden.
Unternehmen müssen z.B. in der Kommunikation, der IT, im Einkauf und Rechtsdienst neue Verantwortlichkeiten definieren – Die erweiterte Verantwortung ist u.a. wegen neuer Konzepte wie Privacy by Design nötig und kann eine strafrechtliche Dimension annehmen
Alexander Hofmann:
Um die neuen Pflichten umzusetzen und laufend zu kontrollieren, muss ein Unternehmen in verschiedenen Bereichen neue Verantwortlichkeiten definieren:
Clara-Ann Gordon:
Bei unseren Klienten sehen wir, dass diese ihre Verantwortlichkeiten bedingt durch die Einführung von persönlichen Bussen entweder ganz neu oder detaillierter ordnen.
Roland Mathys:
Dafür, dass die Fachbereiche mehr Verantwortung übernehmen müssen, sorgen insbesondere zahlreiche neue Instrumente und Konzepte des DSG wie Privacy by Design/Default oder die Datenschutz-Folgenabschätzungen. Diese Verantwortung kann eine strafrechtliche Dimension annehmen, da unter dem nDSG zahlreiche weitere Verstösse sanktioniert werden können. Dabei handelt es sich anders als bei der DSGVO nicht um Verwaltungssanktionen gegen das Unternehmen, sondern um Strafsanktionen gegen die für das Unternehmen handelnden Personen (z.B. Datenschutzbeauftragter, Compliance Officer, CISO).
Die formelle Bestellung eines Data Protection Officer lohnt sich für die wenigsten Unternehmen – Es ist eine Tendenz zu beobachten, den Datenschutz firmenweit auszurollen, d.h. über Legal/Compliance hinaus – Möglich ist auch eine Auslagerung an eine Anwaltskanzlei oder einen DPO-as-a-Service.
Cornelia Stengel:
Nehmen wir als Beispiel das Compliance- und IT-Team: Damit es auf Betroffenenanfragen (z.B. Auskunfts- oder Löschbegehren eines Kunden) oder auf eine Verletzung der Datensicherheit («Datenpannen»), bei denen Personendaten beispielsweise verloren gehen, gestohlen oder vernichtet werden, gesetzeskonform reagieren kann, sollten klare interne Prozesse und Verantwortlichkeiten festgelegt werden – einschliesslich der notwendigen Ressourcen. Dasselbe gilt für die IT-Sicherheit, um Cyberattacken, Datendiebstahl und anderweitigen Datenverlust zu verhindern.
Alexander Hofmann:
Die formelle Bestellung eines sogenannten Datenschutzberaters oder Data Protection Officer (landläufig «DPO») lohnt sich für die wenigsten Unternehmen. Trotzdem gehe ich davon aus, dass viele intern eine verantwortliche Rolle für das Thema Datenschutz und -sicherheit schaffen. Diese kann in der IT angesiedelt sein oder bei grösseren Unternehmen mit eigenen Rechts- oder Compliance-Abteilungen auch dort. Zahlreiche Unternehmen werden diese Aufgaben auch auslagern, sei es an eine Anwaltskanzlei oder einen spezialisierten Dienst (DPO-as-a-Service).
Roland Mathys:
Bei den Unternehmen, die wir beraten, stelle ich eine Tendenz fest, den Datenschutz nicht nur bei Legal/Compliance zu verorten, sondern unternehmensweit auszurollen, z.B. durch «Privacy Champions» in den einzelnen Fachabteilungen. Daneben werden aber auch vermehrt interne Datenschutzbeauftragte ernannt.
Nimmt ein Unternehmen den Datenschutz nicht ernst, riskiert es Vertrauensverlust und Reputationsschäden – Ein solcher ist auch möglich, wenn eine Person eine korrekte Datenbearbeitung als ethisch verwerflich empfindet – Kunden und Investoren werden vermehrt ein Auge auf den Datenschutz haben
Roland Mathys:
Datenschutzkonformität ist heute ein Gütesiegel, mit dem sich Unternehmen auszeichnen. Das zeigt sich u.a. an der zunehmenden Bedeutung von Zertifizierungen wie ISO 27001 oder dem Digital Trust Label der Swiss Digital Initiative. Wenn ein Unternehmen den Datenschutz nicht ernst nimmt, riskiert es in der Schweiz auch unter dem neuen Recht nicht primär finanzielle Einbussen, sondern Vertrauensverlust und Reputationsschäden, was viel gravierender ist (z.B. meineimpfungen.ch).
|
«Datenschutzkonformität ist ein Gütesiegel, mit dem sich Unternehmen auszeichnen.» Roland Mathys |
|
Cornelia Stengel:
Selbst eine Datenbearbeitung, die nach nDSG korrekt und legal erfolgt, kann von den betroffenen Personen negativ, beispielsweise als ethisch verwerflich, empfunden werden und grosse Reputationsschäden verursachen. Man spricht in diesem Zusammenhang oft vom «gefühlten» Datenschutz.
Alexander Hofmann:
Privat- oder Unternehmenskunden in datenintensiveren oder Bereichen mit heiklen Personendaten (z.B. Gesundheitswesen) haben gewiss vermehrt ein Auge auf die Einhaltung von Datenschutzbestimmungen.
Ich gehe zudem davon aus, dass auch Investoren bei Unternehmensfinanzierungen und -übernahmen (insbesondere auch Start-ups) in der Due Diligence verstärkt darauf achten, wie robust das Geschäftsmodell bzgl. Datenschutz ist. Dabei denke ich z.B. an Privacy by Design bei digitalen Services, die allgemeine Datenschutz-Compliance des Unternehmens und die Datensicherheitsarchitektur von technischen Lösungen.
Ein Bearbeitungsverzeichnis bietet einen Überblick über die im Unternehmen bearbeiteten Daten – Ein solches ist auch für KMU wertvoll – Der Fünf-Punkte-Plan zur Vorbereitung
Roland Mathys:
Verschaffen Sie sich einen Überblick, welche Daten im Unternehmen überhaupt bearbeitet werden, am besten mit einem sogenannten Bearbeitungsverzeichnis. Dieses bildet das Fundament für alle weiteren Schritte wie Gap-Analysen, Priorisierungen und schliesslich konkrete Handlungsempfehlungen zur Schliessung der Gaps.
Alexander Hofmann:
Ein Bearbeitungsverzeichnis ist auch für KMU sehr wertvoll, obwohl sie aufgrund der sogenannten KMU-Ausnahme nicht verpflichtet sind, gemäss Art. 12 nDSG ein solches zu führen. Einen hilfreichen Leitfaden in 7 Schritten für KMU gibt es unter https://dp-services.ch/umsetzung/.
Cornelia Stengel:
Einem Unternehmen jeglicher Grösse, das es ganz pragmatisch angehen will, empfiehlt sich ein Aktionsplan mit den folgenden Eckpunkten:
|
«Datensicherheit sollte man sich zu Herzen nehmen. Dafür braucht es an und für sich kein Gesetz, das einen speziell dazu verpflichtet.» Alexander Hofmann |
|
Wer am 1. September nicht bereit ist, riskiert, das neue DSG zu verletzen, einschliesslich Bussen von bis CHF 250'000 – Die Bussen richten sich gegen die verantwortliche natürliche Person
Roland Mathys:
Das neue Gesetz ist am 1. September ohne Übergangsfrist in Kraft getreten. Ein Unternehmen riskiert also seit dem 1. September, das neue DSG zu verletzen, namentlich auch die mit Busse bis CHF 250'000 sanktionierten Verstösse. Der EDÖB hat sich informell zwar dahingehend geäussert, dass er nicht gleich ab Tag 1 Strafanzeigen einreichen werde, sondern zunächst aufklärend und beraten wirken werde. Unangenehm wird es für ein Unternehmen aber vor allem dann, wenn es kurz nach dem 1. September z.B. Opfer eines Cybervorfalls wird und sich bei der Aufarbeitung und bei der Notifikation des EDÖB herausstellt, dass beim Datenschutz grössere Defizite bestehen.
Cornelia Stengel:
Im Gegensatz zur EU-DSGVO richten sich die Sanktionen in Form von Bussgeldern bis CHF 250'000 gemäss nDSG nicht gegen das fehlbare Unternehmen, sondern gegen die natürliche Person (z.B. Datenschutzverantwortliche/r, Geschäftsführer/in oder Verwaltungsrat/rätin), die für die Einhaltung des Datenschutzes verantwortlich ist. Es wird (eventual-)vorsätzliches Verhalten bestraft.
Zivilrechtliche Folgen, wenn von einer Datenschutzverletzung betroffene Personen Ansprüche erheben – Verwaltungsrechtliche Folgen in Form von Anordnungen durch den EDÖB – Strafrechtliche Sanktionen, z.B. bei falscher oder unvollständiger Auskunft
Clara-Ann Gordon:
Neben der strafrechtlichen Busse sind auch verwaltungs- und zivilrechtliche Verfahren möglich, z.B. eine Klage durch eine betroffene Person gegen das Unternehmen.
Roland Mathys:
Zivilrechtliche Folgen riskiert ein Unternehmen, wenn die von einer Datenschutzverletzung betroffenen Personen Ansprüche (z.B. auf Korrektur, Löschung oder Schadenersatz) erheben. Weiter kann der EDÖB verwaltungsrechtlich tätig werden und Anordnungen treffen, deren Nichteinhaltung sanktioniert werden kann. Schliesslich sind einzelne Tatbestände strafrechtlich sanktioniert, etwa die Erteilung einer falschen oder unvollständigen Auskunft, eine ungenügende Datenschutzerklärung oder die Verletzung von Mindestanforderungen an die Datensicherheit.
Mit angemessener Datensicherheit lässt sich einem Reputationsschaden vorbeugen – Kommt es infolge einer Datenschutzverletzung trotzdem dazu, trifft er Unternehmen häufig härter als die unmittelbaren rechtlichen Folgen
Roland Mathys:
Wenn Datenschutzverletzungen publik werden, was mit dem neuen Recht (z.B. wegen der Meldepflicht von Verletzungen der Datensicherheit) öfter der Fall sein wird, drohen Vertrauensverlust und Reputationsschäden, die sich unter Umständen nur schwer wieder wettmachen lassen. Häufig trifft dies ein Unternehmen härter als die unmittelbaren rechtlichen Folgen.
Alexander Hofmann:
Am besten beugt man einem Reputationsschaden vor, indem man für angemessene Datensicherheit sorgt. Das ist aus meiner Sicht die weitaus wichtigste Massnahme. Was mittlerweile jedem Unternehmen bewusst sein sollte: Datensicherheit sollte man sich zu Herzen nehmen. Dafür braucht es an und für sich kein Gesetz, das einen speziell dazu verpflichtet.
Die Botschaft der Rechtsexperten ist glasklar: Die Einhaltung der neuen Bestimmungen ist nicht zu unterschätzen. Datenschutzkonformität ist heute ein Gütesiegel, mit dem sich Unternehmen auszeichnen. Wer das Thema nicht ernst nimmt, risikiert neben finanziellen Einbussen Vertrauensverlust und Reputationsschäden. Besonders kritisch: wenn ein Unternehmen kurz nach dem 1. September Opfer eines Cybervorfalls wird und sich bei der Aufarbeitung Datenschutzdefizite offenbaren.