Der Bundesrat hat das neue totalrevidierte Datenschutzgesetz (nDSG) bereits am 31. August 2022 beschlossen. Um den Unternehmen genug Zeit zu geben, die neuen Bestimmungen des Gesetzes in die Praxis umzusetzen, wurde aber festgelegt, dass dieses am 1. September 2023 in Kraft tritt. Und das bedeutet auch für Unternehmen, dass sie einiges beachten müssen hinsichtlich ihrer digitalen Auftritte. Hast du deine Hausaufgaben gemacht? Im Folgenden gebe ich einen Überblick über die wichtigsten Aspekte.
Neues mit EU-Recht vereinbares Datenschutzgesetz für das digitale Zeitalter
Grundsätzlich legt das Schweizer DSG, das erstmalig 1992 verabschiedet wurde, die Prinzipien für die Bearbeitung von Personendaten fest und regelt die Pflichten derjenigen, die persönliche Daten bearbeiten. Damit ist es das Pendant zu der Datenschutzgrundverordnung (DSGVO) der EU. Zentraler Zweck beider Gesetze ist die Wahrung des Grundrechts auf informationelle Selbstbestimmung und der Schutz der Privatsphäre. Eine Revision des alten DSG war notwendig, um den technologischen Entwicklungen, der digitalen Transformation der Gesellschaft gerecht zu werden, die Transparenz hinsichtlich der Beschaffung von Personendaten zu erhöhen und allgemein die Selbstbestimmung über die persönlichen Daten zu stärken und Missbrauch zu verhindern. In diesem Zusammenhang stärkt das Gesetz auch die Befugnisse und Möglichkeiten der verantwortlichen Kontrollorgane und fördert deren Unabhängigkeit.
Das neue DSG ist so auch noch besser an die aktuelle EU-DSGVO angepasst, sodass die Schweiz von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau eingestuft werden kann und die grenzüberschreitende Datenübermittlung auch zukünftig ohne zusätzliche Anforderungen möglich bleibt, was für den Wirtschaftsstandort und die Wettbewerbsfähigkeit der Schweiz ganz wichtig ist. Damit das neue Gesetz auch tatsächlich eingehalten wird, wurden neben der Stärkung der Datenschutzaufsicht auch strengere Strafbestimmungen eingeführt, bisherige Straftatbestände erweitert und die bislang geltende Bussenobergrenze für Verstösse von CHF 10’000 auf CHF 250’000 bei einer Verjährungsfrist von fünf Jahren angehoben. Diese Obergrenze gilt übrigens im Gegensatz zur EU-DSGVO, in der nur Strafzahlungen für Unternehmen vorgesehen sind, auch für verantwortliche Privatpersonen.
Die wichtigsten Neuerungen für Websites im Überblick
Für wen gilt das neue DSG einschließlich der dazugehörigen Ausführungsbestimmungen und Verordnungen? Grundsätzlich gilt es für die Bearbeitung von Personendaten sowohl durch Akteure des privaten als auch des öffentlichen/staatlichen Sektors. Demzufolge sind private Unternehmen (auch internationale, die in der Schweiz aktiv sind), aber auch Vereine und prinzipiell auch Privatpersonen davon betroffen. Dabei müssen Unternehmen und Vereine sich in aller Regel an die Vorgaben des Datenschutzrechts halten, während Privatpersonen, solange sie Personendaten nur zum persönlichen Gebrauch bearbeiten, davon ausgenommen sind. Bei genauerem Hinsehen bedeutet „zum persönlichen Gebrauch“ aber nur das Bearbeiten von persönlichen Daten im ganz engen Privat- und Familienleben, also im Familien- und Freundeskreis. Das trifft bei einer öffentlichen Website im Normalfall nicht zu, so dass private Website-Betreiber deswegen, genauso wie kommerzielle, regelmässig dem neuen DSG unterliegen.
Was aber versteht man unter „Personendaten“ genau? Darunter fallen im Prinzip alle Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. In der Praxis kann dies unter Umständen sogar eine einfache IP-Adresse sein.
Sehr weit gefasst ist auch der Begriff „bearbeiten“, fällt doch darunter so ziemlich alles, was man mit Daten machen kann, vom Beschaffen, übers Speichern, Aufbewahren, Verwenden für bestimmte Zwecke, Verändern, Bekanntmachen, Archivieren bis hin zum Löschen oder Vernichten, wobei das bei der bisherigen Gesetzeslage nicht anders war. Eine „Erleichterung“ bringt die Revision immerhin mit sich: Das neue DSG ist nicht mehr anwendbar, wenn Daten, die sich auf eine juristische Person beziehen, bearbeitet werden. Aber Vorsicht: Die einzelnen Mitarbeiter eines Unternehmens unterliegen sehr wohl dem Schutz des DSG. Was gilt bezüglich der Datenbearbeitung? Hier ändert sich durch die Revision nichts grundsätzlich: Die Bearbeitung von Personendaten ist grundsätzlich erlaubt, muss aber recht- und verhältnismässig sein und nach Treu und Glauben erfolgen. Wichtig: Daten dürfen nur zu dem Zweck bearbeitet werden, für den sie erhoben wurden, wobei der Zweck für die betroffene Person auch erkennbar sein muss. Werden Personendaten zu einem anderen Zweck bearbeitet oder andere datenschutzrechtliche Grundsätze verletzt, kann eine Persönlichkeitsverletzung vorliegen. Eine solche kann jedoch gerechtfertigt werden, ist also nicht widerrechtlich, wenn ein überwiegendes privates oder öffentliches Interesse besteht oder wenn die betroffene Person einwilligt.
Sobald sie nicht mehr für den Zweck der Bearbeitung notwendig sind, müssen Personendaten gelöscht bzw. anonymisiert werden.
Auch die technischen Massnahmen müssen im Blick behalten werden
Das neue Datenschutzgesetz bringt auch umfassendere Informationspflichten mit sich, d.h. die für die Datenverarbeitung Verantwortlichen müssen die Betroffenen über den Zweck und Umfang der Verarbeitung informieren, wobei dies neuerdings für alle Daten gilt und nicht nur wie bisher für besonders schützenswerte. Dies geschieht in der Regel mittels einer Datenschutzerklärung. Diesbezüglich sollten Unternehmen ihre bestehenden Datenschutzerklärungen überprüfen (lassen) und gegebenenfalls an die neuen Bestimmungen anpassen. Weiterhin ist darauf zu achten, dass die Datenschutzerklärung auf einer Website leicht aufzufinden ist und nicht durch den Benutzer akzeptiert werden muss, sondern stattdessen darüber informiert wird, wo sie zu finden ist.
Des Weiteren wird für Unternehmen und Organisationen mit 250 und mehr Mitarbeitern das Anlegen eines recht detaillierten Verzeichnisses aller Bearbeitungstätigkeiten verpflichtend, was mit einem erheblichen Umsetzungsaufwand verbunden sein dürfte, vor allem wenn man sich in der bisherigen Praxis noch nicht an der EU-DSGVO orientiert hat.
Was die Sicherheit der Datenverarbeitung betrifft, sind die Verantwortlichen bzw. von diesen eingesetzten Auftragsbearbeiter verpflichtet, diese mittels technischer und organisatorischer Massnahmen zu gewährleisten. Dazu gehört beispielsweise, dass der Zugriff auf Personendaten nur für diejenigen (Mitarbeiter, Vereinsmitglieder usw.) möglich sein soll, die den Zugriff beispielsweise für die Erfüllung ihrer dienstlichen Aufgaben auch tatsächlich benötigen. Idealerweise sollten diejenigen, die mit Personendaten zu tun haben, auch geschult werden, um die Bearbeitung gesetzeskonform durchführen zu können. Zu den technischen Massnahmen können eingeschränkte Zugriffsrechte oder Firewalls gehören. Websites und andere IT-Systeme sollten zudem technisch immer auf dem aktuellen Stand gehalten werden, um die Entstehung von potenziell schwerwiegenden Sicherheitslücken zu vermeiden.
Technische Aspekte spielen bei der Umsetzung eine grosse Rolle
Ohnehin sieht das neue Datenschutzgesetz das Prinzip „Privacy by default/design“ vor. Darunter versteht man den Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen. So wird es jetzt verpflichtend, Datenbearbeitungen technisch und organisatorisch von vornherein so zu designen, dass sie datenschutzrechtlich-konform sind, und auch dass Voreinstellungen möglichst datenschutzfreundlich ausgestaltet sind. Dazu gehört für Betreiber von Websites, Apps oder anderer Software, dass, wenn sie unterschiedliche Einstellungen zum Datenschutz anbieten, die datenschutzfreundlichste Variante immer als Standardeinstellung vorgesehen ist.
Sollte es trotzdem vorkommen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Personendaten gefährdet werden und sich daraus ein hohes Risiko für betroffene Personen ergeben, muss diese Verletzung der Datensicherheit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) schnellstmöglich gemeldet werden (in der EU-DSGVO ist dafür eine konkretere 72-Stunden-Frist verankert). Damit dies im Fall des Falles auch gewährleistet ist, sollten in Unternehmen funktionierende Strukturen und Prozesse etabliert werden.
Fazit
Das nDSG bringt einige neue Bestimmungen mit sich, auf die Unternehmen vorbereitet sein müssen, um potenziell hohe Strafzahlungen auch für verantwortliche Privatpersonen zu vermeiden. Damit kann ein erheblicher Aufwand verbunden sein. Allerdings sind Unternehmen da nicht alleine und können sich, vor allem wenn die Zeit und Expertise dafür fehlt, professionell beraten lassen. Ob deine Website nDSG-konform ist, kannst du jetzt hier kostenlos überprüfen lassen: https://marketing.sichtbar.ag/ndsg-schweiz.
