Dein praktischer Leitfaden zur Einhaltung des Schweizer Bundesgesetzes über den Datenschutz (revDSG)

Einleitung: Die Lücke zwischen Gesetz und Praxis überbrücken

Die digitale Revolution hat den Datenschutz unverzichtbar gemacht. Das überarbeitete Schweizer Bundesgesetz über den Datenschutz (revDSG), das am 1. September in Kraft tritt, markiert eine neue Ära des Datenschutzes in der Schweiz und orientiert sich stärker an der Datenschutz-Grundverordnung (DSGVO) der EU. Diese Umstellung kann herausfordernd wirken, insbesondere für Unternehmen, die noch nicht mit den Feinheiten des Datenschutzrechts vertraut sind. Daher soll dieser Artikel einen leicht zugänglichen und umfassenden Leitfaden zur Gewährleistung der Einhaltung des revDSG bieten.

Das Verständnis des rechtlichen Rahmens ist nur der erste Schritt in der komplexen Landschaft des Datenschutzes. Die eigentliche Aufgabe besteht darin, diese rechtlichen Bestimmungen in pragmatische, kosteneffiziente Strategien umzusetzen, die mit deinen Geschäftstätigkeiten harmonieren.

Verständnis der Schlüsselbestimmungen des revDSG

Bevor wir uns den praktischen Aspekten widmen, ist es wichtig, die Schlüsselbestimmungen des revDSG zu verstehen. Hier sind einige der Hauptpunkte:

1. Erhöhte Transparenz: Das revDSG betont, im Einklang mit den Prinzipien der DSGVO, die Transparenz bei der Bearbeitung von Daten. Unternehmen sind verpflichtet, Personen über die Sammlung, Nutzung und Speicherung ihrer persönlichen Daten zu informieren, einschließlich des Zwecks der Bearbeitung und etwaiger Beteiligung Dritter.
2. Verschärfte Einwilligungsanforderungen: Nach dem revDSG muss die Einwilligung freiwillig und (in einigen Fällen) ausdrücklich erfolgen, teilweise ähnlich den strengen Anforderungen der DSGVO.
3. Erweiterte Rechte der betroffenen Personen: Das revDSG erweitert die Rechte der betroffenen Personen und ermöglicht den Einzelnen eine größere Kontrolle über ihre Personendaten.
4. Strengere Verantwortlichkeiten und Governance: Das revDSG verpflichtet Unternehmen, ihre Einhaltung der Datenschutzgrundsätze nachzuweisen. Es legt strengere Anforderungen an Datenschutz-Folgenabschätzungen und Meldung von Verletzungen der Datensicherheit fest.

Nichteinhaltung dieser Schlüsselbestimmungen kann zu erheblichen Strafen führen.

Die Lücke überbrücken: Bemerkenswerte Änderungen vom DSG zum revDSG

Ein Verständnis der Änderungen und neuen Anforderungen hilft dir dabei, dich auf die neue regulatorische Landschaft einzustellen:

• Erweiterte Rechte der betroffenen Personen: Das überarbeitete Gesetz erweitert die Rechte der betroffenen Personen und ermächtigt sie dazu, zu erfahren, wie ihre Daten verarbeitet werden, und Zugang zu diesen Daten zu verlangen, ihre Korrektur oder Löschung zu fordern.
• Verstärkte Verantwortlichkeit: Das revDSG legt strenge Verantwortlichkeiten für Unternehmen fest und verpflichtet sie dazu, die Einhaltung der Datenschutzgrundsätze nachzuweisen.
• Meldung von Verletzungen der Datensicherheit: Anders als das alte DSG verpflichtet das revDSG Unternehmen dazu, den EDÖB und betroffene Personen bei einer Datensicherheitsverletzung umgehend zu informieren.
• Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen: Artikel 7 des revDSG verpflichtet Unternehmen dazu, Datenschutzgrundsätze ab der Entwurfsphase von Produkten oder Dienstleistungen zu integrieren und die strengsten Datenschutzeinstellungen standardmäßig anzuwenden.

Schauen wir uns nun die praktischen Maßnahmen an, die du ergreifen kannst, um einen reibungslosen Übergang vom alten DSG zum revDSG zu gewährleisten.

Wesentliche Schritte zur Einhaltung der revDSG

Um die Einhaltung zu vereinfachen, skizzieren wir die entscheidenden Schritte, die Unternehmen müssen unternehmen, um die Einhaltung der revDSG sicherzustellen:

1. Bestandsaufnahme und Katalogisierung von Daten

Beginne damit, zu katalogisieren, wie Personendaten in deiner Organisation zirkulieren. Identifiziere die Daten, die du sammelst, ihren Speicherort, die Bearbeitungsmethoden und wer darauf zugreifen kann. Diese Dokumentation gibt einen umfassenden Überblick über deine Datenvearbeitungsaktivitäten und hilft, potenzielle Schwachstellen zu identifizieren.

2. Überprüfung und Aktualisierung der Datenschutzrichtlinien

Gemäß Artikel 19 sind Unternehmen verpflichtet, Informationen über ihre Datenbearbeitung zur Verfügung zu stellen. Darüber hinaus müssen die Informationen präzise, transparent, verständlich und in leicht zugänglicher Form sein", was eine verständliche Datenschutzerklärung voraussetzt. Überprüfe deine bestehenden Datenschutzrichtlinien, um sie mit den Transparenzanforderungen der revDSG in Einklang zu bringen. Deine Datenschutzrichtlinie sollte klar erläutern, wie du Personendaten bearbeitest und mit wem du sie teilst. Stelle sicher, dass sie leicht zugänglich und verständlich ist.

3. Robuste Praktiken für das Einwilligungsmanagement

Das Schweizer Datenschutzgesetz betont Transparenz, Fairness und Respekt für die Privatsphäre der Nutzer. Die Implementierung klarer, prägnanter und leicht zugänglicher Einwilligungsformulare, die Möglichkeit eines einfachen Widerrufs der Einwilligung und die Aufrechterhaltung einer aktualisierten Aufzeichnung der eingeholten Zustimmungen sind entscheidende Schritte.

Du musst eine ausdrückliche, freiwillige und informierte Einwilligung von Personen einholen, bevor du ihre Personendaten gemäß der revDSG verarbeitest. Entwickle klare Einwilligungsformulare, die erklären, warum du Daten sammelst und wie du sie verwenden wirst. Biete außerdem einen einfachen Mechanismus für Personen, um ihre Einwilligung jederzeit widerrufen zu können.

4. Stärkung der Datenschutzmaßnahmen

Artikel 7 der revDSG schreibt vor, dass geeignete technische und organisatorische Maßnahmen (TOMs) implementiert werden müssen, um Datenschutz und Vertraulichkeit zu gewährleisten. Zum Beispiel Verschlüsselung, Pseudonymisierung, Zugangskontrollen und sichere Datenübertragungsmethoden. Überprüfe und aktualisiere diese Maßnahmen regelmäßig, um sich entwickelnden Bedrohungen zu begegnen.

5. Vorbereitung auf Datenschutzverletzungen

Ein schneller und effektiver Plan zur Reaktion auf Datenschutzverletzungen kann verhindern, dass ein kleiner Vorfall sich zu einer schweren Krise ausweitet. Gemäß Artikel 24 muss eine Datenschutzverletzung dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ohne unnötige Verzögerung gemeldet werden. Sei vorbereitet mit einem definierten Protokoll zur Erkennung, Meldung und Untersuchung einer Datenschutzverletzung, in Übereinstimmung mit Artikel 24 der revDSG. Dies beinhaltet die Meldung der Verletzung an den EDÖB und betroffene Personen, die Bewertung der Auswirkungen der Verletzung und das Erarbeiten von Schritten zur Verhinderung zukünftiger Vorfälle.

6. Schulung der Mitarbeiter

Investiere in Datenschutzschulungen für deine Mitarbeiter. Obwohl kein spezifischer Artikel Schulungen vorschreibt, ist dies implizit notwendig, um die Einhaltung der Grundsätze der Rechenschaftspflicht und Transparenz bei der Datenvearbeitung, wie in den Artikeln 6 und 7 dargelegt, sicherzustellen. Alle Mitarbeiter sollten sich ihrer Pflichten nach der revDSG bewusst sein und darauf geschult sein, Personendaten sicher zu handhaben.

Zusätzliche Maßnahmen zur Verbesserung deiner Datenschutzpraktiken

1. Datenschutzberaterin oder -berater

Gemäß Artikel 10 der revDSG können Unternehmen, obwohl nicht universell vorgeschrieben, eine Datenschutzberaterin oder -berater ernennen. Diese Person berät in Datenschutzfragen und steht in Verbindung mit den Schweizer Behörden. Bestimmte Bedingungen müssen erfüllt sein, damit ein Unternehmen gemäß Artikel 23, Absatz 4, befreit werden kann, einschließlich der unabhängigen Funktion des Beraters, keine konfliktträchtigen Aufgaben, erforderliche Fachkenntnisse und Offenlegung ihrer Kontaktdaten.

2. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Artikel 7 der revDSG enthält nun die Grundsätze „Datenschutz durch Technikgestaltung“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“, die Behörden und Unternehmen dazu verpflichten, Datenschutzmaßnahmen bereits ab der Projektplanungsphase zu implementieren und sicherzustellen, dass Daten standardmäßig anonymisiert oder gelöscht werden. Es schützt Benutzer von privaten Online-Diensten, indem es nur die erforderlichen Daten verarbeitet, bis die Benutzer weitere Autorisierungen erteilen.

3. Regelmäßige Audits

Obwohl nicht ausdrücklich in der revDSG erwähnt, sind regelmäßige Audits integraler Bestandteil der Einhaltung der Grundsätze der Rechenschaftspflicht und des risikobasierten Ansatzes zum Datenschutz, die in der revDSG angedeutet sind.

Mögliche Abweichungen: Vermeidung unnötiger Maßnahmen

Überdokumentation

Obwohl Artikel 11 der revDSG die Führung eines Verzeichnisses der Bearbeitungstätigkeiten betont, solltest du übermäßige Dokumentation vermeiden, die Ressourcen bindet, die für andere wichtige Datenschutzmaßnahmen verwendet werden könnten. Das Verzeichnis sollte ein Mittel zur Selbstkontrolle und zur Unterstützung bei Überprüfungen sein, nicht ein bürokratischer Aufwand.

Überbetonung der DSGVO-Konformität

Obwohl die revDSG in vielen Aspekten mit der DSGVO übereinstimmt, solltest du deinen Schwerpunkt vorrangig auf die Anforderungen der revDSG legen. Bestimmte Prinzipien der DSGVO haben möglicherweise keine entsprechenden Bestimmungen in der revDSG, was zu Verwirrung führen kann.

Übermäßig komplexe technische Lösungen

Gemäß Artikel 7 musst du geeignete Sicherheitsmaßnahmen implementieren, jedoch können übermäßig komplexe technische Lösungen unnötige Belastungen schaffen. Es ist entscheidend, eine Balance zwischen robustem Datenschutz und handhabbaren Prozessen zu finden.

Praktische Herausforderungen: Navigieren auf dem Weg zur Einhaltung

Der Weg zur Einhaltung der revDSG kann einige Hürden darstellen. Doch die Vorwegnahme dieser Herausforderungen kann helfen, sie effektiv zu bewältigen:

1. Ressourcenallokation: Die Einhaltung erfordert bedeutende Investitionen in Technologie, Personal und Schulung. Es kann herausfordernd sein, diese Kosten auszugleichen und gleichzeitig den Geschäftsbetrieb aufrechtzuerhalten.
2. Komplexität und Unklarheit: Die Umsetzung der theoretischen Anforderungen des Gesetzes in praktische Maßnahmen kann komplex sein. Rechtliche Unklarheiten können ebenfalls Herausforderungen für die Einhaltung darstellen.
3. Veränderungsmanagement: Die Einhaltung der revDSG erfordert Änderungen auf allen Ebenen des Unternehmens. Das effektive Management dieser Änderung, insbesondere in großen oder dezentralisierten Unternehmen, kann entmutigend sein.
4. Schritthalten mit technologischen Veränderungen: Da die Technologie sich schnell weiterentwickelt, kann es anspruchsvoll sein, inmitten dieser Veränderungen konform zu bleiben.

Am häufigsten gestellte Fragen zur revDSG

Hier sind einige der am häufigsten gestellten Fragen zur Einhaltung der revDSG:

• Gilt die revDSG nur für Schweizer Unternehmen?

Nein, die revDSG gilt für alle Unternehmen, die Personendaten von Schweizer Einwohnern bearbeiten, unabhängig davon, wo das Unternehmen ansässig ist (revDSG, Artikel 2 u. 3).

• Wie wird die Zustimmung nach der revDSG definiert?

Die revDSG definiert Zustimmung als freiwillige, ausdrückliche und informierte Anzeige des Willens des Betroffenen, mit der er oder sie der Bearbeitung seiner oder ihrer Personendaten zustimmt (revDSG, Artikel 5, 6 u. 19).

• Was sind die Strafen für Nicht-Einhaltung der revDSG?

Bei Nicht-Einhaltung können Geldstrafen von bis zu CHF 250.000 für die verantwortlichen Personen verhängt werden (revDSG, Artikel 60-64).

• Muss ich nach der revDSG eine Datenschutzberaterin oder einen Datenschutzberater ernennen?

Die revDSG sieht für private Unternehmen nicht zwingend eine Datenschutzberaterin oder einen Datenschutzberater vor. Allerdings kann die freiwillige Bestellung und die Meldung an den EDÖB die Anforderungen an die Datenschutz-Folgenabschätzung reduzieren. Die Datenschutzberaterin oder der Datenschutzberater sorgt für die Einhaltung, berät in Datenschutzfragen und dient als Kontaktstelle für Einzelpersonen und Behörden. Die Meldung ist für die Befreiung von der Datenschutz-Folgenabschätzung notwendig (revDSG, Artikel 10).

• Was sollte ich im Falle einer Datenpanne nach der revDSG tun?

Im Falle einer Datenpanne musst du umgehend den EDÖB und die betroffenen Personen informieren (Artikel 24).

Schlussfolgerung: Navigieren auf dem Weg zur Einhaltung der revDSG

Die Einhaltung der revDSG ist mehr als nur eine gesetzliche Anforderung – sie bietet die Möglichkeit, Vertrauen bei Kunden aufzubauen, das Engagement für Datenschutz zu demonstrieren und einen Wettbewerbsvorteil zu erlangen. Indem du das Gesetz verstehst und diese praktischen Schritte implementierst, kannst du den Weg zur Einhaltung der revDSG selbstbewusst bestimmen.

Die Einhaltung der revDSG muss kein harter Kampf sein. Indem du den Prozess in handhabbare Schritte unterteilst und dich fachkundig beraten lässt, kannst du effektiv die Anforderungen der revDSG erfüllen und weiterhin in der digitalen Ära florieren.

Wir hoffen, dass dieser umfassende Leitfaden ein klares Verständnis der praktischen Aspekte der Einhaltung der revDSG vermittelt. Wenn du weitere Fragen hast oder weitere Hilfe benötigst, zögere nicht zu fragen.

Webinar-Zusammenfassung: Das neue Datenschutzgesetz in der Schweiz (revDSG) – Jetzt verfügbar!

Falls du unser Webinar über das neue Datenschutzgesetz in der Schweiz verpasst hast, stellen wir es dir hier vor. Bei Fragen zögere bitte nicht, uns sofort zu kontaktieren.