Die fast unverzichtbar gewordene tägliche Nutzung von Internet, Clouds, PCs, Smartphones, Programmen und Software für private und berufliche Zwecke setzt die Bevölkerung den Risiken aus, die mit der Verwendung ihrer persönlichen Daten verbunden sind. Aus diesem Grund hat das Parlament in der Herbstsession 2020 das neue Bundesgesetz über den Datenschutz (DSG) verabschiedet, das die Bearbeitung von Personendaten verbessern und den Schweizerinnen und Schweizern neue Rechte einräumen soll. Die Totalrevision des DSG wird am 1. September 2023 ohne Anpassungsfrist in Kraft treten.
In der Schweiz hat sich eine beträchtliche Anzahl von Unternehmen bereits an die EU-Datenschutzgrundverordnung (DSGVO) angepasst und muss nun nur noch wenige Änderungen vornehmen. Für die übrigen Unternehmen ist die Anpassung des Schweizer Rechts an das europäische Recht ein zentrales Thema. Das neue Gesetz sollte es nämlich ermöglichen, den freien Datenverkehr mit der Europäischen Union (EU) aufrechtzuerhalten und so die Wettbewerbsfähigkeit der Schweizer Unternehmen zu sichern.
Was sollte man über DSG wissen?
Die DSG und die entsprechende Verordnung gelten für die Bearbeitung von Personendaten durch Privatpersonen und Bundesorgane. Es betrifft also auf dem Schweizer Markt tätige in- und ausländische Privatunternehmen, Vereine und Privatpersonen im Allgemeinen (die von den Datenschutzbestimmungen ausgenommen bleiben, sofern sie Personendaten ausschliesslich zu privaten Zwecken bearbeiten).
Die Rechtsvorschriften gelten für die Verarbeitung aller Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, einschließlich der Beschaffung, Speicherung, Aufbewahrung, Verwendung, Änderung, Weitergabe, Archivierung, Löschung oder Vernichtung von Daten.
Die Überarbeitung sieht keine wesentlichen Änderungen der Verarbeitungsgrundsätze vor, so dass die derzeit zulässigen Datenverarbeitungstätigkeiten im Allgemeinen auch nach dem neuen Gesetz zulässig sein dürften:
- Personenbezogene Daten dürfen nur rechtmäßig, nach Treu und Glauben und unter Beachtung des Grundsatzes der Verhältnismäßigkeit verarbeitet werden
- Wichtig ist, dass die Daten nur für die Zwecke verarbeitet werden, für die sie erhoben wurden, und dass diese auch für die betroffene Person erkennbar sind (captive use)
Die Fälle, in denen die Datenverarbeitung als rechtswidrig angesehen wird, sind dagegen:
- Verstoß gegen die Behandlungsgrundsätze
- Ausdrücklicher Einspruch der betroffenen Person
- Weitergabe besonders schützenswerter personenbezogener Daten an Dritte
Neues Datenschutzgesetz: Welche Pflichten haben Unternehmen?
Diese wichtige Gesetzesänderung geht mit einer Reihe von Verpflichtungen für Unternehmen (für die Datenverarbeitung Verantwortliche) und Datenverarbeiter (natürliche Personen) einher. Für erstere gelten die folgenden Verpflichtungen:
- Compliance
- Die eingesetzten Programme und Verfahren müssen die Grundrechte der natürlichen Personen (Mitarbeiter, Kunden, Lieferanten, Online-Nutzer), deren Daten verarbeitet werden, schützen
- Die technischen und organisatorischen Maßnahmen müssen geeignet sein, die Datensicherheit zu gewährleisten
- Informationspflicht (Transparenz als Kardinalprinzip)
- Personenbezogene Daten dürfen nur für einen bestimmten und für die betroffene Person erkennbaren Zweck erhoben werden
- Der Zweck ist erkennbar, wenn die betroffene Person informiert wurde, wenn die Verarbeitung gesetzlich vorgesehen ist oder wenn sie sich aus den Umständen ergibt
- Die Daten müssen im Einklang mit dem ursprünglichen Zweck verarbeitet werden, d. h. eine weitere Verarbeitung ist nicht zulässig, wenn die betroffene Person sie berechtigterweise als unerwartet, unangemessen und unzulässig betrachten kann
- Um dieser Verpflichtung nachzukommen, muss die betroffene Person in der Lage sein, die Informationen in einer leicht zugänglichen Form tatsächlich zur Kenntnis zu nehmen
- Technisch-organisatorische Maßnahmen (Grundsatz der Rechenschaftspflicht)
- Um Risiken für die Grundrechte der betroffenen Personen zu vermeiden und zu mindern, müssen die für die Verarbeitung Verantwortlichen die Umsetzung eines geeigneten Verfahrens zum Schutz der betroffenen Personen nachweisen, dokumentieren und veranschaulichen.
Was passiert, wenn ein Unternehmen das DSG nicht einhält?
- Administrative Konsequenzen
Die Befugnisse des Eidgenössischen Datenschutzbeauftragten zum Vollzug der nLPD wurden erweitert. Er kann von sich aus oder auf Meldung hin eine Untersuchung gegen ein Unternehmen einleiten und bei Verstössen gegen datenschutzrechtliche Bestimmungen weitreichende Massnahmen bis hin zur Änderung oder Einstellung der Datenbearbeitung oder sogar zur Löschung von Daten anordnen - Zivilrechtliche Konsequenzen
Nach der DSG stehen den betroffenen Personen zivilrechtliche Rechtsbehelfe zur Verfügung, um ihre Ansprüche durchzusetzen - Strafrechtliche Konsequenzen
Verschärfung der Strafbestimmungen bei Verstößen gegen den für die Datenverarbeitung Verantwortlichen und insbesondere gegen Manager, Direktoren und Entscheidungsträger in Unternehmen (für die Datenverarbeitung Verantwortliche):
- Vorsätzliche Verstöße gegen bestimmte Verpflichtungen werden sanktioniert
- Natürliche Personen sind bußgeldpflichtig, es sei denn, die anwendbare Geldbuße übersteigt 50.000 CHF und die Ermittlung der Täterschaft erfordert unverhältnismäßige Maßnahmen. In diesem Fall würde das Unternehmen haften. Die Geldstrafe kann bis zu 5 Millionen CHF betragen
Wie können Risiken gemindert werden?
Fehler oder Störungen bei der ordnungsgemäßen Verarbeitung von Daten können dank verschiedener Lösungen vermieden werden:
- GDPR- und nLPD-konforme Datenverarbeitungsprogramme, die die Einhaltung der rechtlichen Anforderungen (Zugänglichkeit, Sicherheit, Zweck) ermöglichen
- Aufmerksamkeit für die Wahl von Passwörtern, Authentifizierungsnachweisen (MFA: Multi-Faktor-Authentifizierung), Autorisierungssystemen, Mitarbeiterschulung
- Antivirus, Firewall (häufig aktualisiert)
- Häufige und geschützte Datensicherungen: verschlüsselte/verschlüsselte Backups
- Richtlinien für Cyberrisiken
Der Abschluss einer solchen Police schützt das Unternehmen vor Schäden, die durch den Verlust oder die Beschädigung von Daten entstehen, z. B. bei Cyberangriffen, Fahrlässigkeit usw. - Verlassen Sie sich darauf, dass Fachleute die Einhaltung der Vorschriften für Ihre Geschäftspraktiken sicherstellen und Ihnen die richtigen Werkzeuge an die Hand geben, um Ihren Betrieb zu schützen. Bei der NFS Group sind wir immer auf dem neuesten Stand - nicht nur in Bezug auf die aktuellen Vorschriften, sondern auch in Bezug auf die besten Möglichkeiten, die Gesetze einzuhalten und keine Risiken einzugehen.
Es bleiben nur noch wenige Monate, um die notwendigen Maßnahmen zur Umsetzung des neuen Gesetzes zu ergreifen, also seien Sie nicht unvorbereitet.
Offenlegung von Informationen: eine Veranstaltung für unsere Kunden
Wir sind bestrebt, unseren Kunden stets einen hochqualifizierten Service zu bieten.
Wir von der NFS Group möchten, dass unsere Kunden über die wichtigsten geschäftlichen Themen auf dem Laufenden sind, und organisieren daher regelmäßig Veranstaltungen zum Austausch. Die letzte, am Freitag, den 23. Juni, war genau dem neuen Datenschutzgesetz gewidmet, und wir haben dafür gesorgt, dass jeder die Informationen erhält, die er braucht, um sich und sein Unternehmen anzupassen und zu schützen.
Möchten Sie unseren Ansatz und unsere Werte kennenlernen?