Was kommt mit dem neuen Datenschutzgesetz auf uns zu?
Claudio Haufgartner: Ein wichtiger Auslöser für die Gesetzesrevision war das Ziel, das «alte» Datenschutzgesetz den neuen Anforderungen einer digitalen Welt anzupassen und das Datenschutzniveau wieder in Äquivalenz mit der europäischen Datenschutz-Grundverordnung (DSGVO) zu bringen. Infolgedessen hat man sich grundsätzlich an dieser orientiert.
Was genau ändert denn nun?
Die Änderungen betreffen zum einen den Geltungsbereich des Datenschutzgesetzes. Das revidierte Datenschutzgesetz beschränkt sich wie die DSGVO auf den Datenschutz natürlicher Personen und nicht mehr wie bisher auch auf den Schutz der Daten juristischer Personen.
Zudem haben die Unternehmen weitergehende Informationspflichten. Das heisst, dass die Unternehmen die betroffenen Personen über jede Datenbeschaffung informieren müssen. Im bisherigen Datenschutzgesetz galt dies nur für die besonders schützenswerten Personendaten. Unternehmen mit über 250 Mitarbeitenden sind verpflichtet, ein sogenanntes Verzeichnis der Bearbeitungstätigkeiten zu führen. Ein solches Verzeichnis ist aus Compliance-Überlegungen grundsätzlich sinnvoll und ich empfehle dies auch Unternehmen, welche nicht unter die im Gesetz erwähnte Pflicht fallen.
Können Sie diese genauer erklären?
Unternehmen müssen im Detail erläutern können, welche Daten sie bearbeiten, wie und wo sie das tun und wer dafür zuständig ist. Man kommt also nicht mehr an sogenannten Datenschutzerklärungen vorbei. Je nach Sachverhalt kann es sinnvoll sein, für unterschiedliche Personenkategorien (Bewerber, Kunden, Lieferanten etc.), die auch ein jeweils anderes Informationsbedürfnis haben, spezifische Datenschutzerklärungen zu verfassen.
Das klingt aufwändig?
Ja, das bedingt einen gewissen Grundaufwand. Ich empfehle, jetzt mit den Überlegungen zu beginnen, welche Schritte in Angriff genommen werden müssen bis zur Inkraftsetzung. Man sollte dabei aber auch pragmatisch bleiben. Ich empfehle deshalb, sich an folgender Frage zu orientieren: Wo haben wir die grössten Risiken? Dies auch hinsichtlich der Strafnormen, die neu festgelegt wurden.
Sie haben Fragen zum neuen Datenschutzgesetz? Viele davon können wir sicher in unserem Webinar vom 27. Februar 2023 klären. Mitgliedfirmen stehen wir auch für persönliche Anfragen zur Verfügung.
Und wenn dann doch mal eine Datenpanne passiert?
Wird eine Verletzung der Datensicherheit festgestellt im Sinne eines unbeabsichtigten oder widerrechtlichen Verlusts, einer Löschung, Vernichtung etc. von Personendaten, ist dies neu dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖP) raschestmöglich zu melden. Deshalb ist es aus meiner Sicht wichtig, klar zu definieren, wer Zugriff auf welche Daten hat und den Zugriff auf sensible und schützenswerte Personendaten auf das Nötigste zu beschränken, um die Risiken einer Datenschutzverletzung zu minimieren.
Gibt es weitere Empfehlungen?
Mit einer aktuellen Datenschutzerklärung und einem Datenverarbeitungsverzeichnis ist schon ein grosser Teil der Grundlagenarbeit gemacht. Was können Sie weiter tun? Überprüfen Sie Ihre Verträge mit den Auftragsbearbeitern (z.B. externe Payrollingpartner) und passen Sie diese notfalls an. Datenschutz durch Technik (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) sind bei der Planung, Ausgestaltung und Einführung neuer digitaler Instrumente (z.B. Applikationen) unbedingt zu beachten.
Und last but not least: Die Mitarbeitenden müssen zu den Datenschutzbestimmungen geschult werden. Das gilt in erster Linie für die Personalabteilung, IT sowie weitere Mitarbeitende, die mit Daten von Kunden oder Lieferanten zu tun haben.