Das neue Datenschutzgesetz: Ein Überblick über die wichtigsten Neuerungen

Das revidierte Datenschutzgesetz (DSG) trat am 1. September 2023 in Kraft. Es übernimmt etwa 80% des Inhalts der Europäischen Datenschutzgrundverordnung (DSGVO), ist aber viel schlanker abgefasst. Dennoch ist das DSG gegenüber dem bisherigen Stand erheblich umfangreicher geworden. Es beinhaltet u.a. neue Begriffe und Rollen und definiert neue Aufgaben. Wir verschaffen Ihnen nachfolgend einen Überblick über die wichtigsten Neuerungen und zeigen auf, wie sich die neuen Aufgaben auf Arbeitgeber auswirken.

Neue Rollen

Als Verantwortlicher gelten natürliche oder juristische Personen («private Person») oder Behörden, die über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden (Art. 5 lit. j DSG).

Auftragsbearbeiter sind natürliche oder juristische Personen («private Person») oder Behörden, die im Auftrag des Verantwortlichen solche Daten verarbeiten (Art. 5 lit. k DSG). Eine Auftragsdatenbearbeitung liegt oft dann vor, wenn ein Unternehmen Geschäftsprozesse auslagert (sog. Outsourcing). Es typisches Beispiel ist ein Arbeitgeber, der ein Treuhandunternehmen mit der Lohnbuchhaltung betraut.

Der Verantwortliche hat die weitestgehenden Pflichten und trägt die Gesamtverantwortung für die Datenbearbeitung auch des Auftragsbearbeiters. Deshalb ist damit zu rechnen, dass die Verantwortlichen im Vorfeld der Beauftragung eine Auftragsbearbeiters die Anforderungen an die Datensicherheit prüfen werden (Due Diligence; Abstellen auf eine Zertifizierung, z.B. nach ISO 27001:2013) und sich mittels Outsourcingvertrag (auch Auftragsdatenverarbeitungsvertrag, ADV) das Recht für periodische Überprüfungen (Audit Rights) einräumen lassen. Der Auftragsbearbeiter muss in der Lage sein, die ihm anvertrauten Personendaten angemessen gegen unbefugten Zugriff, unbeabsichtigten Verlust, Schädigung oder Zerstörung zu schützen. D.h. er muss die Datensicherheit gewährleisten (Art. 9 Abs. 2 DSG). Je sensibler die Daten, umso höher sind die geforderten Schutzmassnahmen.

Soll die Datenbearbeitung im Ausland erfolgen, ist zusätzlich die Gleichwertigkeit des Persönlichkeitsschutzes gemäss Art. 16 DSG sicherzustellen. Nach dem DSG ist der Bundesrat dafür zuständig festzustellen, dass die Gesetzgebung eines betreffenden Staates oder ein internationales Organ einen angemessenen Schutz gewährleistet. Die Staaten, Gebiete, spezifische Sektoren in einem Staat und internationale Organe mit einem angemessenen Datenschutz sind in Anhang 1 DSV aufgeführt. Gewährleistet der Empfängerstaat keinen angemessenen Datenschutz, sind zusätzliche Massnahmen zu treffen wie beispielsweise spezielle vertragliche Vereinbarungen oder das Einholen von Einwilligungen. Eine Bekanntgabe von Personendaten ins Ausland liegt schneller vor als man vermuten könnte. Das zeigen folgende Beispiele, die bereits als Bekanntgabe ins Ausland zu qualifizieren sind: Speichern von Personendaten in einer Cloud eines Cloud-Unternehmens mit Sitz im Ausland (z.B. Dropbox), Versand von Personendaten per E-Mail an einen Empfänger im Ausland oder Weiterleitung von Personendaten innerhalb eines internationalen Konzerns.

Sollen Personendaten ins Ausland bekannt gegeben werden, muss der Schutz der Persönlichkeit dem schweizerischen gleichgestellt sein (sog. Privacy Shield, Art. 16 Abs. 1 DSG; aus Sicht der EU Art. 44 ff. DSGVO). Das ist kein Problem im Verkehr mit der EU und UK. Umgekehrt anerkennt die EU das Datenschutzniveau in der Schweiz gemäss Art. 25 Abs. 6 der EU-Datenschutzrichtlinie als dem ihren gleichwertig.

Der Auftragsbearbeiter darf Daten nur so bearbeiten, wie es der Verantwortliche selbst auch tun dürfte (Art. 9 Abs. 1 lit. a DSG) und nur dann, wenn keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet (Art. 9 Abs. 1 lit. b DSG). Weiter darf die Bearbeitung seitens des Auftragsbearbeiters nur mit vorgängiger Genehmigung des Verantwortlichen einem (weiteren) Dritten übertragen (Art. 9 Abs. 3 DSG, Art. 7 DSV). Eine Verletzung der Datensicherheit ist dem Verantwortlichen zu melden (Art. 24 Abs. 3 DSG).

Weiter regelt Art. 10 DSG die Funktion und Rolle des Datenschutzberaters. Dabei kann es sich um eine unternehmensinterne oder externe Person handeln. Es besteht keine Pflicht zur Ernennung Datenschutzberaters.

Neue Aufgaben

Zentral ist die Erstellung eines Dateninventars nach Art. 12 DSG. Es handelt sich um eine interne, schriftliche Darstellung der wesentlichen Informationen zu allen Datenbearbeitungen des Verantwortlichen oder des Auftragsbearbeiters: Wer bearbeitet welche Daten zu welchem Zweck? Die Erstellung eines Dateninventars ist sehr aufwändig. Der Bundesrat sieht für Unternehmen mit weniger als 250 Mitarbeitenden Ausnahmen vor, sofern ihre Datenbearbeitungen kein hohes Risiko aufweisen (Art. 12 Abs. 5 DSG). Gemäss Art. 24 DSV e contrario ist von einem hohen Risiko auszugehen, wenn besonders schützenswerte Personendaten in grossem Umfang bearbeitet werden oder ein Profiling mit hohem Risiko durchgeführt wird. Bemerkenswerterweise ist nur die Verweigerung der Herausgabe des Verzeichnisses an den EDÖB strafbar (Art. 60 Abs. 2 DSG), nicht jedoch das fahrlässige Unterlassen oder die fehlerhafte Erstellung.

Bestandteil des Dateninventars sind auch sämtliche Datenbearbeitungsvorgänge bezüglich Mitarbeiterdaten. Auch wenn keine Pflicht zur Erstellung eines Dateninventars besteht, kann ein solches helfen, einen Überblick über die Datenbearbeitungen im Unternehmen zu erhalten und die Umsetzung der datenschutzgesetzlichen Pflichten sicherzustellen.

Neu ist auch die Datenschutzfolgenabschätzung (DSFA), welche der systematischen Risikoeindämmung dient (Art. 22 DSG). Risiken müssen erkannt und anhand angemessener Mittel verringert werden. Gemäss Art. 22 DSG besteht ein hohes Risiko insbesondere dann, wenn umfangreich besonders schützenswerte Personendaten bearbeitet werden oder wenn systematisch umfangreiche öffentliche Bereiche überwacht werden. Die Verletzung der Pflicht zur Durchführung einer DSFA ist zwar nicht strafbar, doch kann der EDÖB den Verantwortlichen zur Durchführung einer DSFA (Art. 51 Abs. 3 lit. d DSG) oder zur Herausgabe der DSFA (Art. 50 Abs. 1 lit. a DSG) verpflichten.

Wenn ein Arbeitgeber eine Bearbeitung von Mitarbeiterdaten beabsichtigt, sollte er sich vorgängig überlegen, welche Risiken die Bearbeitung auf die Mitarbeitenden haben könnte. Es ist empfehlenswert nicht nur die eigentliche Durchführung der DSFA zu dokumentieren, sondern auch die Überlegungen, ob eine solche durchgeführt werden muss und zu welchem Ergebnis man gekommen ist.

Weiter sieht das Gesetz die Meldung von Datensicherheitsverletzungen an den EDÖB vor, Art. 24 DSG. Es empfiehlt sich, einen Prozess einzuführen, um die Datensicherheitsverletzungen zu dokumentieren, zu bewerten und in den vorgesehenen Fällen zu melden.

Für Arbeitgeber bedeutet dies, dass sie sicherstellen müssen, dass Datensicherheitsverletzungen erkannt und der zuständigen Person im Unternehmen gemeldet werden. Dies erfordert, dass Mitarbeitende, die regelmässig Personendaten bearbeiten, zum Thema Datenschutz geschult werden. Das gilt z.B. für Mitarbeitende im HR, die auch besonders schützenswerte Personendaten bearbeiten.

Um die Transparenz zu gewährleisten, besteht nach Art. 19 ff. DSG eine Informationspflicht, wenn Daten über eine natürliche Person erhoben werden. Diese Pflicht beschlägt neu sämtliche Personendaten, nicht nur besonders schützenswerte oder Persönlichkeitsprofile, was zu erheblichem Mehraufwand für die Unternehmen führt

Die Bearbeitung von Mitarbeiter- oder Bewerberdaten ist eine typische, datenschutzrelevante Datenbearbeitung. Entsprechend muss der Arbeitgeber über die Bearbeitung informieren. Er kann dies in einer Datenschutzerklärung für Mitarbeitende tun, in der der Umgang mit Mitarbeiterdaten während des Arbeitsverhältnisses erläutert wird. In einer Datenschutzerklärung für Bewerbende erläutert der Arbeitgeber den Umgang mit Daten von Bewerbern bis zur Einstellung bzw. Ablehnung.

Gemäss Art. 25 ff. DSG kann jede Person vom Verantwortlichen grundsätzlich kostenlos Auskunft darüber verlangen, ob Personendaten über sie verarbeitet werden. Es empfiehlt sich, Prozesse aufzusetzen, um Auskunftsbegehren (inkl. Löschungsbegehren, Begehren um Einschränkung der Verarbeitung oder Berichtigung der Daten) systematisch erfüllen zu können.

Der Arbeitgeber sollte einen systematischen Prozess zur Beantwortung von Auskunfts-, Löschungs- und Berichtigungsbegehren von Mitarbeitenden institutionalisieren. Wichtige Fragen, die sich hier stellen, sind: Wo gehen die Auskunftsbegehren ein, wer prüft das Gesuch, können alle Daten identifiziert und zusammengeführt werden und wer koordiniert die zeitgerechte Beantwortung? Es empfiehlt sich intern eine zuständige Person im HR für Datenschutzfragen zu bezeichnen.

Datenschutzrecht als Nebenstrafrecht

Die Verletzung bestimmter datenschutzrechtlicher Pflichten kann gemäss Art. 60 ff. DSG zu einer Busse von bis zu CHF 250‘000.-- führen. Bestraft werden – im Gegensatz zur DSGVO – die letztlich verantwortlichen Mitarbeitenden, nicht jedoch das Unternehmen. Die Sanktionierung des Unternehmens ist als Ausnahmebestimmung konzipiert (Art. 64 DSG). Bestraft wird nur eine vorsätzliche Begehung der Tat auf Antrag hin (kein Offizialdelikt). Die Verfolgungsverjährung beträgt 5 Jahre (Art. 66 DSG).

Bedeutung für Arbeitgeber

Um die neuen Anforderungen zu erfüllen, sind Unternehmen mit erhöhten Dokumentations-, Auskunfts- und Meldepflichten konfrontiert und demnach gut beraten, sich ihrer datenschutzrechtlichen Compliance sowie den Auswirkungen für ihr Unternehmen möglichst frühzeitig anzunehmen und sie in die Unternehmensstrategie miteinzubeziehen. Auch wenn die Strafbarkeitslatte hoch liegt, muss die Strategie darauf ausgelegt werden, dass das Unternehmen die neuen datenschutzrechtlichen Anforderungen erfüllt. Bei der Weitergabe von Personendaten an Auftragsbearbeiter, werden sich die Anforderungen an die Verantwortlichen in den Outsourcing Verträgen niederschlagen.