Am 1. September 2023 tritt das revidierte Datenschutzgesetz in Kraft. Welche Neuerungen damit auf Schweizer Unternehmen zukommen, erklärt Rechtsanwalt und Datenschutzexperte Marius Vischer im Gespräch mit Reisswolf Schweiz.

 

Herr Vischer, welche wichtigsten Änderungen bringt das neue DSG mit sich?

 

Marius Vischer: Die wichtigsten Neuerungen sind aus meiner Sicht die Folgenden:

 

  • Die Informationspflichten bei der Beschaffung von Personendaten werden ausgebaut und gelten nicht mehr nur bei der Beschaffung von besonders schützenswerten Personendaten. Folglich wird eine Datenschutzerklärung für sämtliche Unternehmen Pflicht.
  • Unternehmen ab 250 Mitarbeitenden müssen neu ein Verzeichnis der Bearbeitungstätigkeiten führen, in welchem sie sich in Bezug auf einzelne Bearbeitungen u.a. zu den Bearbeitungszwecken, den Kategorien der betroffenen Personen und Daten sowie der Aufbewahrungsdauer äussern.
  • Auftragsbearbeitungen, etwa durch IT-Provider, sind vertraglich durch sog. Auftragsdatenbearbeitungsvereinbarungen (ADV; data processing agreements, DPA) abzusichern.
  • Verletzungen der Datensicherheit müssen dem EDÖB gemeldet werden, wenn sie zu einem hohen Risiko für die Persönlichkeit oder der Grundrechte der betroffenen Person führen (siehe Frage 3).

 

Wo orten Sie die Stärken im neuen DSG?

 

Das revidierte DSG ist im Vergleich zur DSGVO wesentlich pragmatischer und kürzer, und dadurch auch einfacher verständlich. Da zudem die Bearbeitungsgrundsätze unter dem revidierten DSG im Wesentlichen unverändert Geltung haben werden, sind bisher zulässige Datenbearbeitungen grundsätzliche weiterhin zulässig. Unternehmen müssen deshalb nicht jede Datenbearbeitung hinterfragen. Neu gelten jedoch einige flankierende Massnahmen, die einen Ausbau der Governance zur Folge haben (siehe Frage 1).

 

Ein Kernpunkt des neuen Gesetzes ist die Datensicherheit. Was genau heisst das und welche Auswirkungen bringt diese Anpassung mit sich?

 

Es ist durch geeignete technische oder organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten, d.h. es sind diejenigen technischen und organisatorischen Massnahmen zu ergreifen, welche in Anbetracht des Zwecks der Datenbearbeitung, des Risikos, dem Stand der Technik und der Implementierungskosten erforderlich und angemessen sind (z.B. Zugriffskontrollen, Zugangskontrollen, Datenträgerkontrollen, Speicherkontrollen, Benutzerkontrollen etc.).

 

Neu müssen Verletzungen der Datensicherheit dem EDÖB gemeldet, wenn sie zu einem hohen Risiko für die Persönlichkeit oder der Grundrechte der betroffenen Person führen. Solche Verletzungen der Datensicherheit sind z.B. Hackerangriffe oder E-Mail-Versand mit heiklen Daten an einen falschen Abnehmerkreis. Die Information des EDÖB hat raschestmöglich zu erfolgen. Eine besondere Frist besteht jedoch im Unterschied zur DSGVO (dort 72 Stunden) nicht. Da die Häufigkeit insb. von Hackerangriffen über die letzten Jahre stark zugenommen hat, lohnt es sich, sich damit zu befassen, wie bei einem solchen Vorfall vorgegangen wird (Data Breach Management).

 

Das neue DSG gilt als eine Annäherung an die DSGVO, aber nicht als Kopie. Warum wurde das DSG nicht einfach der DSGVO angepasst?

 

Zunächst einmal besteht zwischen dem DSG und der DSGVO (auch weiterhin) ein konzeptioneller Unterschied. Während in der Schweiz Datenbearbeitungen grundsätzlich zulässig sind und ein Rechtfertigungsgrund nur dann erforderlich ist, wenn die Bearbeitungsgrundsätze oder die Bestimmungen zur Datensicherheit nicht eingehalten werden oder wenn die betroffene Person der Bearbeitung widerspricht, ist unter der DSGVO stets ein Rechtfertigungsgrund notwendig. Nur schon deshalb konnte die DSGVO nicht kopiert werden. Darüber hinaus ist das Schweizer Gesetz im Wesentlichen pragmatischer ausgefallen (Swiss Finish).

 

Wie schützen Sie Ihre persönlichen Daten, worauf legen Sie wert?

 

Nach meinem Dafürhalten ist jeweils darauf zu achten, wem und welche persönlichen Daten zugänglich gemacht werden und wo diese gespeichert werden. Je heikler die Daten sind, desto wichtiger sind zudem die Massnahmen zur Gewährleistung der Datensicherheit. Eine wichtige Massnahme ist die Verwendung möglichst sicherer Passwörter. Hierzu verwende ich seit einiger Zeit einen Passwortmanager, der Passwörter generiert und speichert. Mit einer Zwei-Faktor-Authentisierung kann der Schutz noch zusätzlich erhöht werden, was bei heiklen Daten sicherlich angebracht ist (Gesundheitsdaten, Finanzdaten etc.).

 

Vielen Dank für das Gespräch.

 

Marius Vischer ist Rechtsanwalt und Partner in der Anwaltskanzlei epartners in Zürich. Er ist schwerpunktmässig im IT- und Technologierecht, im Datenschutz- sowie im Wettbewerbsrecht tätig; er ist sowohl beratend als auch prozessierend tätig und gibt regelmässig Schulungen und leitet Workshops.