Neue Gesetze elektrisieren regelmässig ganze Branchen. Manche wittern darin das grosse Geschäft, manchen beschert es schlaflose Nächte. Das dürfte auch beim revidierten Datenschutzgesetz (DSG) und der neuen Verordnung (DSV), welche beide am 1. September 2023 in Kraft treten werden, nicht anders sein.
Symbolbild von 2541163 via Pixabay
Alte Hasen und Häsinnen wissen jedoch, dass Bundesrat und Parlament der Wirtschaft nur ungern in die gut aufgestellte Parade fahren. So auch bei dieser Revision des Datenschutzrechts. Pflichtbewusste Compliance- und IT-Verantwortliche können somit erst mal durchatmen – das revidierte DSG zwingt sie kaum zu grösseren Anpassungen.
Bundesrat und Parlament standen unter Druck, das seit der Einführung im Jahr 1992 nur marginal geänderte Gesetz den veränderten Verhältnissen in der IT-Welt (Cloud Computing, Big Data, Social Media etc.) anzupassen. Unter Druck waren sie auch, da seit Mai 2018 bekanntlich die EU-Regelung DSGVO (u.U. auch für Schweizer Unternehmen) anwendbar ist und ohne Angleichung des Schweizer Rechts drohte, dass die EU- Kommission der Schweiz den sog. «Angemessenheitsbeschluss» versagt hätte. Der reibungslose Austausch von personenbezogenen Daten von und in unsere Nachbarländer wäre ohne diese Anerkennung vermutlich recht umständlich geworden.
Kaum Anpassungen nötig
Grundsätzlich gelten die bisherigen datenschutzrechtliche Prinzipien und Regeln weiter. Wie bisher wird nur in Ausnahmefällen eine ausdrückliche Einwilligung oder ein Rechtfertigungsgrund für die Bearbeitung verlangt. Wohlüberlegte Datenschutzerklärungen müssen somit kaum angepasst werden. Das revDSG unterscheidet sich hier pragmatisch von der EU-DSGVO, welche für jede Klingelbeschriftung die Nennung einer Rechtsgrundlage benötigt (wäre hier Art. 6 Abs 1 lit. f DSGVO).
In der Praxis stellt sich jeweils die Frage, ob der geplante oder der zu prüfende Datenprozess den datenschutzrechtlichen Prinzipien entspricht. Die bisherigen Grundsätze (u. a. Verhältnismässigkeit, Zweckbindung, Erkennbarkeit) wurden auch mit dem revDSG nicht ausgedehnt. Allerdings enthält Art. 6 revDSG nun die klare Anweisung, dass personenbezogene Daten vernichtet oder anonymisiert werden müssen, wenn sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
Letzteres setzt voraus, dass der Datenbearbeiter seine Daten und deren Zweck «kennt». In vielen gut geführten Unternehmen dürfte das seit Jahrzehnten «courant normal» sein. Um den zahlreichen Schweizer KMU das Leben nicht zu erschweren, verlangt das revDSG ein Bearbeitungsverzeichnis jedoch nur für Unternehmen mit mehr als 250 Mitarbeitern, ausser das KMU bearbeitet besonders schützenswerte Personendaten in grossem Umfang oder es führt Profiling mit einem grossen Risiko für die betroffenen Personen durch (Art. 24 DSV). Wer solche Verzeichnisse für die Konformität mit der DSGVO bereits erstellte, hat seine Hausaufgaben schon gemacht.
Aktualität der eigenen Massnahmen überprüfen
In vielen Unternehmen dürfte eine vernünftige Risikoanalyse längst Standard sein. Nicht nur bezüglich der Geschäftsorganisation, sondern auch bezüglich der datenschutzrechtlichen Risiken, welche ein allfälliger Incident für die betroffenen Personen hätte. Schon im «alten» (und noch gültigen) DSG gab es die Pflicht (Art. 7 DSG), die Daten durch «angemessene technische und organisatorische Massnahmen» zu schützen. Das revDSG verlangt nun ausdrücklich – bereits ab der Planung – dass die Systeme einen angemessenen Schutz ermöglichen und insbesondere den vorerwähnten datenschutzrechtlichen Prinzipien entsprechen. Die DSV gibt dazu detailliert Hinweise (Art. 3 ff. DSV), welche technischen und organisatorischen Massnahmen («TOM») wahrgenommen werden müssen, inklusive Protokollierung und Bearbeitungsreglement. Es kann also nicht schaden, die Aktualität der eigenen Massnahmen regelmässig zu überprüfen.
In einer vielerorts «cloudifizierten» IT-Welt – die Bearbeitung der Daten wird einem «Auftragsbearbeiter» übertragen (z. B. SaaS) – muss auch dieser die Datensicherheit sicherstellen (Art. 8 revDSG). Der Verantwortliche bleibt jedoch in der Pflicht, sich über die Datensicherheits-Massnahmen des Cloudanbieters zu vergewissern. Bei den grossen Anbietern wie AWS, Microsoft, Google & Co. dürfte dieses Erfordernis leicht durch Vorlage einer entsprechenden Zertifizierung (ISO 27001) zu erfüllen sein. Aber auch ohne eine solche ressourcenaufwändige Zertifizierung gelingt der glaubhafte Nachweis leicht durch Vorlage des ISMS (Information Security Management System).
Strafen nur bei groben Verstössen
Und schliesslich die Strafbestimmungen. Die Strafandrohung von maximal CHF 250'000 scheinen gegenüber den Androhungen der DSGVO oder den kürzlich gegen Google ausgesprochenen 392 Millionen USD marginal. In der Praxis dürften maximale Bussen kaum verfügt werden. Und auch nur dann, wenn sich die verpflichtete Person vorsätzlich und wiederholt den datenschutzrechtlichen Regeln grob widersetzt oder den Anordnungen des EDÖB nicht Folge leistet.
Nach den vorgehenden Ausführungen zeigt sich, dass das revDSG zu keiner «Aktionitis» führen wird. Wer «Datenschutz» seit jeher als eine zentrale Aufgabe zur Vertrauensbildung (Mitarbeitende, Kunden, Dritte) betrachtet und entsprechende Schritte unternommen hat, muss keine schlaflosen Nächte befürchten.
Der Autor
RA lic.iur. Marc Fischer ist Rechtsanwalt und begleitet seine Kundschaft in allen Fragen der Digitalen Transformation. Er verfügt über langjährige Erfahrungen als prozessierender und beratender Anwalt, zudem ist er Lehrbeauftragter an mehreren Hochschulen
Der Beitrag erschien im Special "Information Governance 2022 zum topsoft Fachmagazin 22-4
Das Schweizer Fachmagazin für Digitales Business kostenlos abonnieren
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.