20. April 2023

„Datenschutzrecht – Ab 1. September 2023 gilt das neue Datenschutzgesetz in der Schweiz. Was kommt auf mich zu?“

Marco S. Meier

Wer vom anstehenden Inkrafttreten des revidier­ten Schweizer Datenschutzgesetzes gehört hat, hat das «leidige» Thema vielleicht umge­hend wieder verdrängt, getreu dem Motto: Datenschutz ist für mich und mein Unter­nehmen ohnehin nicht relevant. Mit grosser Wahrscheinlichkeit ist dies aber zu kurz ge­griffen und gedacht. Das revidierte Schweizer Datenschutzgesetz wird, wie seine Vorgänger­version, unter anderem auf alle Unternehmen anwendbar sein, sobald Personendaten be­arbeitet werden.

Stichtag: 1. September 2023

Was im europäischen Umfeld schon seit 2018 gilt, wird in der Schweiz nun ebenfalls Reali­tät. Galt das aktuelle, in den 1990er-Jahren in Kraft getretene Datenschutzgesetz eher als «zahnloser Tiger», wird das modernisierte, in die digitale Welt überführte revidierte Daten-schutzgesetz griffiger. Griffiger insbesondere auch, was die Sanktionen bei Verstössen be­trifft. Das revidierte Datenschutzgesetz, das am 1. September 2023 in Kraft tritt, führt zur Angleichung an die EU-Datenschutzgrundverordnung, behält aber weiterhin eine eigene Grundkonzeption bei und weicht in verschie­denen Punkten von dieser ab.

Die Revision bringt einige neue Pflichten. Besonders wichtig sind diejenigen Pflichten, welche an eine empfindliche Strafe geknüpft sind. Dazu gehört, dass gewisse Mindestan­forderungen an die Datensicherheit gewähr­leistet sind, ein Prozess zur Beantwortung von Auskunftsbegehren implementiert ist, die betroffenen Personen über die vorge­nommenen Datenbearbeitungen gemäss den Mindestvorgaben informiert sind (z. B. in einer Datenschutzerklärung) oder dass beim Beizug von Dritten mit diesen ein Vertrag ab­geschlossen wird, der die datenschutzrechtlichen Vorgaben abdeckt (z. B. bei der Nut­zung von Clouddiensten). Neu sind auch die Pflichten zur Führung eines Verzeichnisses über alle Datenbearbeitungen oder zur Mel­dung von Verletzungen der Datensicherheit an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und weitere.

Keine Übergangsfrist

Übergangsfristen sind keine vorgesehen, d. h., die Pflichten müssen mit Inkrafttreten umgesetzt sein. Um den Pflichten Nachdruck zu verleihen, wurden die Sanktionen massiv verschärft. Vorgesehen sind strafrechtliche Sanktionen in Form einer Busse von bis zu CHF 250’000.—, welche auf private Personen — d. h. die im Unternehmen verantwortliche Person (i. d. R. Leitungspersonen) — abzielen. Möglich sind schliesslich weiterhin auch zi­vilrechtliche Klagen auf Beseitigung, Unter­lassung oder Schadenersatz.

Die Frage, ob das Thema Datenschutz für das einzelne Unternehmen relevant ist, kann meist mit einem klaren «Ja» beantwor­tet werden. Folglich sollte das Thema nicht (mehr) auf die lange Bank geschoben werden. Gefordert ist nun eine strukturierte Vorge­hensweise, um während des noch verbleiben­den Zeitfensters von wenigen Monaten die eigene Organisation fit zu trimmen. Der Countdown läuft unaufhaltsam.

NÄCHSTE SCHRITTE:

  1. Vorbereitung (Sensibilisierung, Projektplanung)
  2. Bestandesaufnahme (Ermittlung Status quo, Gap-Analyse)
  3. Umsetzung (Priorisierung und Umsetzung der Massnahmen aus der Gap-Analyse)
  4. Monitoring und Review (Monitoring aktueller Entwicklungen, periodische Schulung)

 

Marco S. Meier, MLaw, CIPP/E  ist Counsel bei Thouvenin Rechtsanwälte KLG, Zürich. Er hat seinen Tätigkeitsschwerpunkt im Dantschutz- und Technologierecht sowie in technologiebezogenen Compliance Fragen.

 

Hinweis: Dieser Artikel wurde in der April-Ausgabe 2023 der Zeitschrift „Das Ideale Heim“ publiziert

 

2023-04-Das-Ideale-Heim_Datenschutz_Marco-S.-Meier.pdf (pdf 360 kB)