Schauen Sie rein: In die Webinar-Aufzeichnung vom 04.09.2023 zum Thema 'Neues Schweizer Datenschutzgesetz 2023: Was Unternehmen jetzt wissen müssen'.
Mit dem Inkrafttreten des neuen Schweizer Datenschutzgesetzes (nDSG) am 1. September 2023 ergeben sich für Unternehmen neue Herausforderungen und Chancen im Umgang mit personenbezogenen Daten. Um Unternehmen bei diesem wichtigen Schritt zu unterstützen, veranstalteten Mona Wrobel, Anwältin und Senior Privacy Expert bei SECJUR, und Manuel Stahl, Verwaltungsrat und Co-Founder von SECJUR ein Webinar zum nDSG. Hier beleuchteten sie die wichtigsten Aspekte und Veränderungen in der Schweizer Datenschutzlandschaft.
nDSG-Webinar: Praktischer Überblick zum neuen Datenschutzgesetz
Zu Beginn des nDSG-Webinars muss erstmal erläutert werden, warum eine Änderung überhaupt stattgefunden hat.
Das Jahr 1992 markierte den Ursprung des Schweizer Datenschutzgesetzes (DSG), das bis vor kurzem die Grundlage für den Umgang mit personenbezogenen Daten bildete. In einer Zeit, in der das Internet noch in den Kinderschuhen steckte und digitale Produkte den Markt noch nicht überschwemmten, war dieses Gesetz durchaus zeitgemäß. Doch mit dem Fortschritt in Technologie und Gesellschaft wurde deutlich, dass eine Anpassung notwendig war.
Bereits 2018 gab es eine Teilrevision im Schweizer Recht, die jedoch bald als unzureichend erkannt wurde. Insbesondere die verstärkte Nutzung sozialer Netzwerke machte eine umfassendere Überarbeitung erforderlich. So wurde 2019 eine Totalrevision des Datenschutzrechts vorgenommen, die nicht nur das interne Datenschutzniveau auf ein höheres Level hob, sondern auch eine Anpassung an die europäischen Vorgaben, insbesondere die Datenschutz-Grundverordnung (DSGVO), beinhaltete.
Die Revision wurde als notwendig erachtet, um sicherzustellen, dass die Schweiz als "sicheres Drittland" für den Datentransfer aus der Europäischen Union betrachtet wird. Dies bedeutet, dass das Datenschutzniveau in der Schweiz nun langfristig auf einem stabilen, hohen und europäisch vergleichbaren Niveau liegt.
nDSG-Webinar: Die 12 wichtigsten Neuerungen des nDSG
Die Änderungen im neuen Datenschutzgesetz sind weitreichend und betreffen verschiedene Aspekte der Datenverarbeitung. Im nDSG-Webinar gibt ein Überblick über die zwölf wichtigsten Neuerungen Aufschluss darüber, wie Unternehmen und Verantwortliche ihre Datenschutzpraktiken anpassen müssen:
- Ausgebaute Informationspflichten: Unternehmen haben nun umfangreichere Informationspflichten zu erfüllen, da mehr Verantwortliche davon betroffen sind.
- Pflicht für Verzeichnis von Datenbearbeitung: Unternehmen müssen ein Verzeichnis führen, in dem alle Datenverarbeitungen und Prozesse dokumentiert sind, wenn bestimmte Voraussetzungen vorliegen.
- Strengere Vorgaben für Auftragsbearbeitungen: Insbesondere die Pflichtverträge mit Auftragsbearbeitern sind jetzt verbindlich.
- Pflicht zu Datenschutz-Folgenabschätzung: In heiklen Fällen ist eine Datenschutz-Folgenabschätzung erforderlich, eine Neuerung, die zuvor vor allem für öffentliche Unternehmen und Behörden galt.
- Pflicht zur Meldung von Sicherheitsverstößen an EDÖB: Unternehmen müssen Sicherheitsverstöße der Schweizer Datenschutzbehörde melden, gegebenenfalls auch den betroffenen Personen.
- Anpassung des Auskunfts- und Korrekturrechts: Eine Anpassung des Auskunfts- und Korrekturrechts erfolgte im Zuge der ausgebauten Informationspflichten.
- Neues Recht auf Datenportabilität für Kunden
- Regelung zu automatisierten Einzelentscheiden
- Erweiterung der Definition „besonders schützenswerter Daten“: Dazu gehören nun auch genetische und biometrische Daten.
- Einführung Privacy by Design und Privacy by Default: Unternehmen müssen von Anfang an den Datenschutz berücksichtigen.
- Erweiterte Compliance-Anforderungen: Unternehmen müssen nun, insbesondere wenn sie Daten von Schweizer Personen verarbeiten, einen Vertreter in der Schweiz melden.
- Aufsichtsinstrumente und Strafbarkeit ausgebaut: Die Aufsichtsinstrumente wurden erweitert, und die Strafbarkeit wurde aufgebaut.
nDSG-Webinar: Was müssen Unternehmen tun?
Die Einführung des neuen Datenschutzgesetzes stellt Unternehmen vor Herausforderungen, die sorgfältig angegangen werden müssen. Im nDSG-Webinar erläutert Mona Wrobel folgende:
- Datenschutzrechtliche Rolle klären: Unternehmen müssen ihre Rolle im Datenschutz klar definieren und entsprechende Verträge abschließen.
- Umfassende Verpflichtung für informierende Datenschutzerklärung: Eine transparente Datenschutzerklärung ist nun Pflicht.
- Privacy by Design und Privacy by Default einführen: Technische und organisatorische Maßnahmen müssen von Anfang an bei der Entwicklung neuer Prozesse oder Tools beachtet werden.
- Abschluss von Auftragsbearbeitungsverträgen: Insbesondere bei der Auslagerung von Datenverarbeitungen an Dritte müssen Verträge abgeschlossen werden.
- Schutz der Personendaten durch geeignete technisch und organisatorische Maßnahmen: Unternehmen müssen ihre technischen und organisatorischen Maßnahmen an die Art und den Umfang der Datenverarbeitung anpassen.
- Plan für Verletzungen der Datensicherheit erstellen: Unternehmen müssen einen Plan für den Umgang mit Sicherheitsverletzungen entwickeln und bei Bedarf Meldungen vornehmen. Die Meldung von Sicherheitsverstößen ist nun Pflicht.
- Verzeichnis für Bearbeitungstätigkeiten führen: Unternehmen müssen ein Verzeichnis aller Bearbeitungen und Prozesse erstellen, wenn sie mehr als 250 Mitarbeiter haben oder die Datenverarbeitung ein hohes Risiko birgt.
nDSG-Webinar: Mit welchen Aufwänden ist zu rechnen?
Bei der Umsetzung von Datenschutzmaßnahmen ist es entscheidend, die mit diesem Prozess verbundenen Aufwände zu verstehen. Im nDSG-Webinar wird dabei erläutert, dass nur 20% für Kunden sichtbar sind, während die verbleibenden 80% unter der Oberfläche operieren.
Hierbei gilt es, alle nach außen gerichteten Informationen und Prozesse im Blick zu behalten. Dieser Schritt erfordert eine genaue Prüfung und Aktualisierung, um sicherzustellen, dass die Datenschutzerklärung den aktuellen gesetzlichen Anforderungen entspricht.
Um die internen Prozesse und Maßnahmen zu optimieren, ist ein detailliertes Vorgehen erforderlich. Hierbei wird oft ein Audit durchgeführt, bei dem systematisch überprüft wird, welche Datenschutzmaßnahmen bereits implementiert sind und welche noch erforderlich sind.
Dieser Prozess orientiert sich klassisch an den gesetzlichen Vorgaben, wozu beispielsweise die Erstellung eines Verzeichnisses von Bearbeitungstätigkeiten gehört. Dieses Verzeichnis ist insbesondere dann notwendig, wenn die Anzahl der Personen in einem Unternehmen 250 übersteigt. Es dient als Nachweis für die Durchführung von Datenschutzfolgenabschätzungen und dokumentiert, ob und wie diese durchgeführt wurden.
Rechtsexperting Mona Wrobel beleuchtet im nDSG-Webinar, dass die Aufwände weiter in die Tiefe gehen, wenn es darum geht, Verträge zu prüfen und zu schließen, die Sicherheitsmaßnahmen zu überwachen und zu optimieren sowie interne Compliance-Prozesse zu implementieren.
Bei der internationalen Übermittlung von Daten müssen alle Schritte sorgfältig durchdacht und dokumentiert werden. Dies schließt auch die Überprüfung von Löschkonzepten und -fristen ein, um sicherzustellen, dass personenbezogene Daten angemessen geschützt und nach den gesetzlichen Vorgaben behandelt werden.
Der durchschnittliche Aufwand für kleine und mittelständische Unternehmen (KMU), um die initiale Datenschutz-Konformität zu erreichen, liegt für viele bei etwa 75 Stunden. Durch Automatisierung, wie dem Digital Compliance Office (DCO) von SECJUR, können die Aufwände deutlich reduziert werden, was nicht nur zeitliche Ressourcen spart, sondern auch die Compliance erhöht.