Das Schweizer Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992 und ist noch heute gültig. Am 1. September dieses Jahres wird das Gesetz abgelöst und das revidierte Datenschutzgesetz (revDSG) tritt in Kraft. Das revDSG wurde den technologischen und gesellschaftlichen Veränderungen unserer Zeit angepasst und soll Personen in Bezug auf ihre eigenen Daten mehr Rechte geben. Weiter soll das revDSG den freien Datenverkehr mit der Europäischen Union erhalten, so dass Schweizer Organisationen und Unternehmen nicht an Wettbewerbsfähigkeit einbüssen.
Als Kommunikationsexpert:innen wollen wir verstehen, was das revDSG für unsere Arbeit bedeutet. Wir haben Cornelia Stengel, Rechtsanwältin für Finanzmarkt- und Datenschutzrecht und Partnerin bei Kellerhals Carrard, gefragt, was ab dem 1. September 2023 gilt und beachtet werden muss.
Am 1. September 2023 tritt in der Schweiz das totalrevidierte Datenschutzgesetz (revDSG) in Kraft. Was ist neu?
Die zentrale Idee des revDSG ist es, den betroffenen Personen mehr Transparenz und damit eine Stärkung ihrer Rechte in Bezug auf ihre eigenen Daten zu geben («informationelle Selbstbestimmung»). Weiter soll das revDSG auch eine Förderung der Prävention und der Eigenverantwortung der Datenbearbeiter:innen bewirken. Damit verbunden sind die Stärkung der Datenschutzaufsicht und ein Ausbau der Strafbestimmungen. Für Unternehmen schafft das Gesetz ausserdem neue Pflichten, insbesondere bei der Erhebung, dem Verlust oder dem Missbrauch von Personendaten.
Worin unterscheiden sich das revDSG und die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union im Wesentlichen? Und was müssen Schweizer Unternehmen beachten, die in der EU tätig werden möchten?
Das revDSG orientiert sich grundlegend an den inhaltlichen Vorgaben der DSGVO, basiert aber auf einem grundsätzlich anderen Prinzip: In der Schweiz ist und bleibt die Bearbeitung von Personendaten zulässig, soweit die gesetzlichen Prinzipien (insbesondere Transparenz, Zweckbindung und Verhältnismässigkeit) eingehalten werden. Die europäische DSGVO dagegen verbietet die Datenverarbeitung, sofern sie nicht (zum Beispiel durch eine Einwilligung der betroffenen Person oder Vertragserfüllung) gerechtfertigt werden kann.
Schweizer Organisationen und Unternehmen, die ihre Waren oder Dienstleistungen in der EU anbieten, müssen sowohl das Schweizer revDSG als auch die EU-DSGVO einhalten.
Welche weiteren Entwicklungen im Bereich des Datenschutzes können Organisationen und Unternehmen vor heikle rechtliche Fragen und praktische Probleme stellen?
Die Sensibilität im Bereich des Umgangs mit persönlichen Daten steigt. So kann es durchaus vorkommen, dass eine Datenbearbeitung nach revDSG korrekt und legal erfolgt, von den betroffenen Personen aber dennoch negativ, beispielsweise als ethisch verwerflich, empfunden wird. Dies kann grosse Reputationsschäden verursachen.
Das revDSG kommt dann zur Anwendung, wenn sogenannte Personendaten bearbeitet werden. Welche Informationen gelten als Personendaten?
Als Personendaten gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, also insbesondere der Name, die E-Mail-Adresse oder ähnliches.
Praktisches Beispiel: Newsletter
Ein Unternehmen bietet auf der eigenen Website via Formular das Abonnieren eines Newsletters an. Es möchte die erhaltenen Personendaten auch für andere Werbezwecke verwenden:
- Was gilt es beim Versand des Newsletters zu beachten?
- Was bei der Werbung?
Beim Newsletter-Versand zu Werbezwecken ergeben sich die rechtlichen Rahmenbedingungen nicht nur aus dem (neuen) Datenschutzgesetz, sondern primär aus dem Bundesgesetz gegen unlauteren Wettbewerb (UWG): Danach braucht es grundsätzlich eine Einwilligung der Kundinnen und Kunden, die Angabe des korrekten Absenders und eine problemlose und kostenlose Ablehnungsmöglichkeit. Auf eine Einwilligung kann nur verzichten, wer beim Verkauf von Waren, Werken oder Leistungen Kontaktinformationen von Kundinnen und Kunden erhält und dabei auf die Ablehnungsmöglichkeit für den Newsletter-Versand für eigene ähnliche Waren, Werke oder Leistungen hinweist.
Aus datenschutzrechtlicher Sicht sind die betroffenen Personen über jede Bearbeitung ihrer Daten transparent zu informieren. Das heisst, dass im Rahmen der Einholung der (UWG-rechtlich notwendigen) Einwilligung insbesondere Angaben über den Newsletter (Inhalt und Häufigkeit, Erfolgs- und Reichweitenmessung etc.) zu machen sind. Für eine umfassende Information wird sinnvollerweise auf eine aktuelle und vollständige Datenschutzerklärung verwiesen, welche auch die notwendigen Informationen zum Newsletterversand enthält.
Falls mit dem Newsletter Tracking betrieben wird, sind weitere Informationen, wie die Funktionsweise (Tracking Pixel, Tracking Link), anzugeben. Je nach Ausgestaltung ergeben sich aus deren Verwendung weitere datenschutzrechtliche Anforderungen (z.B. bei einem allfälligen Datentransfer an Dritte oder ins Ausland).
Beim Outsourcing und Daten-Export (z.B. an die Dienstleister für den Mail-Versand) müssen Auftragsdatenbearbeitungs-Verträge (DPA) abgeschlossen werden.
Befinden sich die Dienstleister für den Mail-Versand oder deren Server im Ausland, liegt ein Datentransfer ins Ausland vor, für welchen besondere Vorgaben einzuhalten sind. Insbesondere ist zu prüfen, welches Datenschutzniveau im Zielland besteht.
Was passiert bei einer Verletzung des revDSG?
Im Falle eines Verstosses gegen das neue Gesetz drohen Sanktionen in Form von Bussgeldern bis CHF 250‘000. Im Gegensatz zur DSGVO richten sich die Sanktionen unter dem revDSG nicht gegen das fehlbare Unternehmen, sondern gegen die für die Einhaltung des Datenschutzes verantwortliche natürliche Person (zum Beispiel Datenschutzverantwortliche:r, Geschäftsleiter:in oder Verwaltungsrat / Verwaltungsrätin). Es wird (eventual-)vorsätzliches Verhalten bestraft (Art. 60 ff. revDSG).
Welche fünf Tipps geben Sie unseren Leser:innen zum revDSG mit?
Es bleibt nicht mehr allzu viel Zeit. Es sollte ein pragmatischer Aktionsplan erstellt werden, der die folgenden Prinzipien enthält:
- Eine Bestandsaufnahme ist zentral, um zu wissen, wo welche Aufgaben anstehen. Dazu dient auch die Erstellung eines Verzeichnisses mit den Datenbearbeitungen, die vorgenommen werden. Je grösser das Volumen der von einem Unternehmen bearbeiteten Personendaten und/oder je sensibler die die Personendaten sind, desto höher sind die Anforderungen an die Datenschutz-Compliance.
- Das Bewusstsein und die Sensibilität in Zusammenhang mit Datenbearbeitungen muss bei allen im Unternehmen geweckt werden.
- Die Erstellung bzw. Aktualisierung von Datenschutzerklärungen ist unerlässlich, um den neuen Transparenz- und Informationspflichten nachzukommen.
- Unternehmen müssen sicherstellen, dass die Sicherheit ihrer IT-Systeme und Software-Anwendungen den Vorgaben des neuen Gesetzes entspricht.
- Bis zum Inkrafttreten des neuen Gesetzes sollten Unternehmen ihre Verträge mit Kund:innen, Lieferant:innen und Dienstleistenden sowie Arbeitnehmenden mit Blick auf die Neuerungen überprüfen und gegebenenfalls anpassen.
Zur Person
Cornelia Stengel ist Rechtsanwältin für Finanzmarkt- und Datenschutzrecht und Partnerin bei Kellerhals Carrard. Sie berät Innovationsprojekte in Zusammenhang mit Digitalisierung, FinTech, Blockchain/DLT oder Datenpolitik.
Ihr Know-how teilt sie als Gastprofessorin und Leiterin des interdisziplinären #FinTank an der FHNW sowie Dozentin an verschiedenen Hochschulen, aber auch als Expertin der Bundesverwaltung und als ständiger Gast der Fachkommission Digitalisierung der Schweizerischen Bankiervereinigung.
Foto von Pexels, Pixabay
Weiterführende Informationen:
- DSGVO what?! Was hat der EU-Datenschutz mit uns zu tun?
- Liest da jemand mit? Fünf Mobile Messenger im Sicherheits-Check