Datenschutzberater nach Schweizer DSG

Mit dem revDSG wird das Datenschutzrecht in der Schweiz auf veränderte Verhältnisse angepasst. Gleichzeitig soll das revisionierte Gesetz den Anforderungen der Datenschutz-Grundverordnung (DSG) angeglichen werden damit die Schweiz weiterhin von der EU als Drittstaat mit angemessenem Datenschutzniveau anerkannt wird und der freie grenzüberschreitende Datentransfer auch künftig möglich bleibt.

Schweizer Unternehmen müssen sich jetzt vorbereiten. Unmittelbar bei Inkrafttreten sind Unternehmen zur Einhaltung der gesetzlichen Bestimmungen aufgefordert. Mit dem revDSG und der DSG wird Datenschutz für Schweizer Unternehmen zum Compliance-Faktor. Bei Nicht-Einhaltung der Datenschutzvorgaben drohen finanzielle Risiken durch Schadensersatzforderungen von Betroffenen und Bussgelder der Aufsichtsbehörden. Zur Vermeidung von unrechtmässigem Unternehmenshandeln und der Reduktion von Haftungsrisiken sind angemessene Compliance-Massnahmen zu entwerfen und an der Risikolage des Unternehmens auszurichten. Die OBSECOM GmbH unterstützt als Datenschutzberater Schweiz bei der Einhaltung von Compliance-Pflichten.

Wann tritt das revDSG in Kraft?

Das Schweizer Parlament nahm das revDSG am 25. September 2020 an. Damit das neue Gesetz in Kraft treten kann, müssen Bestimmungen auf Verordnungsebene vom Bundesrat konkretisiert werden. Die Vernehmlassung dazu endete am 14. Oktober 2021. Laut Ankündigungen des Bundesrates tritt das revDSG zum 01. September 2023 in Kraft.

Welche wichtigen Neuerungen müssen Unternehmen beachten?

Art. 9 revDSG – Vertragliche Regelungen bei Bearbeitung durch Auftragsbearbeiter
Bei Bearbeitung von Personendaten durch Auftragsbearbeiter müssen sich Unternehmen künftig vergewissern, dass Auftragsbearbeiter in der Lage sind, die Datensicherheit zu gewährleisten. Eine Auslagerung der Datenbearbeitung an Unter-Autragsbearbeiter bedarf künftig der Genehmigung des Unternehmens. Datenbearbeitung sollte auf Grundlage vertraglicher Vereinbarungen mit den Auftragsbearbeitern geregelt werden.

Art. 19 ff revDSG –Neue Informationspflichten bei Beschaffung von Personendaten
Unternehmen müssen Betroffene bei der Beschaffung von Personendaten angemessen über die Bearbeitungszwecke, automatisierte Entscheidungsfindung sowie Bekanntgaben ins Ausland per Datenschutzerklärung informieren. Werden Personendaten bei Dritten erhoben, so sind Betroffene binnen eines Monats über die Datenbeschaffung zu informieren. Unternehmen müssen relevante Bearbeitungstätigkeiten identifizieren und geeignete Datenschutzerklärungen erstellen.

Art. 25 ff revDSG – Stärkung der Betroffenenrechte
Unternehmen sollten Prozesse implementieren, um Betroffenen innerhalb von 30 Tagen auf Antrag Auskunft über Datenbearbeitung erteilen zu können. Weiterhin müssen unrichtige Personendaten ggf. berichtigt, nicht mehr benötigte Daten gelöscht sowie automatisiert bearbeitete Personendaten herausgegeben oder auf Wunsch übertragen werden.

Art. 24 revDSG – Meldungen von Verletzungen der Datensicherheit
Künftig haben Unternehmen bei Verletzungen der Datensicherheit dem Eidgenössischen Datenschutzberater (EDÖB) so rasch als möglich Meldung zu erstatten, sofern die Verletzung zu einem hohen Risiko für die Betroffenen führt. Unternehmen sollen Prozesse implementieren, mit denen Datenschutzverletzungen erkannt und Meldepflichten bewertet werden können.

Art. 60 f revDSG – Bussen bei Verletzung von Rechtspflichten
Bei vorsätzlicher Verletzung der Sorgfalts-, Informations-, Auskunfts- und Mitwirkungspflichten können private Personen mit Busse, bis CHF 250’000 bestraft werden. Bussgelder sind nicht allgemein gegen das Unternehmen gerichtet. Das revDSG sieht vielmehr eine direkte Sanktion der Verantwortlichen vor (z.B. CEO, CIO oder andere Funktionsträger).

Art. 10 revDSG – Datenschutzberater Schweiz
Unternehmen können einen Datenschutzberater benennen, der sie bei der Umsetzung und Einhaltung der Datenschutzvorschriften berät. Der Datenschutzberater ist Anlaufstelle für Betroffene und Datenschutzbehörden. Ist ein Datenschutzberater benannt, kann das Unternehmen ggf. von Erleichterungen bei bestimmten Meldepflichten profitieren.

Welche Compliance-Anforderungen können strafrechtliche Folgen haben?

Die vorsätzliche Missachtung dieser neuen Datenschutz-Pflichten kann künftig strafrechtlich mit einer Busse von bis zu CHF 250’000 sanktioniert werden. Bussgelder sind nicht allgemein gegen das Unternehmen gerichtet. Das revDSG sieht vielmehr eine direkte Sanktion der Verantwortlichen vor (z.B. CEO, CIO oder andere Funktionsträger):

• Einhalten der Mindestanforderungen an die Datensicherheit. Unternehmen haben geeignete technische und organisatorische Massnahmen zum Datenschutz zu ergreifen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) darf relevante Unterlagen bei Untersuchungen von Verstössen gegen Datenschutzvorschriften einsehen.
• Die Auslagerung von Datenbearbeitung an Auftragsbearbeiter ist vertraglich zu regeln. Unternehmen müssen sich vergewissern, dass Autragsbearbeiter in der Lage sind, die Datensicherheit zu gewährleisten.
• Die Bekanntgabe von Personendaten ins Ausland darf nur bei Einhaltung geeigneter Datenschutzgarantien erfolgen.
• Betroffene müssen grundsätzlich bei Beschaffung von Personendaten und automatisierter Entscheidungsfindung angemessen informiert werden.
• Unternehmen haben auf Anfrage Betroffener Auskunft über die Bearbeitung deren Daten zu erteilen.

Welche Datenschutz-Prozesse sollten Unternehmen umsetzen?

Unternehmen sind im Rahmen ihrer Compliance-Pflichten aufgefordert, geeignete Datenschutz-Prozesse zu entwerfen. Dazu gehören:

• Vorkehrungen zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen schaffen.
• Datenschutz in die Erstellung neuer Geschäftsprozesse einbeziehen und angemessen dokumentieren, um Bearbeitungsverzeichnisse, Betroffeneninformationen und Auskunftspflichten erfüllen zu können.
• Festlegen von Verantwortlichkeiten, Sensibilisierung der Mitarbeitenden.
• Monitoring, Klassifizierung und Priorisierung der Compliance-Massnahmen.

Unternehmensgruppen mit einer internationalen Ausrichtung haben vergleichbare Datenschutzanforderungen für verbundene Gesellschaften innerhalb der EU und Übersee zu beachten. Dabei sollte die Datenschutz-Organisation in der Gruppe möglichst harmonisiert werden.

Wie können Datenschutzberater bei Datenschutz-Compliance unterstützen?

Die Benennung eines Datenschutzberaters ist nach dem revDSG optional, hat jedoch Vorteile für Unternehmen mit komplexen Compliance-Anforderungen. Der Datenschutzberater ist Anlaufstelle für Betroffene und Datenschutzbehörden. Er arbeitet mit dem Compliance-Team des Unternehmens zusammen, berät in Fragen des Datenschutzes und sorgt dafür, dass Datenschutz als Anforderung bei allen Compliance Massnahmen mitgedacht wird. Er prüft die Bearbeitung von Personendaten und empfiehlt Korrekturmassnahmen. Ist bei risikoreichen Datenbearbeitungen eine Datenschutz-Folgenabschätzung auszuführen, so kann der Verantwortliche von der Konsultation des EDÖB absehen, wenn ein Datenschutzberater einbezogen wurde.

Dienstleistungen der OBSECOM GmbH für Schweizer Unternehmen

Das Team der OBSECOM GmbH berät Sie bei der Einhaltung Ihrer Vorgaben als externe Datenschutzberater Schweiz. Angefangen von der Auditierung und Anpassung sämtlicher Bearbeitungsprozesse des Unternehmens nebst Erstellung der massgeblichen Unterlagen wie z.B. Bearbeitungsverzeichnissen, über die laufende Betreuung bis zur Stellung eines Datenschutzberaters erbringen wir unsere Dienstleistungen aus einer Hand. Wir betreuen Kunden in der EU, Schweiz, USA und Asien. Unser Beratungsschwerpunkt liegt auf Unternehmen mit internationaler Ausrichtung und internationalen Datentransfers.

Unsere Stärken als externe Datenschutzberater:

• Kompetent in Schweizer Datenschutzgesetz, sowie EU- und Internationalem Datenschutzrecht.
• Persönliche Beratung mit qualifizierten Ansprechpartnern
• Beratung zur Umsetzung spezifischer Themen (z.B. Beschäftigtendatenschutz)
• Schulung und Sensibilisierung von Mitarbeitenden
• Besondere Expertise bei Bekanntgabe von Personendaten ins Ausland
• Vertretung von nicht in der Union niedergelassenen Verantwortlichen und Auftragsbearbeitern
• Konzeption und Umsetzung von Information Governance Policies und ITIL-Prozessen in Ihrer Organisation.
• Mehrsprachige Beratung in Deutsch, Französisch und Englisch.

Wir unterstützen Sie gerne – Ihr Ansprechpartner

FLORIAN WUTTKE Certified Data Protection Officer BCS/ISEB (UK) Geprüfter Datenschutzberater (GDDcert. EU) Florian Wuttke ist Ihr kompetenter Ansprechpartner für Fragen rund um das revDSG. Er ist auf Themen im Zusammenhang mit Bekanntgabe von Personendaten ins Ausland spezialisiert und verfügt über umfangreiche Erfahrung in der Legitimation internationalen Datentransfers zwischen EU, USA und anderen Nicht-EU-Ländern. Mehr über Florian Wuttke erfahren