Neues Datenschutzgesetz per 1. September 2023

27. juin 2023

Am 1. September 2023 tritt das revidierte Datenschutzgesetz (DSG) in Kraft. Begriffe, Verantwortungen und Aufgaben werden neu definiert. Der Aufwand zur Datenschutz-Compliance auch für Gewerbebetriebe nimmt deutlich zu.

Grössere Unternehmen und Betriebe mit EU-Bezug dürften bereits mit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) den Datenschutz entsprechend ausgebaut haben. Die Schweiz zieht nun mit dem DSG nach. Grundsätzlich gilt, dass eine bisherige Umsetzung der DSGVO nicht bedeutet, dass nun kein Anpassungsbedarf besteht.

 

Welcher Handlungsbedarf besteht (nicht abschliessend)?

  • Möglichst rasch sollten die Unternehmen eine verantwortliche Person für den Datenschutz bezeichnen. Mit anderen Worten: Es sind Zuständigkeiten zu klären – dies auch vor dem Hintergrund von Strafbestimmungen. Verstösse gegen das DSG, welche überhaupt strafrechtlich geahndet werden können, sind eng begrenzt: https://www.vischer.com/know-how/blog/wie-strafbarkeit-unter-dem-neuen-datenschutzgesetz-vermieden-wird/
  • Unverändert geblieben sind die datenschutzrechtlichen Grundsätze: Rechtmässigkeit einer Datenerhebung, Treu und Glauben, Erkennbarkeit der Beschaffung und des Zwecks, Zweckbindung, Verhältnismässigkeit, Richtigkeit der Daten und Datensicherheit. Gerade im arbeitsrechtlichen Kontext ist zu berücksichtigen, dass der Arbeitgeber nur Daten über Kandidatinnen und Kandidaten bzw. Mitarbeitende bearbeiten darf, die für deren Eignung oder die Durchführung des Arbeitsverhältnisses (z.B. Abrechnung mit der Ausgleichskasse) zwingend erforderlich sind. Anders ausgedrückt: Je sensibler die Daten im Hinblick auf die Verletzung der Persönlichkeit der betroffenen Person sind, desto mehr Vorkehrungen müssen getroffen werden, damit es nicht zur Verletzung kommt.
  • Zu den neuen Pflichten zählt u.a. die Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten, des sogenannten Dateninventars. Im Unternehmen muss – einfach ausgedrückt – ermittelt werden, wer welche Daten zu welchem Zweck verarbeitet. Wichtig: Unternehmen mit weniger als 250 Mitarbeitenden sind von diesem aufwändigen Prozess befreit, wenn sie nicht besonders schützenswerten Personaldaten in grossem Umfange bearbeiten. Dies dürfte bei unseren Verbandsmitgliedern nicht der Fall sein. Somit erübrigt sich eine Datenschutz-Folgenabschätzung. Stellt somit die Unternehmung fest, dass keine heiklen Daten bearbeitet werden, sollte dieser Umstand trotzdem dokumentiert werden.
  • Weiter besteht eine Meldepflicht bei Verletzung der Datensicherheit (z.B. Offenlegung für Unbefugte, Datenverlust, Cyberangriff etc.). Die für den Datenschutz verantwortliche Person im Betrieb muss dem Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) «so rasch als möglich» (im Sinn zeitnah) entsprechend Meldung erstatten. Eine Meldung ist etwa erforderlich, wenn unverschlüsselte Mitarbeiterdaten (Personaldossier mit Qualifikationen und Lohnangaben) verloren gehen.

 

Wo erhalte ich Informationen und Vorlagen?