Das revidierte Datenschutzgesetz – Rechte für Betroffene, Herausforderungen für Unternehmen

Informations- und Dokumentationspflichten

Jedes Unternehmen muss über seine Datenbearbeitungen informieren. Standard wird sein, eine ausreichende Datenschutzerklärung zu erstellen und auf der Website für jedermann einfach zugänglich zu machen. Unternehmen mit mehr als 250 Mitarbeitenden müssen zudem ein Verzeichnis über alle personenbezogenen Datenbearbeitungen führen und diese somit dokumentieren. Bevor durch ein Unternehmen Daten neu bearbeitet werden (z.B. neue Abteilung, neues Geschäftsfeld), muss zwecks Einschätzung der Datenschutzrisiken unter Umständen zuerst eine sogenannte Datenschutzfolgenabschätzung durchgeführt und ebenfalls dokumentiert werden. Diese Unterlagen müssen auf Verlangen der Aufsichtsbehörde, dem eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, vorgelegt werden können.

Auskunftspflicht

Jede betroffene Person hat das Recht, von Unternehmen zu erfahren, welche personenbezogenen Daten wie und zu welchem Zweck bearbeitet werden. Unternehmen müssen sicherstellen, dass sie Auskunftsgesuche innerhalb von 30 Tagen vollständig und kostenlos beantworten können. Die Daten müssen auf Verlangen der betroffenen Person hin berichtigt oder gelöscht werden können, vorbehältlich zwingender gesetzlicher Bestimmungen, welche die Aufbewahrung der Daten verlangen.

Datensicherheit

Datenschutz verlangt auch technische Sicherheitsmassnahmen, denn ohne Datensicherheit ist ein wirksamer Datenschutz nicht möglich. Mitarbeitende sollten im Rahmen von regelmässigen Schulungen für das Thema Datensicherheit sensibilisiert werden.

Datensparsamkeit als Grundsatz

Datensammeln « auf Vorrat» ist künftig nicht mehr zulässig. Die Unternehmen müssen sich so organisieren, dass sie jederzeit den Überblick über ihren Datenbestand haben. Sie müssen wissen, wie lange Daten bereits in den Systemen erfasst sind und wann diese zufolge Nichtgebrauchs gelöscht oder allenfalls aktualisiert werden müssen. Eine professionelle Archivierung erleichtert die erwähnte Auskunfts- und Dokumentationspflicht und kann Haftungsrisiken minimieren.

Datenschutzklauseln in Verträgen mit Dritten

Unternehmen sind für den rechtmässigen Umgang mit personenbezogenen Daten, die sie bearbeiten, verantwortlich. Dies gilt auch dann, wenn die Daten zur Bearbeitung an Dritte weitergegeben werden, z.B. an einen Treuhänder, welcher die Lohnbuchhaltung besorgt, oder bei Auslagerung von IT-Funktionen an einen Cloud-Anbieter, bei dem personenbezogene Daten extern gespeichert werden, denn bereits die externe Speicherung der Daten gilt als Datenbearbeitung. Die Auslagerung an solche Auftragsdatenbearbeiter ist grundsätzlich ohne Einwilligung der betroffenen Personen zulässig. Das verantwortliche Unternehmen hat aber durch Vertrag sowie sorgfältige Auswahl, Instruktion und Kontrolle sicherzustellen, dass der Auftragsdatenbearbeiter die Daten nur so bearbeitet, wie es auch das Unternehmen tun dürfte. Der Auftragsdatenbearbeiter muss sich an das Gesetz halten und darf nur die vertraglich definierten Datenbearbeitungen durchführen. Hält er sich nicht daran, bleibt weiterhin das verantwortliche Unternehmen haftbar. Es lohnt sich daher, Verträge mit Dritten auf ihre datenschutzrechtliche Konformität mit dem Gesetz zu prüfen.

Die Krux mit der persönlichen Strafbarkeit

Datenschutzverletzungen durch unzulässige Datenbearbeitungen stellen einerseits eine Persönlichkeitsverletzung dar, gegen welche die betroffene Person gerichtlich vorgehen kann. Andererseits kann die betroffene Person Datenschutzverletzungen auch bei der Aufsichtsbehörde oder bei den Strafverfolgungsbehörden anzeigen. Letztere können neu Bussen bis zu CHF 250‘000 verhängen. Diese Bussen sind im Vergleich zur Bussenhöhe unter der europäischen Datenschutzverordnung verhältnismässig tief, weil in der Schweiz die natürliche Person, und nicht das Unternehmen gebüsst wird. Das Unternehmen wird nur dann gebüsst, wenn die fehlbare Person nur mit unverhältnismässigem Aufwand ermittelt werden kann. Es werden also all jene Personen, welche aufgrund ihrer tatsächlichen oder faktischen Organstellung tatsächlich Einfluss im Unternehmen geltend machen können, bestraft. Dies trifft insbesondere auf den Verwaltungsrat und die Geschäftsleitung zu, könnte aber auch auf leitende Informatikverantwortliche, zutreffen.