Neues Datenschutzgesetz – Welche rechtlichen Aspekte Unternehmen unbedingt beachten sollten

Was ist das DSG?

Nach etwas über 30 Jahren in seiner ursprünglichen Form gilt seit 1. September das revidierte Schweizer Datenschutzgesetz (revDSG oder nDSG). Es bildet die digitale Realität von heute ab, indem es den Datenschutz natürlicher Personen stärkt und sich der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) annähert.  

Unternehmen haben nun diverse neue Pflichten. Zum Beispiel: 

• Unternehmen müssen neu begründen, warum sie Informationen über ihre Kunden sammeln, und offenlegen, welchen Dritten sie diese Informationen zugänglich machen. 
• Natürliche Personen haben neu das Recht zu wissen, wie lange ihre Daten gespeichert und für welche Zwecke sie verwendet werden.  
• Unternehmen müssen fehlerhafte Daten auf Verlangen berichtigen, selbst wenn die betroffene Person keine Gründe angibt. 

Wie gehe ich also rechtlich auf Nummer sicher?  

Genau dazu haben wir vier auf Datenschutz spezialisierte Rechtsexperten befragt. Clara-Ann Gordon, Partnerin bei Niederer Kraft Frey AG, Alexander Hofmann, Senior Advisor bei Laux Lawyers AG, Roland Mathys, Partner bei Schellenberg Wittmer Ltd., und Cornelia Stengel, Partnerin bei Kellerhals Carrard, geben uns einen Überblick und empfehlen konkrete Massnahmen. 

Welches ist allgemein die grösste Auswirkung des neuen Datenschutzgesetzes (nDSG) auf Unternehmen? 

Das neue Datenschutzgesetz will die Eigenverantwortung der Datenbearbeiter fördern – Es sieht neue Bussen vor – Es erfordert aktives Handeln, etwa in Form von Dokumentierung  

Cornelia Stengel:

Die zentrale Idee des nDSG ist es, die Transparenz für betroffene Personen zu erhöhen und damit deren Rechte in Bezug auf die eigenen Daten zu stärken («informationelle Selbstbestimmung»). Weiter soll das nDSG die Prävention und die Eigenverantwortung der Datenbearbeiter fördern. Für Unternehmen bedeutet das vor allem neue Pflichten, insbesondere bei der Erhebung, dem Verlust oder dem Missbrauch von Personendaten.  

Clara-Ann Gordon:

Das nDSG will unter anderem einen ähnlichen Schutzstandard wie die DSGVO erreichen. Unternehmen, die 2018 die Bestimmungen der DSGVO nicht implementiert haben, sind deshalb mit einer grösseren Aufgabe konfrontiert. Ferner drohen neu persönliche Bussen für die Verletzung des nDSG. Daher dürften Management und VR von Unternehmen der Einhaltung des nDSG mehr Aufmerksamkeit schenken. 

Alexander Hofmann:

Zweifellos haben DSGVO, Digitalisierung und Cyberkriminalität das Bewusstsein für die Themen Datenschutz und -sicherheit geschärft. Mit der Revision des DSG ist vieles, was bereits bislang der guten Praxis entsprach, neu für alle Pflicht. Zusätzlich enthält das nDSG neue Pflichten, die Unternehmen nicht mehr allein durch «gutes Benehmen» erfüllen können, sondern die ein aktives Handeln, meist in Form von Dokumentierung, erfordern.  

Welche Änderungen sind insbesondere aus rechtlicher Sicht zu beachten? 

Unternehmen müssen sich einen Überblick über die bearbeiteten Daten verschaffen – Beim nDSG geht es um Verstehen, Kontrolle und Transparenz – Es führt neue Aspekte ein wie Extraterritorialität, erweiterte Informationspflichten, Meldung von Datensicherheitsverletzungen und strengere Sanktionen 

Roland Mathys:

Dokumentierung ist auch hier das Stichwort. Wer bis jetzt die EU-DSGVO nicht umgesetzt hat, wird sich unter anderem dem Fact Finding widmen müssen: Welche Daten bearbeiten wir? Welche Datenflüsse finden statt? Wie sind wir dokumentiert? 

Alexander Hofmann:

Es geht beim DSG primär um Verstehen (wer kontrollieren will, muss sich und seine Umgebung verstehen), Kontrolle (Personendaten gegen Zugriff durch unberechtigte schützen) und Transparenz (sag, was du tust, und tu, was du sagst).  

Clara-Ann Gordon:

Zusätzlich sind insbesondere die folgenden Aspekte neu: 

Extraterritorialität: Das nDSG ist nun auch auf Unternehmen mit Sitz im Ausland anwendbar, wenn sie Personendaten bearbeiten und diese Datenbearbeitung sich auf die Schweiz auswirkt. Das heisst: Alle Gruppengesellschaften eines Unternehmens, die Personendaten aus der Schweiz bearbeiten, sind dem nDSG unterstellt. 

Erweiterte Informationspflichten: Bei der Weitergabe von Daten ins Ausland sind zwingend die Staaten im Ausland in der Datenschutzerklärung anzugeben. Dies betrifft nicht nur Drittländer, sondern alle Länder ausserhalb der Schweiz. Ferner müssen die Garantien für einen angemessenen Datenschutz (z.B. die EU-Standardvertragsklauseln) oder die Ausnahme, wenn keine solchen Garantien gegeben sind, angegeben werden.

Meldung von Datenschutzverletzungen: Verletzungen der Datensicherheit (z.B. Datenverlust), die zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen können, sind unverzüglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und gegebenenfalls der betroffenen Person zu melden. 

Strengere Sanktionen: Das nDSG sieht strafrechtliche Sanktionen in Form einer Busse von bis zu CHF 250'000 vor. Zudem kann der EDÖB eine Administrativuntersuchung eröffnen und Verfügungen erlassen. Die strafrechtlichen Sanktionen richten sich vor allem gegen die Verantwortlichen (gemäss der Botschaft ist dies die Leitperson) und nicht gegen die ausführenden Mitarbeitenden. Sanktionen werden bei den folgenden Delikten verhängt, wenn sie vorsätzlich oder grobfahrlässig begangen werden: 

1. Verletzung der Datenschutzhinweispflicht: insbesondere Nichtnennung des Landes im Ausland, in das die personenbezogenen Daten exportiert werden 
2. Verletzung des Auskunftsrechts 
3. Verstoss gegen die Pflicht zur Gewährleistung einer ausreichenden Datensicherheit 
4. Verletzung der Pflicht zur Umsetzung von Auftragsdatenbearbeitungsverträgen (ADV) über die Beziehungen zwischen dem Verantwortlichen und dem Beauftragten in Übereinstimmung mit dem nDSG und   
5. Verletzung der Meldepflicht an den EDÖB bei Datenexporten 

Welche Branchen sind besonders vom nDSG betroffen? 

Jedes Unternehmen muss auf das nDSG einhalten – Branchen, die sensitive Daten verarbeiten, und datenintensive Branchen sind besonders betroffen – Im B2B-Bereich tätige und nicht regulierte Unternehmen haben den grössten Nachholbedarf 

Cornelia Stengel:

Jedes Unternehmen ungeachtet der Branche muss sich das neue Gesetz einhalten. Es lässt sich indes sagen: Je grösser das Volumen der von einem Unternehmen bearbeiteten Personendaten und/oder je sensibler die Personendaten, desto höher sind die Anforderungen an die Datenschutz-Compliance. 

Roland Mathys:

Neben den Branchen, die sensitive Daten verarbeiten wie das Gesundheitswesen, sind Unternehmen in datenintensiven Branchen stärker betroffen, etwa Hyperscaler oder grosse Plattformen. Generell glaube ich, dass KMU stärker betroffen sind als Grossunternehmen, weil sie bisher viel weniger unternommen haben (z.B. DSGVO) und nicht über die gleichen Ressourcen verfügen. 

Clara-Ann Gordon:

Meiner Erfahrung nach haben Unternehmen, die im B2B-Bereich tätig und nicht reguliert sind, am meisten Nachholbedarf und müssen daher jetzt einen grösseren Aufwand für die nDSG-Compliance betreiben. 

Wie sieht es in den Branchen aus, in denen Sie direkt Klienten betreuen? 

In regulierten Bereichen sind neben dem nDSG branchenspezifische Vorgaben einzuhalten – Im Bankwesen zum Beispiel das Bankkundengeheimnis – Auch Berufe mit Geheimnisschutz wie Arzt oder Anwalt sind zusätzlich reguliert  

Clara-Ann Gordon:

Mein Team und ich betreuen Klienten in diversen regulierten Bereichen wie dem Bank- oder Versicherungswesen sowie dem Gesundheits-/Pharma-, Telekom- und Energiesektor. Dort sind neben den Bestimmungen des nDSG zusätzlich branchenspezifische Vorgaben einzuhalten.  

Cornelia Stengel:

Im Bankwesen ist hier insbesondere das Bankkundengeheimnis zu nennen, und Versicherungen bearbeiten häufig auch besonders sensible und schützenswerte Personendaten. Dazu kommen aufsichtsrechtliche Rahmenbedingungen der Finanzmarktregulierung und von (Aufsichts-)Behörden.  

Alexander Hofmann:

Auch wir sind in Branchen tätig, die bezüglich der bearbeiteten Informationen über das allgemeine Datenschutzrecht hinaus reguliert sind, z.B. Berufe mit Geheimnisschutz, die dem Bankkunden-, Arzt-, Anwalts- oder Amtsgeheimnis unterstehen. Auch IT-Unternehmen (IT-Hosting, Public Cloud, SaaS), die in grossem Umfang Daten von Dritten speichern, bearbeiten oder absichern, beraten wir in sämtlichen Fragen des Daten- und Informationsrechts. 

Wie wirkt sich das revidierte Datenschutzgesetz auf bestimmte Funktionen innerhalb eines Unternehmens aus? 

Datenschutz ist «Chefsache»  

Alexander Hofmann:

Grundsätzlich haben Datenschutz und Datensicherheit die Aufmerksamkeit der Geschäftsleitung verdient. Daher sollte das Thema zur «Chefsache» erklärt und von dort aus organisiert werden.   

Wer insbesondere im Unternehmen sollte welche zusätzliche Verantwortung übernehmen? 

Unternehmen müssen z.B. in der Kommunikation, der IT, im Einkauf und Rechtsdienst neue Verantwortlichkeiten definieren – Die erweiterte Verantwortung ist u.a. wegen neuer Konzepte wie Privacy by Design nötig und kann eine strafrechtliche Dimension annehmen

Alexander Hofmann:

Um die neuen Pflichten umzusetzen und laufend zu kontrollieren, muss ein Unternehmen in verschiedenen Bereichen neue Verantwortlichkeiten definieren:

• in der Unternehmenskommunikation für die Pflege der Datenschutzerklärung, die Betreuung der Website oder Marketingkommunikation   
• in der IT für die Sicherstellung der Datensicherheit oder die Kontrolle der Datenflüsse beim Einsatz von fremdgehosteten Systemen   
• im Einkauf für die Verträge mit Dienstleistern oder Auslandtransfers und  
• im Rechtsdienst für die Prüfung von Anfragen Betroffener oder die Meldung von Datenschutzverletzungen  

Clara-Ann Gordon:

Bei unseren Klienten sehen wir, dass diese ihre Verantwortlichkeiten bedingt durch die Einführung von persönlichen Bussen entweder ganz neu oder detaillierter ordnen.  

Roland Mathys:

Dafür, dass die Fachbereiche mehr Verantwortung übernehmen müssen, sorgen insbesondere zahlreiche neue Instrumente und Konzepte des DSG wie Privacy by Design/Default oder die Datenschutz-Folgenabschätzungen. Diese Verantwortung kann eine strafrechtliche Dimension annehmen, da unter dem nDSG zahlreiche weitere Verstösse sanktioniert werden können. Dabei handelt es sich anders als bei der DSGVO nicht um Verwaltungssanktionen gegen das Unternehmen, sondern um Strafsanktionen gegen die für das Unternehmen handelnden Personen (z.B. Datenschutzbeauftragter, Compliance Officer, CISO). 

Braucht es in Unternehmen folglich neue Rollen? 

Die formelle Bestellung eines Data Protection Officer lohnt sich für die wenigsten Unternehmen – Es ist eine Tendenz zu beobachten, den Datenschutz firmenweit auszurollen, d.h. über Legal/Compliance hinaus – Möglich ist auch eine Auslagerung an eine Anwaltskanzlei oder einen DPO-as-a-Service. 

Cornelia Stengel: 

Nehmen wir als Beispiel das Compliance- und IT-Team: Damit es auf Betroffenenanfragen (z.B. Auskunfts- oder Löschbegehren eines Kunden) oder auf eine Verletzung der Datensicherheit («Datenpannen»), bei denen Personendaten beispielsweise verloren gehen, gestohlen oder vernichtet werden, gesetzeskonform reagieren kann, sollten klare interne Prozesse und Verantwortlichkeiten festgelegt werden – einschliesslich der notwendigen Ressourcen. Dasselbe gilt für die IT-Sicherheit, um Cyberattacken, Datendiebstahl und anderweitigen Datenverlust zu verhindern. 

Alexander Hofmann:

Die formelle Bestellung eines sogenannten Datenschutzberaters oder Data Protection Officer (landläufig «DPO») lohnt sich für die wenigsten Unternehmen. Trotzdem gehe ich davon aus, dass viele intern eine verantwortliche Rolle für das Thema Datenschutz und -sicherheit schaffen. Diese kann in der IT angesiedelt sein oder bei grösseren Unternehmen mit eigenen Rechts- oder Compliance-Abteilungen auch dort. Zahlreiche Unternehmen werden diese Aufgaben auch auslagern, sei es an eine Anwaltskanzlei oder einen spezialisierten Dienst (DPO-as-a-Service). 

Roland Mathys:

Bei den Unternehmen, die wir beraten, stelle ich eine Tendenz fest, den Datenschutz nicht nur bei Legal/Compliance zu verorten, sondern unternehmensweit auszurollen, z.B. durch «Privacy Champions» in den einzelnen Fachabteilungen. Daneben werden aber auch vermehrt interne Datenschutzbeauftragte ernannt. 

Weshalb ist die Einhaltung der neuen Bestimmungen wichtig für die Wettbewerbsfähigkeit eines Unternehmens? 

Nimmt ein Unternehmen den Datenschutz nicht ernst, riskiert es Vertrauensverlust und Reputationsschäden – Ein solcher ist auch möglich, wenn eine Person eine korrekte Datenbearbeitung als ethisch verwerflich empfindet – Kunden und Investoren werden vermehrt ein Auge auf den Datenschutz haben 

Roland Mathys: 

Datenschutzkonformität ist heute ein Gütesiegel, mit dem sich Unternehmen auszeichnen. Das zeigt sich u.a. an der zunehmenden Bedeutung von Zertifizierungen wie ISO 27001 oder dem Digital Trust Label der Swiss Digital Initiative. Wenn ein Unternehmen den Datenschutz nicht ernst nimmt, riskiert es in der Schweiz auch unter dem neuen Recht nicht primär finanzielle Einbussen, sondern Vertrauensverlust und Reputationsschäden, was viel gravierender ist (z.B. meineimpfungen.ch). 

Cornelia Stengel:

Selbst eine Datenbearbeitung, die nach nDSG korrekt und legal erfolgt, kann von den betroffenen Personen negativ, beispielsweise als ethisch verwerflich, empfunden werden und grosse Reputationsschäden verursachen. Man spricht in diesem Zusammenhang oft vom «gefühlten» Datenschutz.   

Alexander Hofmann:

Privat- oder Unternehmenskunden in datenintensiveren oder Bereichen mit heiklen Personendaten (z.B. Gesundheitswesen) haben gewiss vermehrt ein Auge auf die Einhaltung von Datenschutzbestimmungen.  

Ich gehe zudem davon aus, dass auch Investoren bei Unternehmensfinanzierungen und -übernahmen (insbesondere auch Start-ups) in der Due Diligence verstärkt darauf achten, wie robust das Geschäftsmodell bzgl. Datenschutz ist. Dabei denke ich z.B. an Privacy by Design bei digitalen Services, die allgemeine Datenschutz-Compliance des Unternehmens und die Datensicherheitsarchitektur von technischen Lösungen. 

Welches ist die wichtigste Massnahme, die ein Unternehmen aufgrund des neuen Gesetzes ergreifen sollte? 

Ein Bearbeitungsverzeichnis bietet einen Überblick über die im Unternehmen bearbeiteten Daten – Ein solches ist auch für KMU wertvoll – Der Fünf-Punkte-Plan zur Vorbereitung 

Roland Mathys:

Verschaffen Sie sich einen Überblick, welche Daten im Unternehmen überhaupt bearbeitet werden, am besten mit einem sogenannten Bearbeitungsverzeichnis. Dieses bildet das Fundament für alle weiteren Schritte wie Gap-Analysen, Priorisierungen und schliesslich konkrete Handlungsempfehlungen zur Schliessung der Gaps. 

Alexander Hofmann:

Ein Bearbeitungsverzeichnis ist auch für KMU sehr wertvoll, obwohl sie aufgrund der sogenannten KMU-Ausnahme nicht verpflichtet sind, gemäss Art. 12 nDSG ein solches zu führen. Einen hilfreichen Leitfaden in 7 Schritten für KMU gibt es unter https://dp-services.ch/umsetzung/.    

Cornelia Stengel:

Einem Unternehmen jeglicher Grösse, das es ganz pragmatisch angehen will, empfiehlt sich ein Aktionsplan mit den folgenden Eckpunkten:  

1. Erstellen Sie das erwähnte Bearbeitungsverzeichnis. Je grösser das Volumen der von einem Unternehmen bearbeiteten Personendaten und/oder je sensibler die Personendaten, desto höher sind die Anforderungen an die Datenschutz-Compliance.  
2. Schärfen Sie das Bewusstsein und die Sensibilität im Zusammenhang mit der Datenbearbeitung bei allen Mitarbeitenden.  
3. Erstellen Sie eine Datenschutzerklärung bzw. aktualisieren Sie die besehende, um den neuen Transparenz- und Informationspflichten nachzukommen.  
4. Gewährleisten Sie, dass die Sicherheit Ihrer IT-Systeme und Software-Anwendungen den Vorgaben des neuen Gesetzes entspricht.  
5. Überprüfen Sie Ihre Verträge mit Kunden, Lieferanten und Dienstleistern sowie Arbeitnehmern und passen Sie sie ggf. an. 

Was geschieht, wenn ein Unternehmen am 1. September 2023 noch nicht bereit ist? 

Wer am 1. September nicht bereit ist, riskiert, das neue DSG zu verletzen, einschliesslich Bussen von bis CHF 250'000 – Die Bussen richten sich gegen die verantwortliche natürliche Person 

Roland Mathys:

Das neue Gesetz ist am 1. September ohne Übergangsfrist in Kraft getreten. Ein Unternehmen riskiert also seit dem 1. September, das neue DSG zu verletzen, namentlich auch die mit Busse bis CHF 250'000 sanktionierten Verstösse. Der EDÖB hat sich informell zwar dahingehend geäussert, dass er nicht gleich ab Tag 1 Strafanzeigen einreichen werde, sondern zunächst aufklärend und beraten wirken werde. Unangenehm wird es für ein Unternehmen aber vor allem dann, wenn es kurz nach dem 1. September z.B. Opfer eines Cybervorfalls wird und sich bei der Aufarbeitung und bei der Notifikation des EDÖB herausstellt, dass beim Datenschutz grössere Defizite bestehen. 

Cornelia Stengel:

Im Gegensatz zur EU-DSGVO richten sich die Sanktionen in Form von Bussgeldern bis CHF 250'000 gemäss nDSG nicht gegen das fehlbare Unternehmen, sondern gegen die natürliche Person (z.B. Datenschutzverantwortliche/r, Geschäftsführer/in oder Verwaltungsrat/rätin), die für die Einhaltung des Datenschutzes verantwortlich ist. Es wird (eventual-)vorsätzliches Verhalten bestraft.   

Welche rechtlichen Folgen riskiert ein Unternehmen, wenn es die Bestimmungen des nDSG nicht einhält? 

Zivilrechtliche Folgen, wenn von einer Datenschutzverletzung betroffene Personen Ansprüche erheben – Verwaltungsrechtliche Folgen in Form von Anordnungen durch den EDÖB – Strafrechtliche Sanktionen, z.B. bei falscher oder unvollständiger Auskunft 

Clara-Ann Gordon:

Neben der strafrechtlichen Busse sind auch verwaltungs- und zivilrechtliche Verfahren möglich, z.B. eine Klage durch eine betroffene Person gegen das Unternehmen.   

Roland Mathys:

Zivilrechtliche Folgen riskiert ein Unternehmen, wenn die von einer Datenschutzverletzung betroffenen Personen Ansprüche (z.B. auf Korrektur, Löschung oder Schadenersatz) erheben. Weiter kann der EDÖB verwaltungsrechtlich tätig werden und Anordnungen treffen, deren Nichteinhaltung sanktioniert werden kann. Schliesslich sind einzelne Tatbestände strafrechtlich sanktioniert, etwa die Erteilung einer falschen oder unvollständigen Auskunft, eine ungenügende Datenschutzerklärung oder die Verletzung von Mindestanforderungen an die Datensicherheit.  

Wie ist das Risiko für den Ruf einzuschätzen? 

Mit angemessener Datensicherheit lässt sich einem Reputationsschaden vorbeugen – Kommt es infolge einer Datenschutzverletzung trotzdem dazu, trifft er Unternehmen häufig härter als die unmittelbaren rechtlichen Folgen  

Roland Mathys:

Wenn Datenschutzverletzungen publik werden, was mit dem neuen Recht (z.B. wegen der Meldepflicht von Verletzungen der Datensicherheit) öfter der Fall sein wird, drohen Vertrauensverlust und Reputationsschäden, die sich unter Umständen nur schwer wieder wettmachen lassen. Häufig trifft dies ein Unternehmen härter als die unmittelbaren rechtlichen Folgen. 

Alexander Hofmann:

Am besten beugt man einem Reputationsschaden vor, indem man für angemessene Datensicherheit sorgt. Das ist aus meiner Sicht die weitaus wichtigste Massnahme. Was mittlerweile jedem Unternehmen bewusst sein sollte: Datensicherheit sollte man sich zu Herzen nehmen. Dafür braucht es an und für sich kein Gesetz, das einen speziell dazu verpflichtet.   

Was gilt es im Hinblick auf das nDSG auf dem Radar zu behalten? 

Die Botschaft der Rechtsexperten ist glasklar: Die Einhaltung der neuen Bestimmungen ist nicht zu unterschätzen. Datenschutzkonformität ist heute ein Gütesiegel, mit dem sich Unternehmen auszeichnen. Wer das Thema nicht ernst nimmt, risikiert neben finanziellen Einbussen Vertrauensverlust und Reputationsschäden. Besonders kritisch: wenn ein Unternehmen kurz nach dem 1. September Opfer eines Cybervorfalls wird und sich bei der Aufarbeitung Datenschutzdefizite offenbaren.