Die Schweiz erhält ein neues Datenschutzgesetz. Es tritt am 1. September in Kraft und ist mit zahlreichen Pflichten verbunden. Damit sich Weiterbildungsanbieter auf das neue Gesetz vorbereiten können, hat der SVEB ein Online-Seminar mit einem Experten durchgeführt.
Am 1. September dieses Jahres tritt in der Schweiz das revidierte Datenschutzgesetz (DSG) in Kraft. Damit wird der Datenschutz auf das Niveau der EU angehoben. Unternehmen, die sich bereits an die europäische Datenschutzgrundverordnung (DSGVO) angepasst haben, werden nur wenige Änderungen vornehmen müssen, wie der Bund auf seinem KMU-Portal festhält. Für die anderen jedoch wird es einiges zu tun geben. Und Achtung: Das revidierte DSG gilt ohne Übergangsfrist.
Online-Seminar zu den wichtigsten Punkten
Damit sich Weiterbildungsanbieter auf das revidierte Gesetz vorbereiten können, hat der SVEB im Juni ein Online-Seminar durchgeführt, das die wichtigsten Änderungen beleuchtete, aber auch mit Irrtümern und falschen Annahmen aufräumte. Referent war der Rechtsanwalt Michael Widmer, der sich seit 15 Jahren mit Themen des Datenschutzes auseinandersetzt und unter anderem an der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) ein CAS zu Datenschutz unterrichtet.
Das revidierte DSG bereite vor allem Aufwand und bringe wenig Nutzen, heisst es landläufig. Das müsse jeder für sich entscheiden, meinte Michael Widmer. Sich jedoch rechtzeitig mit dem Thema zu beschäftigen, sei nicht falsch.
Denn die Folgen von Verletzungen von DSG-Vorschriften können teuer zu stehen kommen. Zunächst einmal gilt ab dem 1. September, dass zivilrechtliche Verfahren wegen der Verletzung von Persönlichkeitsrechten für den Kläger oder die Klägerin kostenlos sind. Die strafrechtlichen Bussen für Verletzungen von DSG-Vorschriften können indes bis zu 250‘000 Franken betragen, wobei diese Summe eher auf grosse Unternehmen abziele, beschwichtigte der Rechtsanwalt.
Dennoch kann es für Einzelne unangenehm werden, denn Täterin oder Täter sei grundsätzlich eine natürliche Person, also beispielsweise der Geschäftsführer eines Unternehmens. Zwar kann nur eine vorsätzliche Pflichtverletzung geahndet werden, aber es genüge der Eventualvorsatz, sagt Michael Widmer. Und last but not least: Die Verletzung von DSG-Vorschriften kann nicht versichert werden.
Auch «bestimmbare Personen» sind geschützt
Im neuen DSG sind nur noch die Daten natürlicher Personen betroffen. Das heisst, es geht um Angaben, die sich auf eine «bestimmte oder bestimmbare natürliche Person» beziehen. Wie Michael Widmer ausführte, kann das aber durchaus heikel sein. So können verschiedene gesammelte Daten Rückschlüsse auf eine bestimmte Person zulassen, auch wenn weder ein Name noch eine Adresse im Datensatz aufgeführt werden. Kann aufgrund von bestimmten Kombinationen von Daten auf eine Person rückgeschlossen werden, handelt es sich eben um eine bestimmbare Person, was datenschutzrelevant ist.
Sofern das eigene Unternehmen unter das revidierte DSG fällt – kantonale Behörden zum Beispiel sind ausgenommen – ist zunächst einmal eine Datenschutzerklärung erforderlich, wie Michael Widmer festhält. Ausformuliert heisst das: Es besteht eine Auskunftspflicht darüber, welche Informationen man bearbeitet. Man könne dies auch mündlich mitteilen, so Widmer. Allerdings ist in einem Streitfall der Beweis eher schwierig zu erbringen, dass man der Informationspflicht nachgekommen ist. Die Regel sollte deshalb eine Datenschutzerklärung zum Beispiel auf der Webseite sein.
Gängige Irrtümer
Zu den Irrtümern in Bezug auf das revidiert DSG gehöre die Annahme, dass die Bearbeitung von Personendaten nur mit Einwilligung der betroffenen Person zulässig sei. Hier bestehe auch ein Unterschied zur EU. In der Schweiz dürfe man grundsätzlich Personendaten bearbeiten, wobei man sich aber an gewisse Grundsätze halten müsse.
Auch die Annahme, dass für den Versand eines Newsletters immer eine Einwilligung erforderlich sei, sei teilweise falsch, betonte Widmer. Verschicke man einen Newsletter an jemanden, mit dem man bereits eine geschäftliche Beziehung unterhalte, sei keine Einwilligung nötig. Etwas anderes sei es, wenn man irgendeine Adresse – zum Beispiel die auf einer Visitenkarte, die einem zugesteckt wurde – verwende. Dann sei eine Einwilligung nötig. Allerdings kommt es auch darauf an, welcher Dienst zum Versenden der Newsletter benutzt wird. Benutzt man beispielsweise das amerikanische Programm Mailchimp, werden Daten ins sogenannte unsichere Ausland weitergegeben, was – wie unten weiter ausgeführt wird – einiges verkompliziert.
Auch die Pflicht zur Benennung einer Datenschutzberaterin oder eines -Beraters gehöre in die Welt der Gerüchte, so Widmer. Dennoch sei es sinnvoll, intern eine Person zu bestimmen, die sich um das Thema kümmere.
Schliesslich sei auch punkto Auskunftspflicht zu differenzieren, erklärte der Rechtsanwalt. Zwar müsse man Auskunft über bearbeitete Personendaten erteilen, wenn eine betroffene Person dies verlange. Gleichzeitig müsse dabei berücksichtigt werden, dass nicht andere Personendaten betroffen seien.
Die ersten Schritte
Michael Widmer empfiehlt, sich zunächst einmal Kenntnis darüber zu verschaffen, welche Personendaten im Unternehmen bearbeitet werden und dafür ein Bearbeitungsverzeichnis zu erstellen. Dazu verpflichtet sind Unternehmen mit weniger als 250 Mitarbeitenden zwar nicht, sofern keine Bearbeitung besonders schützenswerter Daten im grossen Umfang durchgeführt wird oder ein Profiling mit hohem Risiko. Aber es zeigt sich, dass eine Datenschutzerklärung ohne Bearbeitungsverzeichnis praktisch nicht zu erstellen ist. Die Datenschutzerklärung ist wiederum Bestandteil der Informationspflicht.
Ein Bearbeitungsverzeichnis kann ein einfaches Excel-Sheet sein. Darin sollten mindestens aufgeführt werden: die Identität des Verantwortlichen, Zweck, Kategorie von Personendaten sowie Empfänger, Aufbewahrungsdauer oder Kriterien, die Beschreibung von Massnahmen zur Datensicherheit und, so der Fall, eine Bekanntgabe ins Ausland (dabei Zielland sowie Garantien nennen).
Ebenfalls seien Verträge hinsichtlich der neuen Datenschutzregeln zu prüfen und gegebenenfalls anzupassen, die man zum Beispiel mit IT-Dienstleistern, Cloud-Anbietern oder beispielsweise HR-Dienstleistern abgeschlossen habe. Zu den ersten Schritten gehöre überdies, die Datensicherheit zu prüfen. Dabei könne es sinnvoll sein, Zugriffsrechte einzuschränken (etwa auf Teilnehmendenlisten), bestimmte Datensätze zu verschlüsseln oder andere Massnahmen zur Sicherung der Daten zu treffen.
Sicheres und unsicheres Ausland
Wie die an die Präsentation anschliessende Diskussion zeigte, steckt der Teufel auch beim revidierten DSV im Detail bzw. in den täglich verwendeten Tools wie Zoom, Dropbox, Teams und anderen, bei der Benutzung von Cloud-Dienstleistungen oder Newsletter-Diensten wie Mailchimp. «Beziehungsstatur kompliziert», umschrieb es der Rechtsanwalt.
Denn grundsätzlich sei zwischen sicherem und unsicherem Ausland zu unterscheiden (entsprechende Listen finden sich im Internet). Während Länder in der EU grundsätzlich als sicher gelten und eine Bekanntgabe von Daten ohne weiteres möglich ist, gehören die USA zu den unsicheren Kandidaten. Das heisst, wer Software oder Cloud-Dienste aus den USA nutzt oder Daten auf Server mit Standort im unsicheren Ausland transferiert, muss aufpassen bzw. dafür eine entsprechende Einwilligung einholen. Entsprechende Anleitungen, wie man bei Bekanntgabe von Personendaten ins Ausland vorgehen muss, findet man auf der Seite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Eine Bekanntgabe der Daten ins unsichere Ausland sei auf jeden Fall mit hohem Aufwand verbunden, so der Rechtsanwalt. Deshalb sei es empfehlenswert, Alternativen zu prüfen, etwa Anbieter in der Schweiz, in der EU oder im EWR – auch bezüglich Serverstandorte.
Die Umsetzung der neuen Bestimmungen ist also zeitintensiv. Michael Widmer empfiehlt, jetzt damit zu beginnen. Weitere Informationen zum revidierten Gesetz findet man auf zahlreichen Webseiten im Internet, wobei die Seite des EDÖB zum neuen Datenschutzgesetz erste Anlaufstelle sein kann.