Der neue Datenschutz der Schweiz

Aktuelle Situation

Mit dem Inkraftsetzen der EU-Datenschutz-Grundverordnung (EU-DSGVO) im Mai 2018 und der geplanten ePrivacy-Verordnung (voraussichtlich 2020) hat die EU eine Welle von Massnahmen losgetreten, die die Persönlichkeit und Freiheiten von Datensubjekten schützen sollen.

Schon 2011 hat der Bundesrat beschlossen, das Datenschutzgesetz Schweiz von 1992 zu revidieren. Als die EU die Datenschutzverordnung im Jahr 2016 publizierte, wollte der Nationalrat diese bei der Revision des Datenschutzgesetzes Schweiz einbeziehen. Vom neuen DSG Schweiz sind alle Schweizer Unternehmen betroffen, die personenbezogene Daten bearbeiten – etwa von Kunden oder von Mitarbeitern. Als Verarbeitung gilt jeder Umgang mit Personendaten, also insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen
oder Vernichten. Da dieser Anwendungsbereich sehr breit gefasst ist, wird es wohl kaum Unternehmen in der Schweiz geben, die von der Totalrevision des Datenschutzgesetzes Schweiz nicht betroffen sind.

Die Umsetzung der europäischen Datenschutzverordnung und des Entwurfs für die Revision des neuen DSG Schweiz stellen Schweizer Unternehmen vor grosse Herausforderungen. Die Verantwortlichen sind also gefordert: Sie müssen die neuen Datenschutzrichtlinien ganzheitlich betrachten, um sie kosteneffizient und marktkonform zu implementieren. Aus Erfahrung wissen wir, dass es dabei die fachlichen und zeitlichen Abhängigkeiten von Datenschutzgesetz Schweiz, ePrivacy und EU-DSGVO zu berücksichtigen gilt.

Was ist die DSGVO?

Revision DSG Schweiz

Der Gesetzgeber hat entschieden, die Totalrevision zu staffeln: Mit einem Vorgehen in zwei Etappen wollte man die Vorgabe der Schengen-Verträge, wonach die Datenschutzrichtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts innerhalb einer bestimmten Frist umgesetzt werden muss, vorab beraten. Anschliessend kann der Gesetzgeber die Totalrevision des Datenschutzgesetzes «ohne Zeitdruck» angehen. Für Schweizer Unternehmen ist insbesondere die zweite Etappe zentral. Diese soll voraussichtlich bis Ende 2020 abgeschlossen sein.

Das neue Datenschutzgesetz Schweiz verstärkt zahlreiche bestehende Rechte von betroffenen Personen, führt neue Anforderungen ein und schränkt in wenigen Fällen existierende Artikel ein. Das totalrevidierte Gesetz unterscheidet sich in den folgenden Kernpunkten vom bestehenden:

• Schutzobjekt: natürliche Personen
  Während das aktuell gültige Datenschutzgesetz von 1992 den Schutz von Daten von sowohl natürlichen als auch juristischen Personen regelt, beschränkt sich das neue Datenschutzgesetz auf Daten von natürlichen Personen.
• Sanktionen
  Im Gegensatz zum bestehenden Datenschutzgesetz definiert der Entwurf des neuen Gesetzestextes klare Sanktionen. So können Individuen, die das neue Datenschutzgesetz Schweiz vorsätzlich verletzen, mit einer Busse von bis zu CHF 250’000 bestraft werden.
• Besonders schützenswerte Personendaten
  Das neue Datenschutzgesetz erweitert die bestehende Auflistung von Daten, die unter die Kategorie der schützenswerten Personendaten fallen. Neu aufgelistet sind genetische und biometrische Daten (z.B. Fingerabdruck), die eine natürliche Person eindeutig identifizieren.
• Technikgestaltung und datenschutzfreundliche Voreinstellung
  Datenverarbeiter erhalten strengere Sorgfaltspflichten, die genauer definiert sind. So müssen Verantwortliche für Daten und Datenverarbeitung bereits bei der Planung der Datenverarbeitung das Risiko einer Verletzung der Persönlichkeit angemessen verringern («privacy by design»). Zudem sind sie verpflichtet, mit geeigneten Voreinstellungen sicherzustellen, dass standardmässig nur für den jeweiligen Verwendungszweck erforderliche Personendaten bearbeitet werden («privacy by default»).
• Datenschutz-Folgenabschätzung
  Datenverantwortliche oder Datenverarbeiter müssen nach dem neuen Datenschutzgesetz eine Datenschutz-Folgenabschätzung vornehmen, wenn die vorgesehene Datenverarbeitung zu einem erhöhten Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt. Dabei müssen sie sowohl Risiken als auch geeignete Massnahmen umschreiben.
• Meldung von Verletzungen des Datenschutzes
  Datenverantwortliche müssen dem Eidgenössischen Datenschutz und Öffentlichkeitsbeauftragten (EDÖB) eine Datenschutzverletzung so rasch als möglich melden, wenn ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person besteht. Sofern erforderlich, müssen sie die betroffenen Personen zudem informieren.

Was das neue DSG für Schweizer Unternehmen bedeutet

Während die EU-Datenschutzrichtlinie gewisse in der Schweiz ansässige Unternehmen nicht oder kaum tangiert, wird das neue Datenschutzgesetz für alle Schweizer Unternehmen relevant sein. Unternehmen, die den Anforderungen der EU-DSGVO bereits entsprechen, sollten sich ebenfalls mit dem neuen Schweizer Datenschutzgesetz befassen. Immerhin bestehen inhaltliche Unterschiede.

Wo steht Ihr Unternehmen beim Datenschutz?     

Je nach Marktaktivitäten Ihres Unternehmens müssen Sie entweder ausschliesslich die Vorschriften des neuen Datenschutzgesetzes Schweiz oder aber sowohl dieses als auch die EU-DSGVO erfüllen. Abbildung 3 macht deutlich, welche Datenschutzrichtlinien für Ihr Unternehmen wesentlich sind.

PwC begleitete seit mehreren Jahren zahlreiche Unternehmungen in der Schweiz und innerhalb der EU bei der Analyse, Konzeptdefinierung und Implementierung der Anforderungen der DSGVO: Parallel, führte PwC bei diversen Finanzdienstleistungsunternehmen eine Benchmarking-Analyse durch, um Markteinblicke über die Design- und Umsetzungsfortschritte zur Implementierung der DSGVO zu erhalten.

Wir haben folgende Bereiche beobachtet, in denen die Marktakteure Fortschritte im Zusammenhang mit der DSGVO zu verzeichnen haben:

• Management der persönlichen Daten und die Bildung eines Verzeichnisses von Verarbeitungstätigkeiten
• Datenschutz durch Technikgestaltung und Datenschutz durch datenschutzfreundliche Voreinstellung
• Spezifische Herausforderungen zur Compliance mit Anfragen zur Datenlöschung (right to be forgotten) und Ausbau der Löschungskapazitäten für Prinzipien der Speicherbegrenzung
• Umgang mit unstrukturierten Daten
• Management persönlicher Daten an Drittparteien
• Informations- und Cybersicherheit: Herausforderungen und Chancen

Weiter im Datenschutz: ePrivacy

Die ePrivacy schützt das Recht auf Achtung des Privatlebens sowie der Kommunikation und liegt im Entwurf vom 5. Dezember 2017 vor. Sie gehört zu den Eckpfeilern der EU-Strategie für einen digitalen Binnenmarkt. Diese neue Regelung will zukunftssicher sein. Das heisst, sie bezieht sich auf alle aktuellen und zukünftigen Kommunikationstechnologien. Dieser Anspruch wird sich wesentlich auf die digitalen Strategien der Unternehmen auswirken, die hinsichtlich der neuen Anforderungen neu definiert werden müssen.

Die ePrivacy-Verordnung soll die bestehende ePrivacy-Richtlinie von 2009 ersetzen. Sie umfasst mehrere Anpassungen und eine erhebliche Ausweitung des Anwendungsbereichs. Damit will sie den aktuellen Trends der digitalen Märkte Rechnung tragen. Das Hauptziel der ePrivacy-Verordnung besteht darin, die elektronische Kommunikation natürlicher und juristischer Personen sowie die in Endgeräten gespeicherten Informationen zu schützen. Die Kernforderungen von ePrivacy sind:

• Die gesamte elektronische Kommunikation erfordert ein hohes Mass an Vertraulichkeit. 
  Das Anhören, Abhören, Scannen und Speichern beispielsweise von Textnachrichten, E-Mails oder Anrufen ist ohne die Zustimmung des Benutzers nicht erlaubt. Der neue Grundsatz der Vertraulichkeit der elektronischen Kommunikation gilt für gegenwärtige und künftige Kommunikationsmittel – einschliesslich jener Geräte, die mit dem Internet der Dinge verbunden sind.
• Die Vertraulichkeit des Online-Verhaltens und der Geräte der Nutzer muss gewährleistet sein.
  Wer auf Informationen eines Benutzergeräts zugreifen will, braucht die Zustimmung des Nutzers. Dieser muss auch Webseiten zustimmen, die Cookies oder andere Technologien verwenden, um auf Informationen vom Computer des Nutzers zuzugreifen oder dessen Onlineverhalten zu verfolgen.
• Die Verarbeitung von Kommunikationsinhalten und Metadaten erfordert die Zustimmung der betroffenen Person.
  Diese Bestimmung gewährleistet den Datenschutz sowohl für den Inhalt der Kommunikation als auch für die Metadaten. Das gilt zum Beispiel für Zeitpunkt, Ort und Dauer eines Anrufs oder für sämtliche besuchten Webseiten.
• Spam- und Direktmarketing-Kommunikation erfordert vorherige Zustimmung. 
  Unabhängig von der verwendeten Technologie (z. B. Anrufautomaten, SMS oder E-Mail) müssen Benutzer zustimmen, dass sie zu kommerziellen Zwecken kontaktiert werden dürfen. Werbeanrufer müssen ihre Telefonnummer anzeigen oder eine spezielle Vorwahlnummer verwenden, die auf einen Marketinganruf hinweist.

Die ePrivacy soll die Anforderungen der EU-Datenschutz-Grundverordnung ergänzen und präzisieren. Die beiden Datenschutzrichtlinien können sich überschneiden. Im Konfliktfall gehen Entscheidungen nach ePrivacy der EU-DSGVO vor – vorausgesetzt, sie verringern nicht das Schutzniveau, das natürliche Personen im Rahmen der EU-DSGVO geniessen. Damit stellt die ePrivacy ein Lex Specialis für die europäische Datenschutzverordnung dar.

Auch für Schweizer Unternehmen wird die ePrivacy belangvoll sein. Wir empfehlen, bei der Analyse der Rechtskonformität zum neuen Datenschutzgesetz Schweiz Schnittstellen zur ePrivacy zu berücksichtigen. Tabelle 2 zeigt die Parallelen zwischen der EU-DSGVO, dem neuen DSG Schweiz und ePrivacy auf.

Handlungsbedarf

Unternehmen in der Schweiz sollten sich dem neuen Datenschutzgesetz Schweiz möglichst bald annehmen und strategische Lösungen mit Langzeitwirkung finden. Sie müssen die Automatisierung von Anfragen vorantreiben, damit sie die Verarbeitung, das Fallmanagement und das Löschen oder Archivieren von persönlichen Daten effizienter, schneller und kostensparender bewerkstelligen können.

Ebenso anspruchsvoll sind regulatorische Zielkonflikte zwischen dem neuen DSG Schweiz und der EU-DSGVO oder der ePrivacy. Dabei wird die definitive Version der Datenschutzgesetze die effektiven Kosten und den Aufwand entscheidend beeinflussen. Im Hinblick auf die Richtlinien von ePrivacy müssen die Unternehmen ihren Status Quo analysieren und bei Bedarf ihre Prozesse dem Datenschutz im Internet und in der elektronischen Kommunikation anpassen.

Als ersten Schritt empfehlen wir eine unternehmensweite Analyse der faktischen Betroffenheit. Dabei sollten sich die Datenverantwortlichen die folgenden Fragen stellen:

• Welche personenbezogenen Daten verarbeiten wir?
• Zu welchen Zwecken erheben und verarbeiten wir Personendaten?
• Welche sensiblen Daten verarbeiten wir?
• Was ist unsere Rechtsgrundlage der Datenverarbeitung? Liegt eine Einwilligung vor?
• Welchen Datenverkehr mit dem EU-Ausland und/oder Drittländern unterhalten wir und auf welcher Rechtsgrundlage? 
• Wie handhaben wir die Rechte der Datensubjekte?
• Ziehen wir Datenverarbeiter (derzeit «Dienstleister») heran?
  • Gibt es schriftliche Vereinbarungen für die Auftragsverarbeitung?
  • Wie werden die Informationspflichten erfüllt?
  • Wie werden die Betroffenenrechte erfüllt?
• Wer ist in unserem Unternehmen zuständig für den Datenschutz? An wen können sich z. B. die betroffenen Personen für die Ausübung ihrer Betroffenenrechte wenden?
• Welche Datensicherheitsmassnahmen haben wir etabliert?
• Brauchen wir für die Datenverarbeitung eine Datenschutz-Folgenabschätzung?
  • Welche Risiken aus der Datenverarbeitung ergeben sich für die Rechte und Freiheiten der Betroffenen?
  • Wie können wir das Eintreten von Risiken verhindern oder minimieren?
  • Müssen wir vorgängig die Aufsichtsbehörde konsultieren?
• Brauchen wir einen Datenschutzbeauftragten?
• Welche Vorkehrungen gegen Datenschutzverletzungen haben wir bereits getroffen?
• Wie erfüllen wir die Informationspflichten (Datenschutzerklärungen)?
• Besteht für unsere Datenverarbeitungen eine Dokumentationspflicht? Wie erfüllen wir diese?

In den kommenden Jahren wird der Datenschutz nicht nur das Management, sondern auch die Compliance- oder Rechtsfunktion und die IT beschäftigen. Effiziente IT-Lösungen rücken in den Mittelpunkt, insbesondere im Bereich Datenmanagement, -archivierung und -klassifizierung sowie bei der Definition von kundenidentifizierenden Daten. PwC hilft Ihnen gerne dabei, diese Herausforderungen in Angriff zu nehmen.