Auswirkungen des revidierten Datenschutzgesetzes auf mit öffentlichen Aufgaben des Bundes betraute Unternehmen

Korbinian Petzi

Philipp Rosenauer
Partner Legal, PwC Switzerland

Das künftige revidierte Datenschutzgesetz (DSG) führt im Vergleich zur derzeitigen Regelung strengere Vorschriften ein. Auch Behörden und Dienststellen des Bundes oder andere mit öffentlichen Aufgaben des Bundes betraute Unternehmen (z.B. Pensionskassen im obligatorischen Bereich gemäss Bundesgesetz über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge; «Bundesorgane») sind betroffen. Eine Verletzung der im revidierten DSG aufgeführten Pflichten kann mit gegen die handelnden Personen gerichteten strafrechtlichen Sanktionen verbunden sein.

Das revidierte DSG ist final und tritt voraussichtlich Mitte/Ende 2022 mit der ebenfalls revidierten ausführenden Verordnung zum DSG (VDSG) in Kraft. Die finale Fassung der revidierten VDSG liegt im heutigen Zeitpunkt noch nicht vor. Um im Zeitpunkt des Inkrafttretens gewappnet zu sein, sollten Bundesorgane aber jetzt aktiv werden.

 

Folgende Pflichten unter dem revidierten Datenschutzrecht seien hervorgehoben:

  • Die Ernennung eines Datenschutzberaters ist für Bundesorgane gemäss dem Vorentwurf der VDSG künftig obligatorisch.
  • Bundesorgane müssen voraussichtlich unabhängig von ihrer Grösse ein Verzeichnis über ihre Bearbeitungstätigkeiten führen.
  • Das revidierte DSG verstärkt die bestehenden Prinzipien des «Rechts auf Vergessen» und der Speicherbegrenzung, was die Einführung von Löschregeln und eines Löschkonzepts bedingt.
  • Verletzungen der Datensicherheit müssen unter bestimmten Bedingungen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und den Betroffenen gemeldet werden.
  • Bei der Beauftragung eines Dritten («Auftragsbearbeiter») sollten bestimmte Aspekte (z.B. Datensicherheit, Unterbeauftragung) zwingend vertraglich geregelt werden.
Studien und Blogs zum Öffentlichen Sektor

Aktuelles und Wissenswertes rund um den öffentlichen Sektor können Sie in unserem Blog lesen.

Mehr erfahren

Welcher Handlungsbedarf besteht?

Bundesorgane sollten ihre Prozesse auf Übereinstimmung mit den neuen Anforderungen prüfen und die erforderlichen Anpassungen unter Berücksichtigung der Grösse und Art des Unternehmens vornehmen, insbesondere:

  • Einen Datenschutzberater bestimmen und allenfalls bereits ernennen. Bei dessen Wahl sind die Bundesorgane vorbehältlich dessen Unabhängigkeit und Weisungsungebundenheit weitgehend frei.
  • Das Verzeichnis der Bearbeitungstätigkeiten erstellen. Dies umfasst u.a. die Angabe des Bearbeitungszwecks sowie der (Kategorien der) bearbeiteten Personendaten, der betroffenen Personen und der Empfänger (inklusive der Länder, in welche Personendaten bekanntgegeben werden).
  • Ein Konzept zur Aufbewahrung bzw. Löschung von Daten sowie technische und organisatorische Massnahmen zur Sicherstellung der Datensicherheit definieren. Dies kann auch Anpassungen der IT-Systeme erforderlich machen, weshalb rasches Handeln hier besonders wichtig ist.
  • Einen Prozess zur Umsetzung der Meldepflichten bei Verletzungen der Datensicherheit ausarbeiten.
  • Ein Verzeichnis der Auftragsbearbeiter erstellen und bestehende Vereinbarungen mit Auftragsbearbeitern überprüfen.

PwC unterstützt verschiedene Unternehmen des öffentlichen Sektors bei der Umsetzung der Datenschutz-Compliance. 

#social#