Update zum neuen Datenschutzgesetz
In unserem Newsletter vom April 2021 haben wir über das neue Schweizer Datenschutzgesetz (nDSG) informiert. Damit dieses in Kraft treten kann, müssen die entsprechenden Ausführungsbestimmungen in der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) angepasst werden. Mittlerweile hat der Bundesrat die Vernehmlassung dazu eröffnet. Die Verordnung soll gleichzeitig mit dem neuen DSG in der zweiten Jahreshälfte 2022 in Kraft treten.
Die Anpassung der Ausführungsbestimmungen in der E-VDSG hat verschiedenste Konkretisierungen zur Folge. Nachfolgend sollen die relevanten Änderungen auszugsweise kurz dargelegt werden:
Betreffend die Pflicht zur Führung eines Verzeichnisses über die Bearbeitungstätigkeiten (Dokumentationspflicht) sieht die E-VDSG Ausnahmen vor. Unternehmen und andere privatrechtliche Organisationen, die am Anfang eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen sind von dieser Pflicht befreit, sofern sie nicht umfangreich besonders schützenswerte Personendaten bearbeiten oder ein Profiling mit hohem Risiko durchführen.
Bei den Mindestanforderungen an die Datensicherheit überarbeitete und ergänzte der Bundesrat die Vorschriften, um sie auf den heutigen Stand der Technik abzustimmen und den staatsvertraglichen Vorgaben zu genügen und verfolgte dabei einen risikobasierten Ansatz. Dies bedeutet, dass von starren Mindestanforderungen grundsätzlich abgesehen wird, da eine solche Regelung nicht praktikabel wäre. Der Verantwortliche hat die angemessenen Massnahmen vielmehr anhand des jeweiligen Risikos zu bestimmen. Dazu wurden vom Bundesrat verschiedene Schutzziele festgelegt, die – soweit angemessen – erfüllt werden müssen.
Des Weiteren wurde die Protokollierungspflicht ausgeweitet. Neu müssen alle durch private Verantwortliche automatisierten Bearbeitungen von Personendaten protokolliert werden, sofern sich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person ergibt. Diese Protokolle sind neu während zwei Jahren aufzubewahren.
Die Informationspflicht von betroffenen Personen wurde durch das nDSG grundsätzlich auf alle Bearbeitungen von Daten ausgeweitet. Das E-VDSG legt nun fest, wie die Information an betroffene Personen zu gestalten ist. Diese muss soweit möglich in präziser, verständlicher und leicht zugänglicher Form mitgeteilt werden.
Die E-VDSG hat insbesondere auch Auswirkungen auf die Rechte der betroffenen Personen. Zukünftig kann das Auskunftsrecht auch mündlich geltend gemacht werden, sofern der Verantwortliche damit einverstanden ist. Zudem steht den betroffenen Personen zusätzlich das Recht auf Datenherausgabe oder Datenübertragung zu. Für die Geltendmachung dieses Rechts sind dieselben Modalitäten wie für das Auskunftsrecht zu beachten, womit auch hier die mündliche Form genügen kann.
Bis zum Inkrafttreten des neuen Datenschutzrechts bleibt noch einige Zeit. Wir unterstützen Sie gerne bei der Prüfung, ob in Ihrem Unternehmen Handlungsbedarf besteht, sowie bei der Umsetzung von Massnahmen.