Das Parlament hat in seiner Herbstsession 2020 das neue Datenschutzgesetz (nDSG) verabschiedet. Nun gilt es die entsprechenden Ausführungsbestimmungen in der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) anzupassen. An seiner Sitzung vom 23. Juni 2021 hat der Bundesrat die Vernehmlassung hierzu eröffnet. Diese dauert bis am 14. Oktober 2021. Obschon die Verordnung gleichzeitig mit dem neuen DSG in der zweiten Jahreshälfte 2022 in Kraft treten soll, lohnt es sich die Anpassungen an das nDSG bereits jetzt vorzunehmen.
Das neue Datenschutzgesetz sorgt künftig für einen besseren Schutz von Personendaten. So wird unter anderem der Datenschutz den technologischen Entwicklungen angepasst, die Selbstbestimmung über die Personendaten gestärkt sowie die Transparenz bei der Beschaffung von Personendaten erhöht. Damit stellt der Gesetzgeber auch die Vereinbarkeit mit der EU-Datenschutzgrundverordnung (DSGVO) sicher. Diese Anpassungen sind wichtig, damit die EU die Schweiz auch weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt, sodass die grenzüberschreitende Datenübermittlung in die Schweiz auch künftig ohne zusätzliche Anforderungen möglich bleibt.
Aufgrund dieser Anpassungen im nDSG müssen auch zahlreiche Bestimmungen auf Verordnungsebene konkretisiert werden. Bevor das Gesetz in Kraft treten kann, sind deshalb die entsprechenden Ausführungsbestimmungen in der VDSG grundlegend anzupassen. Die im Vorentwurf zur VDSG vorgesehenen Änderungen betreffen im Besonderen die Bestimmungen zu den Mindestanforderungen an die Datensicherheit, die Modalitäten der Informationspflichten und des Auskunftsrechts oder die Meldung von Verletzungen der Datensicherheit. Für KMUs mit weniger als 250 Mitarbeitenden soll die Verordnung die Ausnahmen, in welchen sie von der Pflicht eines Bearbeitungsverzeichnisses befreit sind, regeln. Weitere Anpassungen betreffen sodann die Bestimmungen über den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), dessen Stellung und Unabhängigkeit mit dem neuen DSG gestärkt wird.
Angesichts der Tatsache, dass die VDSG in mehreren wesentlichen Punkten revidiert wird, stellt sich für viele Unternehmen nun die Frage, ob sie ihre Datenschutzerklärung bereits der neuen Gesetzgebungen anpassen oder noch zuwarten sollten. Eine vorzeitige Überarbeitung von Datenschutzerklärungen dürfen wir Ihnen, trotz allfälliger Adjustierungen nach Verabschiedung der VDSG, wärmstens empfehlen.
Die Erfahrungen mit der DSGVO zeigten deutlich, dass vor deren Inkrafttreten nicht mehr genügend Fachleute zur Verfügung standen, um die Anpassungen frist- und sachgerecht vorzunehmen. Dabei ist zu beachten, dass das nDSG nebst einer neuen Datenschutzerklärung überwiegend auch Änderungen innerhalb des Betriebes zur allgemeinen Handhabung von Datenschutz sowie auch Anpassungen von Bearbeitungsprozessen und Informatikverträgen bedeutet. So zeigt eine Umfrage des Digitalverbands Bitkom ebenfalls, dass auch noch eineinhalb Jahre nach Inkrafttreten der DSGVO lediglich 25 Prozent der Unternehmen die DSGVO vollständig umgesetzt hatten. 97 Prozent der befragten Unternehmen bestätigten hierbei den damit verbundenen hohen Aufwand. Insbesondere die Datenkatalogisierung und das Vertragsmanagement sei sehr aufwändig. Dieses Bild dürfte sich auch in der Schweiz abzeichnen. Insbesondere Unternehmen, welche die Regelungen der DSGVO bislang nicht anwenden mussten, dürften mit grösseren und zeitintensiveren Anpassungen rechnen. Eine gründliche Prüfung und rechtzeitige Übernahme der datenschutzrechtlichen Anforderungen ist in Anbetracht des substantiellen Bussgeldes bis zu Fr. 250’000.– indes geboten. Zudem ist darauf hinzuweisen, dass das nDSG keine Übergangsfristen wie die DSGVO zur Implementierung der neuen Gesetzgebung kennt.
Sodann bietet sich eine baldige Anpassung an das nDSG auch bei denjenigen Unternehmen an, die Daten in Drittländer transferieren und hierbei die neuen Standarddatenschutzklauseln (sog. SCC) umsetzen müssen (unseren Beitrag hierzu finden Sie hier). Die SCC sind nämlich in neuen Verträgen bereits ab dem 28. September 2021 einzusetzen und verlangen unter anderem eine Risikoanalyse des Datentransfers in Drittländer (sog. Transfer Impact Assessment TIA), welche dann auch bestehende Auftragsverarbeitungsverträge ablösen würde. Eine gleichzeitige Behandlung beider Angelegenheiten würde eine ganzheitliche Betrachtung des Unternehmens erlauben und die Definierung von Datenprozessen und die Datenkatalogisierung effizienter gestalten.
Ganz gleich ob sie grosse datenschutzrechtliche Umstrukturieren oder bloss eine adjustierte Datenschutzerklärung benötigen, wir beraten Sie gerne.
Relevante Dokumente:
Zum weiterlesen: