Seite wählen

Was ist zu tun bis zum Inkrafttreten des neuen Datenschutzgesetzes ?

Mai 1, 2021

Am 25. September 2020 haben im Parlament beide Räte dem Entwurf zur Totalrevision des Datenschutzgesetzes (DSG) zugestimmt.[1] Vom Fall eines erfolgreichen Referendums abgesehen, welches allerdings kaum zu erwarten ist, steht der Inkraftsetzung des neuen Schweizer Datenschutzgesetzes somit nichts mehr im Weg. Dies dürfte für 2023 der Fall sein. In einem nächsten Schritt werden nun die Verordnungen ausgearbeitet und in die Vernehmlassung geschickt.

Mit Inkrafttreten des neuen DSG dürften wesentliche Neuerungen auf Unternehmen zukommen.

Zukünftig können auch gegen Einzelpersonen Bussen ausgesprochen werden bis zum Maximalbetrag von CHF 250’000.- wegen:

  • Falscher und unvollständiger Auskunft
  • Verletzung der weiten Informationspflichten
  • Nichteinhaltung der Mindestanforderungen an die Datensicherheit
  • Unzulässiger Auslandübermittlung
  • Auftragsbearbeitung, welche nicht den gesetzlichen Vorgaben entspricht
  • Verletzung der Vertraulichkeitspflicht
  • Verletzung von Verfahrenspflichten dem EDÖB gegenüber

Die nachstehende Checkliste soll dabei helfen, die erforderlichen Schritte von der Analyse des Ist-Zustandes bis zur Umsetzung eines Massnahmenplanes (Soll-Zustand) rechtzeitig zu setzen.

 

Vorbereitungshandlungen
  • Für die Anpassungen an das neue Datenschutzgesetz die zuständige(n) Personen(en) (intern/extern) nominieren
  • Zeit- und Budget-Planung

 

Status Quo-Erhebung (Analyse des Ist-Zustandes) und Anpassungsbedarf (Soll-Zustand)
  • Verzeichnis der Bearbeitungstätigkeiten erarbeiten, sofern die Mindestschwelle von 250 Mitarbeitende erreicht wird.
  • Besonders schützenswerte Personendaten identifizieren und Rechtmässigkeit deren Bearbeitung prüfen
  • Prüfen, ob ein Profiling mit hohem Risiko vorliegt und falls ja, Rechtmässigkeit deren Bearbeitung prüfen.
  • Sicherstellung der Einhaltung der Datenschutzgrundsätze bei der Bearbeitung von Personendaten (Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung, Datenrichtigkeit und Datensicherheit).
  • eine Datenschutz-Folgenabschätzung durchführen.
  • Bei Beizug von Externen Vereinbarung auf die datenschutzrechtliche Konformität prüfen – insbesondere mit Bezug auf das sogenannte «Vetorecht».
  • Prüfen, ob eine Übermittlung von Daten in Drittländer stattfindet und falls ja, Bestimmung der angemessenen Garantien.
  • Sicherstellen der flächendeckenden Informationspflichten (Anpassung Datenschutzerklärung, AGB’s)
  • Regelung des Sonderfalls der Informationspflicht im Falle einer automatisierten Einzelentscheidung.
  • Sicherstellung der Rechte der betroffenen Personen (Recht auf Auskunft, Löschung, Sperrung, Widerspruch, Datenportabilität etc.).
  • Umsetzung angemessener technische und organisatorische Massnahmen.
  • Implementierung der Prinzipien privacy by design/privacy by default.
  • Etablierung eines Prozesses bei Datenschutzverletzungen.
  • Bestimmen und Dokumentieren der Löschfristen.
  • Umsetzung der Löschregeln.
Massnahmenplan
  • Massnahmen festlegen
  • Zeitliche und budgetäre Planung
  • Priorisierung der Ziele
  • Massnahmen umsetzen

 

Fussnoten

[1] Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und Änderung weiterer Erlasse im Datenschutz.