Das neue bundesgesetz über den datenschutz

DSGVO für HR

Letzte 25. September hat der Nationalrat das überarbeitete DSG verabschiedet. Bei der Ausarbeitung des neuen Datenschutzgesetzes mussten Bundesrat und Parlament das STE 108-Übereinkommen über die automatische Verarbeitung personenbezogener Daten berücksichtigen, dem die Schweiz beigetreten ist.

Die Frist für das Referendum lief am 14. Januar ungenutzt ab. Das überarbeitete DSG wird daher voraussichtlich im Frühjahr 2022 in Kraft treten. Bis zu diesem Zeitpunkt müssen private Unternehmen und Bundesbehörden ihre Verarbeitung personenbezogener Daten an die neue Gesetzgebung angepasst haben.

Kürzlich hat der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter ein Vademecum veröffentlicht, das die wichtigsten Neuerungen des neuen Textes enthält.

Zunächst einmal zielt die neue DSG darauf ab, nur die personenbezogenen Daten natürlicher Personen zu schützen (wie bereits in der DSGVO vorgesehen). Der Schutz personenbezogener Daten von juristischen Personen ist daher ausgeschlossen. Darüber hinaus werden die Konzepte „Privacy by Default“ und „Privacy by Design“ eingeführt. Dies sind Konzepte, die der DSGVO bekannt sind und für eine angemessene Gestaltung der Instrumente sorgen, die dann personenbezogene Daten verarbeiten müssen.

Mit der DSGVO wurde die Funktion des Datenschutzbeauftragten eingeführt. Das neue DSG legt insbesondere die Funktion des Unternehmensberaters für die Verarbeitung personenbezogener Daten fest, bei dem es sich um eine interne oder externe Person handeln kann, sofern sie ihre Aufgaben in hierarchisch unabhängiger Weise wahrnimmt.

Diese neue Funktion, deren Ernennung nur für Bundesorgane und nicht für private Unternehmen obligatorisch ist, hat beratende und ausbildende Funktionen sowie eine Vermittlerrolle zwischen dem Unternehmen und dem EDÖB.

In Bezug auf die Erstellung einer Folgenabschätzung wird im neuen Text lediglich deren Verwendung bei Verarbeitungen bekräftigt, welche als risikobehaftet gelten. Darüber hinaus wurde die Möglichkeit eingeführt, eigene Verhaltenskodizes zu entwickeln und zu verabschieden, sowie die Möglichkeit, ihre Produkte zu zertifizieren, damit sie „konform“ sein könnten.

Im Hinblick auf die Einführung der Pflicht zur Führung eines Verzeichnisses der Verarbeitungen ist zu beachten, dass diese nur für Unternehmen mit mehr als 250 Mitarbeitern und für Unternehmen, die umfangreiche und potenziell risikobehaftete Verarbeitungen durchführen, bestehen wird.
Ein weiterer wichtiger Punkt ist die Weitergabe von personenbezogenen Daten ins Ausland. Dies ist nur für Länder erlaubt, denen der Bundesrat zugestimmt hat. Ansonsten darf die Übermittlung nur erfolgen, wenn der Schutz durch andere Verfahren gewährleistet ist.

Insbesondere im Hinblick auf die Veröffentlichung von Daten im Ausland auf Cloud-Systemen führt die neue Gesetzgebung die Verpflichtung ein, die Länder, in die die Daten übertragen werden sollen, ausdrücklich anzugeben, zusätzlich zur Definition der ausdrücklich angenommenen Organisations- und Sicherheitsverfahren.

Das neue DSG kommt in Bezug auf die Rechte, die von den Betroffenen ausgeübt werden können, und den Inhalt der Informationen, die den Betroffenen vor der Verarbeitung gegeben werden müssen, sehr nahe an das heran, was bereits durch die DSGVO festgelegt wurde.
Im Hinblick auf die Funktion des EDÖB wird dieser in Zukunft befugt sein, bei Verstössen gegen Datenschutzbestimmungen von Amtes wegen tätig zu werden.
Die derzeit vorgesehenen Sanktionen sind Bussgelder von bis zu Fr 250‘000 für vorsätzliche Handlungen. Die Nichteinhaltung wird nur für natürliche Personen mit bis zu Fr. 50‘000 geahndet; Für die Zukunft ist geplant, die Strafe auch auf Unternehmen auszuweiten.

Wie sich leicht ableiten lässt, übernimmt das neue DSG weitgehend die Bestimmungen der DSGVO, die von Schweizer Unternehmen bereits seit mehreren Jahren regelmässig angewendet wird, und behält dabei bestimmte für das Schweizer Recht typische Merkmale bei, darunter Kürze und Pragmatismus. Es liegt nun an allen Unternehmen, dafür zu sorgen, dass sie sich bis zum Beginn des nächsten Jahres auf die neuen Bestimmungen einstellen.

Es liegt auf der Hand, dass alle Unternehmen im Vorteil sind, die geeignete Management-Instrumente einsetzen, welche es ihnen ermöglichen, leicht einzugreifen und sich an die von den verschiedenen geltenden Vorschriften geforderten Standards anzupassen.

Das neue bundesgesetz über den datenschutz

DSGVO für HR

Letzte 25. September hat der Nationalrat das überarbeitete DSG verabschiedet. Bei der Ausarbeitung des neuen Datenschutzgesetzes mussten Bundesrat und Parlament das STE 108-Übereinkommen über die automatische Verarbeitung personenbezogener Daten berücksichtigen, dem die Schweiz beigetreten ist.

Die Frist für das Referendum lief am 14. Januar ungenutzt ab. Das überarbeitete DSG wird daher voraussichtlich im Frühjahr 2022 in Kraft treten. Bis zu diesem Zeitpunkt müssen private Unternehmen und Bundesbehörden ihre Verarbeitung personenbezogener Daten an die neue Gesetzgebung angepasst haben.

Kürzlich hat der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter ein Vademecum veröffentlicht, das die wichtigsten Neuerungen des neuen Textes enthält.

Zunächst einmal zielt die neue DSG darauf ab, nur die personenbezogenen Daten natürlicher Personen zu schützen (wie bereits in der DSGVO vorgesehen). Der Schutz personenbezogener Daten von juristischen Personen ist daher ausgeschlossen. Darüber hinaus werden die Konzepte „Privacy by Default“ und „Privacy by Design“ eingeführt. Dies sind Konzepte, die der DSGVO bekannt sind und für eine angemessene Gestaltung der Instrumente sorgen, die dann personenbezogene Daten verarbeiten müssen.

Mit der DSGVO wurde die Funktion des Datenschutzbeauftragten eingeführt. Das neue DSG legt insbesondere die Funktion des Unternehmensberaters für die Verarbeitung personenbezogener Daten fest, bei dem es sich um eine interne oder externe Person handeln kann, sofern sie ihre Aufgaben in hierarchisch unabhängiger Weise wahrnimmt.

Diese neue Funktion, deren Ernennung nur für Bundesorgane und nicht für private Unternehmen obligatorisch ist, hat beratende und ausbildende Funktionen sowie eine Vermittlerrolle zwischen dem Unternehmen und dem EDÖB.

In Bezug auf die Erstellung einer Folgenabschätzung wird im neuen Text lediglich deren Verwendung bei Verarbeitungen bekräftigt, welche als risikobehaftet gelten. Darüber hinaus wurde die Möglichkeit eingeführt, eigene Verhaltenskodizes zu entwickeln und zu verabschieden, sowie die Möglichkeit, ihre Produkte zu zertifizieren, damit sie „konform“ sein könnten.

Im Hinblick auf die Einführung der Pflicht zur Führung eines Verzeichnisses der Verarbeitungen ist zu beachten, dass diese nur für Unternehmen mit mehr als 250 Mitarbeitern und für Unternehmen, die umfangreiche und potenziell risikobehaftete Verarbeitungen durchführen, bestehen wird.
Ein weiterer wichtiger Punkt ist die Weitergabe von personenbezogenen Daten ins Ausland. Dies ist nur für Länder erlaubt, denen der Bundesrat zugestimmt hat. Ansonsten darf die Übermittlung nur erfolgen, wenn der Schutz durch andere Verfahren gewährleistet ist.

Insbesondere im Hinblick auf die Veröffentlichung von Daten im Ausland auf Cloud-Systemen führt die neue Gesetzgebung die Verpflichtung ein, die Länder, in die die Daten übertragen werden sollen, ausdrücklich anzugeben, zusätzlich zur Definition der ausdrücklich angenommenen Organisations- und Sicherheitsverfahren.

Das neue DSG kommt in Bezug auf die Rechte, die von den Betroffenen ausgeübt werden können, und den Inhalt der Informationen, die den Betroffenen vor der Verarbeitung gegeben werden müssen, sehr nahe an das heran, was bereits durch die DSGVO festgelegt wurde.
Im Hinblick auf die Funktion des EDÖB wird dieser in Zukunft befugt sein, bei Verstössen gegen Datenschutzbestimmungen von Amtes wegen tätig zu werden.
Die derzeit vorgesehenen Sanktionen sind Bussgelder von bis zu Fr 250‘000 für vorsätzliche Handlungen. Die Nichteinhaltung wird nur für natürliche Personen mit bis zu Fr. 50‘000 geahndet; Für die Zukunft ist geplant, die Strafe auch auf Unternehmen auszuweiten.

Wie sich leicht ableiten lässt, übernimmt das neue DSG weitgehend die Bestimmungen der DSGVO, die von Schweizer Unternehmen bereits seit mehreren Jahren regelmässig angewendet wird, und behält dabei bestimmte für das Schweizer Recht typische Merkmale bei, darunter Kürze und Pragmatismus. Es liegt nun an allen Unternehmen, dafür zu sorgen, dass sie sich bis zum Beginn des nächsten Jahres auf die neuen Bestimmungen einstellen.

Es liegt auf der Hand, dass alle Unternehmen im Vorteil sind, die geeignete Management-Instrumente einsetzen, welche es ihnen ermöglichen, leicht einzugreifen und sich an die von den verschiedenen geltenden Vorschriften geforderten Standards anzupassen.