Das revidierte Datenschutzgesetz (nDSG) sowie die revidierte Datenschutzverordnung (nDSV), wurden am 31. August 2022 final verabschiedet und treten am 1. September 2023 in Kraft. Das neue Datenschutzrecht soll die Vereinbarkeit mit dem europäischen Recht sicherstellen und ermöglicht es, die modernisierte Datenschutzkonvention 108 des Europarats zu ratifizieren. Damit gleicht sich das Schweizer Datenschutzrecht in einem erheblichen Masse der für den Europäischen Wirtschaftsraum (EWR) seit Mitte 2018 geltenden Datenschutzgrundverordnung (DSGVO) an. Das modernisierte Datenschutzniveau soll unter anderem gewährleisten, dass grenzüberschreitende Datenübermittlungen weiterhin ohne zusätzliche Anforderungen möglich bleiben.

Änderungen

Wesentliche Änderungen stellen die folgenden nicht abschliessenden Gegebenheiten dar:

• Transparenz und Ausbau der Rechte der betroffenen Personen
• Erweiterungen der Informations-, Auskunfts- und Dokumentationspflichten vom Verantwortlichen und Auftragsbearbeiter
• Stärkung der Datenschutzaufsicht
• Anpassung der Strafbestimmungen
• Neue Konsultations- und Meldepflichten beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
• Anpassungen der datenschutzrechtlichen Fachsprache

Was ist zu tun?

Angesichts der kurzen Frist, die bis zum Inkrafttreten verbleibt, empfehlen wir die folgenden Punkte in Angriff zu nehmen:

• Verantwortliche Person
  Es empfiehlt sich, im Unternehmen eine Person zu bestimmen, die sich um den Datenschutz kümmert. Dabei handelt es sich nicht zwingend um einen Datenschutzberater im Sinne des Gesetzes, sondern um eine Person, welche sich ein datenschutzrechtliches Grundwissen aneignet und für Fragestellungen die Ansprechperson ist.
  
• Datenschutzerklärung / Weisungswesen
  Datenschutzerklärungen, Weisungen, allfällige interne Arbeitsbeschriebe und Prozesse müssen den neuen Datenschutzbestimmungen angepasst werden. Die Unternehmen müssen ebenfalls ihrer (bereits bestehenden) Informationspflicht hinsichtlich eingesetzten Cookies nachkommen.
  
• Datenschutzberater
  Die Institute müssen hinsichtlich einer allfälligen Ernennung eines Datenschutzberaters im Sinne des Gesetzes Abwägungen anstellen, ob dies für sie sinnvoll ist oder nicht.
  
• Auftragsbearbeiter / Dienstleister
  Sollten diese Informationen nicht schon in den Verträgen oder Outsourcing-Inventaren vorhanden sein, muss sichergestellt werden, dass die relevanten Auftragsbearbeiter über die nötigen technischen und organisatorischen Massnahmen verfügen, um den neuen datenschutzrechtlichen Bestimmungen gerecht zu werden.
  
• Verzeichnis der Bearbeitungstätigkeiten
  Die Unternehmen müssen prüfen, ob sie dazu verpflichtet sind, ein inhaltlich gesetzlich vorgegebenes Verzeichnis der Bearbeitungstätigkeiten zu führen.
  
• Auslegeordnung / Status Quo
  Es empfiehlt sich, eine Übersicht der personendatenbearbeitenden Systeme zu erstellen, aus welcher insbesondere hervorgeht:

1. welche Arten von Personendaten bearbeitet werden.
2. wie diese Personendaten und zu welchem Zweck bearbeitet werden.
3. wer diese Bearbeitung vornimmt (das Unternehmen selber (Verantwortlicher) oder ein Dienstleister (Auftragsbearbeiter).
4. welche Systeme / Applikationen in der Bearbeitung involviert sind.
5. ob die involvierten Systeme / Applikationen den gesetzlich vorgegebenen datensicherheitstechnischen Anforderungen Genüge tun.
6. ob die involvierten Systeme / Applikationen die Personendaten nach einschlägigen Aufbewahrungsfristen auf eine hinlängliche Weise löschen oder dies durch alternative Vorkehrungen und Massnahmen gewährleistet wird.

Fazit

Obwohl sich das nDSG in vielerlei Hinsicht verglichen mit dem aktuell geltenden DSG nicht grundlegend unterscheidet, wie sich beispielsweise aus den datenschutzrechtlichen Grundsätzen und Rechtfertigungsgründen ergibt, ist es entscheidend, sich möglichst bald mit diesem Thema auseinanderzusetzen und die Anforderungen umzusetzen, damit die Institute per 1. September 2023 nDSG konform werden.

Mustervorlagen

Wussten Sie, dass die Equilas AG als Dienstleister für im Finanzbereich tätige Unternehmen diverse Mustervorlagen zum Thema Datenschutz anbietet? Wenn Sie dazu Fragen haben und / oder an diesen interessiert sind, wenden Sie sich bitte an legalcompliance@equilas.ch.