Von Bürden, Hürden und der DSGVO

Genau genommen ist das neue Schweizer Datenschutzgesetz (nDSG) das Ergebnis einer Totalrevision des bisherigen Datenschutzgesetzes. Obwohl die Annäherung an die europäische Datenschutz-Grundverordnung (DSGVO) unverkennbar ist und ein insgesamt gleichwertiges Datenschutzniveau erreicht wurde, behält das nDSG eine eigene Grundkonzeption und weicht in diversen Punkten von der DSGVO ab.

Ein Blick auf das nDSG und seine Ausführungsbestimmungen genügt, um zu erahnen, was die Anpassung an die neuen rechtlichen Anforderungen für Organisationen bedeutet: viel Arbeit. Dabei bestand die erste Herausforderung für viele Unternehmen bereits darin, genügend Personal- und Zeitressourcen für die Umsetzung bereitzustellen, vom notwendigen Know-how ganz zu schweigen. Diese Grundvoraussetzungen waren und sind aber unabdingbar, um Prozesse, Produkte und Dienstleistungen effizient und gesetzeskonform anzupassen – während des Umsetzungsprozesses genauso wie im Rahmen der kontinuierlichen und notwendigen Über­prüfung der Massnahmen.

Der Kreis der betroffenen Rechtsanwender ist – die DSGVO lässt grüssen – äusserst gross. Vereinfacht gesagt betrifft das nDSG alle nationalen und internationalen Unternehmen, die Personendaten von in der Schweiz ansässigen Personen bearbeiten. Dementsprechend verbreitet sind Fragen und Unsicherheiten, wenn es um die konkrete Umsetzung innerhalb der eigenen Organisation geht. Es liegt in der Natur der Sache, besser gesagt solcher Vorlagen, dass das nDSG und seine Ausführungsbestimmungen zwar Vorgaben, aber kaum konkrete Antworten auf wichtige, grundlegende Fragen liefern. Etwa zum Thema Informationspflicht (In welcher Form und in welchem Umfang sind betroffene Personen über die Datenbearbeitung zu informieren?) oder zur Datenschutz-Folgenabschätzung (in welchen Fällen?). Das macht die Umsetzung – abgesehen vom Umfang der Vorgaben – anspruchsvoll.

Unabhängig davon, ob sich Unternehmen für die Umsetzung der neuen Datenschutzvorschriften extern unterstützen lassen oder sich alleine an die Umsetzung machen: Eine Standortbestimmung in Form einer Soll-Ist-Analyse hat sich bewährt und ist der perfekte Einstieg in die Umsetzung des nDSG. Dabei werden alle datenschutzrelevanten Dokumentationen und Prozesse auf Konformität mit dem nDSG überprüft und gegebenenfalls zweckmässige Massnahmen vorgeschlagen, um diese zu erreichen. Die Standortbestimmung gewährleistet, dass nicht kopf- und konzeptlos ins Vorhaben gestartet wird und wichtige Zeit (und das Ziel!) verloren geht.

Für manche Unternehmen kann es sowohl aus fach­licher Sicht (fehlendes Know-how) als auch aus ökonomischer Sicht (fehlende Ressourcen) sinnvoll sein, einen spezialisierten externen Datenschutzberater zu ernennen. Dieser ist neutral und hat mit seiner umfassenden Sicht auf das Thema Datenschutz die notwendige Kompetenz und nötige Sachlichkeit, um Datenschutzfragen unabhängig zu beantworten.

Spätestens dann, wenn die Umsetzung auf Kurs gebracht ist, gilt es, sich dem Datenschutz-Know-how innerhalb der eigenen Organisation zu widmen. Umfassender Datenschutz ist gekommen, um zu bleiben. Schlüsselfunktionen müssen deshalb gut ausgebildet werden – bestenfalls auch in Richtung Informationssicherheit – und Mitarbeitende für den Umgang mit Personendaten sensibilisiert werden. Awareness und internes Know-how leisten einen wichtigen Beitrag, damit Datenschutz im eigenen Unternehmen etabliert wird und gelingt.

Eine Verschnaufpause bei der Umsetzung liefert die Feststellung, dass sich an den Bearbeitungsgrundsätzen von Personendaten gegenüber der bisherigen Regelung nichts Wesentliches geändert hat. Private Unternehmen dürfen Personendaten weiterhin ohne Einwilligung der betroffenen Personen bearbeiten. Es sei denn, es werden besonders schützenswerte Personendaten bearbeitet oder ein Profiling (automatisierte Bearbeitung von Personendaten) mit hohem Risiko für die betroffenen Personen durchgeführt. Hier unterscheidet sich das nDSG übrigens explizit von der DSGVO, die konzeptionell dem Einwilligungsprinzip unterliegt.

Die Nähe zur DSGVO zeigt sich hingegen in einigen Punkten, die aus diesem Regelwerk übernommen worden sind und im Rahmen des Umsetzungsprozesses überprüft werden müssen. Beispielweise die Themen «Auftragsbearbeitung», «Auskunftsrecht» und «Bearbeitungsverzeichnis» oder die Informationspflichten, die deutlich ausgebaut worden sind: So musste die betroffene Person bisher nur informiert werden, wenn besonders schützenswerte Daten oder Persönlichkeitsprofile beschafft wurden. Neu ­besteht – mit wenigen Ausnahmen – bei jeder Beschaffung von Personendaten eine Informationspflicht. Dies bedeutet in der Praxis eine Implementierung oder Ergänzung von Datenschutzerklärungen – auch wenn diese nur von wenigen Betroffenen tatsächlich gelesen werden. Die persönliche Sensibilisierung für das Thema Datenschutz ist dann nochmals eine andere Geschichte.

Etwas unglücklich scheint die Übernahme des Rechts auf Datenportabilität aus der DSGVO. Dieses ermöglicht es Personen, ihre Daten von einem Dienstleister auf einen anderen übertragen zu lassen. Eine Regelung, die in der Praxis wenig Nutzen, aber möglicherweise viel Aufwand generieren wird.

Das nDSG lehnt sich, wie eingangs erwähnt, unmissverständlich an die DSGVO an, betont andererseits aber eine gewisse Swissness (Konzeption, Straftatbestände, Erwähnung von KMU). Die europarechtlichen Vorgaben sind grösstenteils sinnvoll im nDSG aufgenommen worden.

Die aufgeführten Beispiele zeigen aber, dass der Aufwand für das Erreichen der Datenschutzkonformität nicht unwesentlich ist und dass dieser Aufwand in den kommenden Jahren wohl weiter zunehmen wird.