Voraussichtlich im September 2023 tritt das revidierte Schweizer Datenschutzgesetz in Kraft. Die Revisionen der Verordnung zum Datenschutzgesetz (VDSG) und der Verordnung über die Datenschutzzertifizierungen (VDSZ) stehen noch aus, wobei der Entwurf zur revidierten VDSG (E-VDSG) am 23. Juni in die Vernehmlassung gegeben wurde. Doch was heisst das neue Datenschutzgesetz für Schweizer Unternehmen? Lohnt es sich, bereits jetzt tätig zu werden?
Sicher ist: Die revidierten Datenschutz-Bestimmungen werden eine ganze Reihe neuer Pflichten einführen. Im Hinblick darauf lohnt es sich für Unternehmen bereits jetzt, die internen Prozesse und insbesondere den Umgang mit Personendaten zu prüfen, den Handlungsbedarf zu analysieren und mit der Umsetzung gewisser Massnahmen zu beginnen. Dies hat auch Auswirkungen auf die Führung von Dokumenten in Dokumentenmanagement-Systemen.
(Bild: Gerd Altmann via pixabay)
Revision des Bundesgesetzes über den Datenschutz
Das revidierte Datenschutzgesetz (revDSG) wird eine Modernisierung des Datenschutzes sowie eine Anpassung an die europäischen Regelungen bringen. Die wesentlichen Änderungen beziehen sich auf die Einführung neuer Dokumentationspflichten, eine Erweiterung der Informationspflicht, eine Verschärfung der Voraussetzungen für eine Auftragsdatenbearbeitung (mit und ohne Auslandbezug) sowie die Einführung einer Meldepflicht für Datensicherheitsverletzungen. Zudem werden die Strafbestimmungen ausgeweitet.
Die im Rahmen der Unternehmensführung anfallenden Dokumente enthalten in der Regel auch Personendaten, wobei deren Menge je nach Branche variieren kann. Verwendet ein Unternehmen ein Dokumentenmanagement-System, kurz DMS, muss geprüft werden, ob dieses die systematische Umsetzung der revidierten Bestimmungen unterstützt.
Privacy by Design
Der neue Grundsatz Privacy by Design verpflichtet Unternehmen, bereits bei der Planung einer neuen Datenbearbeitung die datenschutzrechtlichen Anforderungen zu berücksichtigen.
Bei der Auswahl eines DMS sollten daher beispielsweise die folgenden Anforderungen mitberücksichtigt werden:
- Die Integrität, Verfügbarkeit und Vertraulichkeit der Personendaten müssen gewährleistet werden. Dazu sind angemessene technische und organisatorische Massnahmen zu ergreifen. Die Mindestanforderungen an die Datensicherheit werden in der VDSG detaillierter geregelt. Ein vorsätzlicher Verstoss gegen diese Vorgaben wird zukünftig strafbar sein.
- Dies hat Auswirkungen auf den Betrieb des DMS, aber auch auf die Funktionen, die zur Verfügung stehen sollten. Zugriffsrechte sollen beispielsweise rollenbasiert vergeben werden können, um sicherzustellen, dass nur Berechtigte auf die Daten zugreifen können.
- Das DSG gewährt betroffenen Personen diverse Rechte gegenüber dem verantwortlichen Datenbearbeiter. Dazu zählen das Auskunfts-, Berichtigungs- und Löschrecht. Das DMS muss die Bearbeitung und Beantwortung entsprechender Gesuche ermöglichen und unterstützen. So muss es beispielsweise möglich sein, Auskunftsbegehren innerhalb von 30 Tagen zu beantworten. Dazu müssen die Daten, die über eine betroffene Person im DMS bearbeitet werden, mittels entsprechender Funktionen gefunden und exportiert werden können. Zudem ist es erforderlich, dass das System eine datenschutzkonforme Löschung von Personendaten ermöglicht.
Outsourcing Datentransfer ins Ausland
Wird das DMS von einem Dritten als Cloud-Lösung betrieben, bleibt das Unternehmen, welches das DMS nutzt, weiterhin dafür verantwortlich sicherzustellen, dass die darauf gespeicherten Personendaten nur rechtmässig bearbeitet werden. Dieser Grundsatz besteht bereits im geltenden DSG und wurde durch die Revision nicht geändert. Es ist den Unternehmen dennoch zu empfehlen, die Verträge mit den Betreibern ihres DMS zu prüfen und, sofern notwendig, auf die revidierten Regelungen des DSG anzupassen.
Werden im Rahmen der Cloud-Lösung zudem Personendaten auch im Ausland gespeichert, muss vorgängig geprüft werden, ob im Empfängerland ein angemessener Datenschutz vorhanden ist. Die Angemessenheit des Datenschutzes im Empfängerland kann heute anhand der Staatenliste, die der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) auf seiner Website publiziert hat, geprüft werden. Zukünftig wird der Bundesrat für jedes Land entscheiden, ob dieses über einen angemessenen Datenschutz verfügt. Die verantwortlichen Datenbearbeiter sind an diese Angemessenheitsbeschlüsse gebunden.
Stehen die Server in einem Land ohne angemessenen Datenschutz und werden dort Personendaten gespeichert, müssen, wie auch gemäss dem geltenden DSG, Massnahmen ergriffen werden, um den Datenschutz dennoch zu gewährleisten. Auch wenn Art. 16 Abs. 2 revDSG aufzählt, welche Kategorien von Massnahmen in Frage kommen, liegt es weiterhin in der Verantwortung des Unternehmens zu entscheiden, welche Massnahmen im Einzelfall erforderlich sind, um einen angemessenen Schutz herzustellen. Es ist empfehlenswert, hierfür eine Risikoanalyse durchzuführen und bei der Definition der Massnahmen einen hohen Sorgfaltsmassstab anzulegen, da zukünftig auch eine unrechtmässige Datenbekanntgabe ins Ausland strafbar sein wird.
Datenschutz-Folgenabschätzungen
Das revDSG verpflichtet Unternehmen neu, bei der Planung einer neuen Datenbearbeitung bzw. im Falle von Änderungen an bestehenden Datenbearbeitungen die damit einhergehenden Risiken für die betroffenen Personen zu beurteilen.
Soll somit ein neues DMS eingeführt oder massgebliche Änderungen am System durchgeführt werden, muss zwingend vorgängig abgeklärt werden, welche Risiken das für die Personen, deren Daten im DMS bearbeitet werden, haben könnte. Sind diese Risiken als hoch zu qualifizieren (im europäischen Raum bestehen für die Beurteilung Entscheidungshilfen (1), ob ein hohes Risiko vorliegt), muss eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden.
Im Rahmen dieser DSFA sind die erkannten hohen Risiken zu analysieren und basierend darauf angemessene Massnahmen zur Vermeidung bzw. Verminderung dieser Risiken zu ergreifen. Kommt das Unternehmen aufgrund der DSFA zum Ergebnis, dass die geplante Datenbearbeitung trotz der geplanten Schutzmassnahmen ein hohes Risiko für die betroffenen Personen mit sich bringt, muss von dieser Bearbeitung abgesehen werden. Mit Bezug auf eine geplante Änderung des DMS könnte dies insbesondere bedeuten, dass das vorgesehene System oder auch nur einzelne, konkrete Funktionen nicht implementiert werden dürften.
Unternehmen steht im Falle eines negativen Ergebnisses einer DSFA zudem die Möglichkeit offen, den Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte anzurufen. Der EDÖB muss in diesem Fall innerhalb von zwei Monaten eine Stellungnahme abgeben und konkrete, weitere Schutzmassnahmen vorschlagen.
Fazit und Empfehlung
Das revDSG sieht die ausdrückliche Pflicht vor, die datenschutzrechtlichen Grundsätze systematisch umzusetzen (Privacy by Design). Dies hat auch Auswirkungen auf den Betrieb und die Funktionen des Dokumentenmanagement-Systems, sofern in diesem auch Personendaten bearbeitet werden.
Die Ausführungen in diesem Artikel geben nur eine Übersicht über einige ausgewählte Bestimmungen des revDSG, die unter anderem Auswirkungen auf ein DMS haben können. Da jedoch auch noch weitere neue Bestimmungen Auswirkungen auf das DMS haben können und das revDSG zudem, mit nur wenigen Ausnahmen, keine Übergangsfristen vorsieht, ist es Unternehmen zu empfehlen, bereits jetzt den Handlungsbedarf zu analysieren und mit den notwendigen Umsetzungsarbeiten frühzeitig zu beginnen.
(1) Leitlinien des Europäischen Datenschutzausschusses zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Bearbeitung im Sinne der Verordnung 2016/676 «wahrscheinlich ein hohes Risiko mit sich bringt» vom 04. April 2017, zu finden unter <https://ec.europa.eu/newsroom/article29/items/611236>.
Die Autorin
mag. iur. Maria Winkler ist Juristin und Inhaberin der IT & Law Consulting GmbH, die sie 2004 gegründet hat. Das KMU mit Sitz in Zürich ist auf Informatikrecht und Datenschutzrecht spezialisiert und berät Unternehmen sowie Behörden und öffentlich-rechtliche Körperschaften bei Rechtsfragen mit Bezug zu Informationstechnologien.
Seit 2002 ist Maria Winkler auch als Dozentin für Informatikrecht und Recht im Internet an verschiedenen Fachhochschulen tätig. Zudem ist sie langjährige Fachexpertin und Auditorin für Datenschutzzertifizierungen in der Schweiz und in Österreich, bei der SQS seit 2007.
Information Governance 2021 – Ein Special von topsoft und PUBLISHER
Magazin kostenlos abonnieren
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.