DSG-Faktencheck: Was ändert sich mit dem neuen Datenschutzgesetz?

Was ändert sich durch das neue Datenschutzgesetz?

Ist das kommende DSG eine Light-Version der Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in der Europäischen Union in Kraft getreten ist? Diese Frage kann klar verneint werden. Der Grundsatz, dass die Bearbeitung von Personendaten in der Schweiz nur in Ausnahmefällen verboten ist, bleibt bestehen. Der Ansatz der DSGVO ist genau umgekehrt: Hier soll die Bearbeitung von Personendaten nur in Ausnahmefällen erlaubt sein. Dennoch nähert sich das DSG der europäischen Verordnung in einigen Punkten an und enthält zum Teil sehr weitgehende Änderungen - etwa bei den Melde- und Informationspflichten.

DSG: Meldung von Verletzungen der Datensicherheit (Data Breach Notification)

Eine der wohl wichtigsten Änderungen besteht darin, dass mit dem Inkrafttreten des DSG Verletzungen der Datensicherheit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden müssen. Im Gegensatz zur DSGVO gilt die Meldepflicht jedoch nur für Verletzungen, die „voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge haben“. Die DSGVO schreibt die Meldung aller Datenschutzverletzungen vor, bei denen ein wahrscheinliches Risiko nicht mit Sicherheit ausgeschlossen werden kann.

Das Meldeverfahren des neuen DSG:

• Die Verantwortlichen müssen dem EDÖB so schnell wie möglich eine Verletzung der Datensicherheit melden, sofern diese das oben genannte Risiko erfüllt.
• Die Meldung muss mindestens die Art der Datensicherheitsverletzung, deren Auswirkungen sowie die bereits getroffenen oder geplanten Massnahmen des Verantwortlichen enthalten.

Gibt es im DSG eine definierte Frist für die Meldung einer Datensicherheitsverletzung?

Das DSG definiert in seiner aktuellen Fassung (Stand: Juni 2023) keine genaue Frist. Die Formulierung im Gesetz lautet „so rasch wie möglich“. Auch hier unterscheidet sich das DSG von der DSGVO, die eine Meldung einer Datenpanne innerhalb von 72 Stunden vorschreibt.

Gilt die Meldepflicht auch für Betroffene?

Nicht unbedingt. Es ist vorgesehen, dass betroffene Personen von den Verantwortlichen informiert werden müssen, wenn dies zu ihrem Schutz erforderlich ist oder wenn der EDÖB dies verlangt. Dies wäre beispielsweise der Fall, wenn elektronische Daten Ihrer Kundinnen und Kunden gestohlen werden (beispielsweise bei einem Cyberangriff) und/oder Datensätze im Internet oder Darknet verfügbar sind.

Welche Massnahmen müssen Verantwortliche ergreifen?

Bei einer Datenpanne sind die für die Datenbearbeitung Verantwortlichen zum Ergreifen der folgenden Massnahmen verpflichtet:

• Schnellstmögliche Meldung an die/den EDÖB, wenn die Datenpanne ein grosses Risiko für die Betroffenen darstellt
• Darlegen der Art der Datenschutzverletzung
• Massnahmen zur Risikominimierung

Sofern es zum Schutz der Betroffenen notwendig ist, sind diese über die Datenschutzverletzung zu unterrichten.

Geltungsbereich des Datenschutzgesetzes

Anders als bisher, beschränkt sich das DSG auf den Datenschutz natürlicher Personen – und nicht mehr auch auf den von juristischen Personen. Beispiele für juristische Personen sind etwa Kapitalgesellschaften, Genossenschaften, Vereine und Stiftungen. Hier gleicht sich das DSG an die DSGVO an, die sich ebenfalls auf den Datenschutz natürlicher Personen beschränkt.

Grundsätzlich gilt das DSG für die Bearbeitung von Personendaten natürlicher Personen durch:

• Private Personen – dazu zählen etwa Privatunternehmen (Unternehmen mit eine:r Inhaber:in), Freelancer:innen und (Solo-)Selbständige)
• Bundesorgane

Das Schweizer Datenschutzgesetz gilt also für alle Tätigkeiten, die sich in der Schweiz auswirken – auch wenn die Massnahmen in einem anderen Land getroffen werden (Artikel 3 Absatz 1 DSG). Im Fokus steht dabei stets der Datenschutz der Schweizer Bürger:innen. Haben Sie also Ihren Wohn- oder Unternehmenssitz in der Schweiz, sind ihre Kundinnen und Kunden dort ansässig (Marktortprinzip), übernehmen Sie Tätigkeiten für Schweizer Auftraggeber:innen oder tracken beispielsweise das Onlineverhalten von Schweizer Bürger:innen durch Cookies, müssen Sie die Vorgaben des DSG einhalten.

Auf welche Verfahren ist das DSG anwendbar?

Der Anwendungsbereich erstreckt sich auf die automatische und manuelle Bearbeitung von Daten in Dateisystemen (zum Beispiel Personalakten) sowie auf die Bearbeitung von Personendaten nach Artikel 5a DSG. Letzteres umfasst, nicht nur Name oder Adresse eines Menschen, sondern alle Onlinedaten, die ihr/ihm direkt zugeordnet werden können (IP, Cookies etc.).

Was müssen Sie bei sensiblen Personendaten beachten?

Nach Artikel 5 c handelt es sich bei sensiblen Personendaten um Daten folgender Kategorien:

• Religion, Weltanschauung, Politik, Gewerkschaftszugehörigkeit
• Gesundheit, Intimsphäre, Rasse und Ethnie
• Verwaltungs- und strafrechtliche Verfolgung, Sanktionen
• Sozialhilfe
• Genetische Daten
• Biometrische Daten, die eine klare Identifikation einer natürlichen Person ermöglichen

Insgesamt sind die Regelungen zum Bearbeiten sensibler Personendaten im DSG nicht so streng wie bei der DSGVO. Eine Ausnahme besteht nur, wenn Sie Dritten besonders schützenswerte Daten wie etwa Gesundheitsdaten weitergeben.

Weitergehende Informationspflichten für Unternehmen

Mit dem neuen DSG müssen Unternehmen Betroffene angemessen über jede Datenbeschaffung informieren – auch dann, wenn diese Daten nicht bei den betroffenen Personen selbst erhoben werden. Bisher galt die Informationspflicht nur bei der Erhebung besonders schützenswerter Daten. Die Mitteilung muss folgende Daten enthalten:

• Identität und Kontaktdaten der für die Datenbearbeitung Verantwortlichen
• Bearbeitete Personendaten
• Bearbeitungszweck
• Speicherdauer oder falls eine derartige Angabe nicht möglich ist, die Kriterien zu deren Bestimmung
• Empfänger:innen beziehungsweise Empfänger-Kategorien
• Im Falle eines Datenexports ins Ausland muss auch das Empfängerland aufgeführt werden
• Wurden die Daten aufgrund einer automatisierten Einzelentscheidung verarbeitet, geben Sie an, wie diese zustande kam

Wichtig: Mit Inkrafttreten des DSG sind Unternehmen verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, in dem die vorgeschriebenen Angaben festgehalten werden. Im Gegenzug entfällt die bisherige Pflicht zur Führung eines Datensammlungs-Verzeichnisses.

Welche Rechte haben Betroffene?

Konkret erwähnt das DSG hier nur das Recht auf Auskunft (Artikel 25 bis 27 DSG) und auf Datenübertragbarkeit (Artikel 28 bis 29 DSG). Weitere Rechte ergeben sich aus der Auflistung der Rechtsansprüche von Betroffenen in Artikel 32 der DSGVO.

Ist eine Datenschutzerklärung notwendig?

Artikel 19 DSG enthält die Vorschrift zur Bereitstellung einer Datenschutzerklärung. Halten Sie sich nicht daran, droht Ihnen ein Bussgeld von bis zu CHF 250‘000 gemäss Artikel 60 DSG. Die erforderlichen Inhalte setzen sich wie folgt zusammen:

• Identität und Kontaktdaten der Verantwortlichen
• Bearbeitungszweck
• Empfänger:innen oder Empfängerkategorien der Personendaten
• Übermittlung von Daten ins Ausland
• Sofern Drittquellen vorhanden sind Angaben zu den Kategorien und Daten

Doch Vorsicht: Bloss weil die Zahl der Pflichtangaben geringer ausfällt als bei der DSGVO, heisst das nicht, dass Sie es bei diesen belassen sollten – denn die Aufzählung DSG ist bei Weitem nicht abschliessend. Stattdessen sieht das Gesetz vor, dass Sie von der Datenbearbeitung betroffene Personen mit allen Informationen versorgen, die sie brauchen, um Ihre Rechte geltend machen zu können.

DSG: Datenschutz-Folgeabschätzung auch für private Unternehmen

Eine weitere wichtige Änderung, die das kommende Datenschutzgesetz mit sich bringt, ist die Ausweitung der Verpflichtung der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) auch für Privatunternehmen. Bislang waren diese von der DSFA ausgenommen. Damit nähert sich das DSG deutlich an Artikel 35 der DSGVO an.

Was ist eine DSFA?

Eine Datenschutz-Folgeabschätzung muss nach dem DSG immer dann durchgeführt werden, wenn die geplante Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen birgt. Ein solch hohes Risiko definiert das DSG etwa bei der Verwendung neuer Technologien sowie aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Beispiele dafür sind etwa:

• Die Verarbeitung besonders schützenswerter Personendaten (zum Beispiel Gesundheitsdaten, Religionszugehörigkeit, genetische oder biometrische Daten oder Informationen über Sozialhilfe oder Straftaten)
• Bei der systematischen und umfangreichen Überwachung öffentlicher Bereiche

Welche Informationen muss eine DSFA enthalten?

Eine Datenschutz-Folgeabschätzung muss die folgenden Informationen enthalten:

• Beschreibung der geplanten Bearbeitung
• Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der Betroffenen
• Massnahmen zum Schutz der Persönlichkeit und der Grundrechte

Aktuell gibt es noch keine Informationen zum genauen Ablauf der DSFA, vermutlich wird es, wie es bereits jetzt Praxis bei öffentlichen Organen ist, ein Formular bei der Datenschutzbeauftragten des jeweiligen Kantons geben.

Was gilt, wenn die DSFA ein hohes Risiko nicht ausräumen kann?

In diesem Fall muss vor Beginn der Datenbearbeitung eine Stellungnahme des EDÖB eingeholt werden.

Bearbeiten personenbezogener Daten

Das Bearbeiten ist gestattet, wenn Sie die Grundsätze von Treu und Glauben, Rechtmässigkeit, Verhältnismässigkeit und Zweckbindung beachten (Artikel 6 Absatz 1 und 2 DSG). Damit geht vor allem eine Abwägung Ihrer Interessen als Bearbeiter:in mit denen der betroffenen Personen einher. Diese muss darüber informiert sein, welche Daten Sie zu welchem Zweck bearbeiten. Die DSGVO und das DSG handhaben diese Prinzipien allerdings unterschiedlich:

Während die DSGVO das Verarbeiten personenbezogener Daten nur gestattet, wenn ein Erlaubnisgrund nach Artikel 6 vorliegt, gestattet das DSG die Bearbeitung von Personendaten generell, wenn Sie sich an die eingangs erwähnten Grundsätze halten. Zu begründen ist eine Bearbeitung nur dann, wenn sie zu einer Persönlichkeitsrechtsverletzung führt (Artikel 31 DSG).

Wie müssen Sie Bearbeitungstätigkeiten dokumentieren?

Artikel 12 des DSG verpflichtet Sie dazu, ein Verzeichnis Ihrer Bearbeitungstätigkeiten zu führen, das einen stets aktuellen Überblick über die Datenbearbeitungsaktivitäten Ihres Unternehmens bietet. Das umfasst Daten wie den Zweck der Bearbeitung, die involvierten Datenkategorien, Empfänger:innen etc. Konkret verlangt das DSG folgende Punkte:

• Identität der Verantwortlichen
• Bearbeitungszweck
• Kategorien der betroffenen Personen und bearbeiteter Personendaten
• Kategorien der Empfänger:innen
• Dauer der Aufbewahrung von Personendaten oder Kriterien zur Bestimmung der Dauer
• Beschreibung der Massnahmen, um die Datensicherheit nach Artikel 8 zu gewährleisten
• Angabe des Staates und der Garantien gemäss Artikel 16 Absatz 2, sofern Sie Daten ins Ausland weitergeben
• Gegebenenfalls Identität der Auftragsbearbeiter:innen und der Verantwortlichen sowie die Kategorien der Bearbeitung, die in Ihrem Auftrag stattfinden

Eine Veröffentlichungspflicht für dieses Verzeichnis besteht nicht. Sollte die Datenschutzaufsichtsbehörde Sie dazu auffordern, müssen Sie jedoch Einsicht in Ihr Bearbeitungsverzeichnis gewähren.

Benötigen Sie eine Einwilligung für Cookies?

Hier müssen Sie verschiedene Vorschriften berücksichtigen:

Zum Einen müssen Nutzer:innen in der EU in das Speichern nicht erforderlicher Cookies einwilligen.

In der Schweiz regelt Artikel 45 c des Fernmeldegesetzes die Hinweispflicht dahingehend, dass ein Hinweis auf eingesetzte Cookies und die Möglichkeit ihrer Löschung genügt. Beobachten Sie als Websitebetreiber:in in der Schweiz allerdings das Verhalten von EU-Bürger:innen, ist ein Cookie-Opt-In die rechtlich sichere Variante.

Was müssen Sie hinsichtlich der Auftragsbearbeitung beachten?

Die Regeln für Auftragsberarbeiter:innen sind in Artikel 9 des DSG enthalten.

Bei Auftragsbearbeiter:innen handelt es sich um weisungsgebundene Subunternehmer:innen beziehungsweise Dienstleister:innen, die von datenschutzrechtlich Verantwortlichen mit der Bearbeitung von Personendaten beauftragt werden – das ist zum Beispiel bei Webhostern der Fall.

Auch wenn Sie als Verantwortliche:r die Bearbeitung von Daten Auftragsbearbeiter:innen überlassen, müssen Sie dennoch darauf achten, dass die gewählten Auftragsbearbeiter:innen die Datensicherheit gewährleisten können. Allerdings sieht das DSG keine speziellen Verträge für die Auftragbearbeitung vor, ausser Sie müssen zusätzlich auch die DSGVO einhalten.

Sie dürfen eine Auftragsbearbeitung allerdings nur dann nutzen, wenn Ihr:e gewählte Auftragbearbeiter:in imstande ist, die Daten so zu bearbeiten, wie Sie es auch selbst tun könnten und der Übertragung keine Geheimhaltungspflicht entgegensteht. Wollen Ihre Auftragsbearbeiter:innen die Bearbeitung von Daten an andere übertragen, geht das jedoch nur mit Genehmigung der in erster Instanz Verantwortlichen – also Ihnen.

Bussgelder bei Datenschutz-Verstössen

Mit dem DSG werden zudem Bussgelder bis zu CHF 250‘000 für private Personen eingeführt. Bussen können in folgenden Fällen verhängt werden:

• Wenn vorsätzlich falsche oder unvollständige Angaben bei der Informationspflicht oder der DSFA gemacht werden, ebenso wie bei der Auskunft über die Verwendung der Personendaten an betroffene Personen.
• Vorsätzlich die Information betroffener Personen unterlassen wird oder Angaben über betroffene Personen nicht geliefert werden.
• Wenn vorsätzlich bei einer Untersuchung des EDÖB die Mitwirkung verweigert wird.

Auch die Verletzung der Sorgfaltspflichten beim Datentransfer ins Ausland, der Datenbearbeitung oder der Datensicherheit können Bussen bis zu CHF 250‘000 für private Personen verhängt werden. Wie diese Bussen in der Praxis umgesetzt werden, bleibt abzuwarten. Durch die Festlegung auf CHF 250‘000 als Obergrenze sind aber erst einmal keine Milliarden-Strafen wie bei der DSGVO zu erwarten.

Neben dem Verhängen von Bussgeldern können Ihnen bei Verstössen weitere Konsequenzen drohen:

• Der EDÖB kann eine Untersuchung einleiten und im Falle eines Datenschutzverstosses weitreichende Massnahmen anordnen.
• Auch eine Strafbarkeit gemäss der Vorschriften für die Widerhandlung in Geschäftsbetrieben durch Beauftragte ist möglich (Artikel 66 Absatz 1 DSG)

Beachten Sie dabei, dass die Verjährungsfrist für Verstösse 5 Jahre beträgt. Die Sanktionen richten sich dabei nicht gegen das Unternehmen, sondern gegen die verantwortlichen Personen. In diesem Zusammenhang kann Ihr Unternehmen auch „nur“ zu eines Strafzahlung verurteilt werden, wenn die Geldstrafe nicht mehr als CHF 50‘000 beträgt und es in keinem Verhältnis steht, die/den Verantwortlichen zu identifizieren.

Gemeinsamkeiten und Unterschiede zwischen DSG und DSGVO

Das neue Schweizer Datenschutzgesetz und die Datenschutzgrundverordnung ähneln sich in einigen Punkten, allerdings ist die DSGVO in ihren Regelungen oft detaillierter. Im Folgenden finden Sie eine Übersicht über Gemeinsamkeiten und Unterschiede der Gesetze:

Unterschiede zur DSGVO

Im Gegensatz zur DSGVO (Artikel 6)setzte das DSG keine Rechtsgrundlage für die Datenbearbeitung voraus. Allerdings müssen Sie die Grundsätze von Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit und Zweckbindung beachten (Artikel 6 Absatz 1 bis 3 DSG).

Begrifflichkeiten und Regelungen hinsichtlich der Rechtsgrundlage oder den Anforderungen an die Auftragsverarbeitung in der DSGVO sind zudem wesentlich detaillierter. Im Gegensatz dazu lässt das Schweizer DSG mehr Raum für verschiedene Optionen, Verstösse gegen das Datenschutzrecht zu vermeiden. Ausserdem sind die Bussgelder mit bis zu CHF 250‘000 wesentlich geringer als bei der DSGVO (Art. 60 bis 63 nDSG)

So zeigt sich das DSGV alles in allem wesentlich unternehmensfreundlicher als die DSGVO.

Gemeinsamkeiten zwischen DSG und DSGVO

Zwar enthält die DSGVO zu vielen Bereichen mehr Details, dennoch bestehen zwischen den Gesetzen auch einige Gemeinsamkeiten:

Beide Gesetze richten ihren Geltungsbereich an der Frage aus, wie weit ihre Bürger:innen datenschutzrechtlich betroffen sind und gelten damit über die Landesgrenzen hinaus. Zudem ist in beiden Fällen jemand für die Bearbeitung von persönlichen Daten verantwortlich, wenn sie oder er allein beziehungsweise gemeinsam mit anderen Personen darüber bestimmt, zu welchem Zweck und auf welche Weise Daten bearbeitet werden (Artikel 5 j DSG sowie Artikel 4 Nummer 7 DSGVO).

Sowohl das DSG als auch die DSGVO kennen zudem das Konzept von Auftragbearbeiter:innen, die anweisungsgebunden auf Basis bestimmter Anforderungen agieren (Artikel 5 k und Artikel 9 DSG und Artikel 4 Nummer 8 DSGVO).

Die Bearbeitung von Daten ist in beiden Fällen nur unter Einhaltung der Grundsätze von Rechtmässigkeit, Treu und Glauben,

Verhältnismässigkeit und Zweckbindung gestattet (Artikel 6 Absatz 1 bis 3 DSG und Artikel 5 Absatz 1 a und b DSGVO).

Nach Artikel 22 und 23 des DSG ist nun auch nach Schweizer Datenschutzrecht eine Datenschutzfolgenabschätzung samt Konsultationsverfahren vorgesehen. Alternativ ist auch eine Prüfung durch eine:n Datenschutzberater:in möglich, sollte die Bearbeitung von Daten ein grosses Risiko für die Persönlichkeits- oder Grundrechte eines Menschen enthalten.

Auch das Thema Privacy by design/default hielt Einzug in das neue Schweizer Datenschutzgesetz (Artikel 7 DSG). Beachten Sie also schon bei der Wahl Ihrer Software die neuen datenschutzrechtlichen Vorgaben, um Ihr Angebot auch hinsichtlich der technischen Gestaltung und der datenschutzfreundlichen Voreinstellungen DSG-konform zu halten. Sorgen Sie ausserdem für technische und organisatorische Vorkehrungen, um die Sicherheit der Daten zu gewährleisten (Artikel 8 DSG). Das neu Schweizer Datenschutzgesetz lässt Ihnen hier etwas grösseren Spielraum als die detailliertere DSGVO.

Die Aufgaben einer/eines Datenschutzberater:in sind in beiden Fällen in etwa deckungsgleich. Im Geltungsbereich des DSG ist die Bestellung allerdings vollkommen freiwillig (Artikel 10 DSG und Artikel 37 und 38 DSGVO).

Egal, ob Sie sich im Geltungsbreich der DSGVO oder des DSG bewegen – Sie sind in jedem Fall verpflichtet, ein Verzeichnis Ihrer Bearbeitungstätigkeiten zu führen und dieses stets aktuell zu halten.

Ausserdem müssen Sie Personen, die von der Bearbeitung ihrer personenbezogenen Daten betroffen sind, informieren (Artikel 19 DSG, Artikel 13 und 14 DSGVO) und eine Datenschutzerklärung zur Verfügung stellen. Die Anforderungen daran sind im DSG allerdings weniger umfangreich.

Basiert eine Entscheidung rein auf einer automatisierten Verarbeitung und hat diese rechtliche Konsequenzen für die betroffenen Personen, müssen Sie diese grundsätzlich informieren. Zusätzlich können Betroffene darauf bestehen, dass diese automatisiert getroffenen

Entscheidungen von einer natürlichen Person noch einmal überprüft werden.

Auch das Auskunftsrecht wurde im Rahmen des Inkrafttretens des neuen DSG in Artikel 25 erweitert. Neu ist in diesem Zuge ein Recht auf Datenübertragung (Artikel 28 DSG), ähnlich wie in der Datenschutzgrundverordnung. Weitere Betroffenenrecht wie das Recht auf Löschung, Berichtigung oder Widerspruch sind jedoch nicht so genau ausgestaltet wie in der DSGVO (Artikel 32 DSG).

Auch nach Artikel 24 des DSG sind Sie dazu verpflichtet, Datenschutzverletzungen zu melden. Diese Meldung erfolgt „so rasch wie möglich“ an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Diese Formulierung lässt hinsichtlich einer angemessenen Zeitspanne zur Meldung einer Datenschutzverletzung Interpretationsspielraum als die Datenschutzgrundverordnung, die eine Frist von 72 Stunden festgelegt hat (Artikel 33 DSGVO).

Sowohl das DSG als auch die DSGVO schreiben ausländischen Bearbeiter:innen vor, Vertreter:innen im Inland zu benennen, wenn Sie regelmässig Kundschaft in der Schweiz bedienen.

Wollen Sie Daten in Drittländer transferieren, muss dieser Transfer begründet sein (Art. 16 DSG). Die Entscheidung hierüber erfolgt über sogenannte Angemessenheitsbeschlüsse, über die die/der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte die Angemessenheit des Datenschutzniveaus festlegt. Alternativ betrachtet sie/er auch die Verwendung von Standardvertragsklauseln oder Zustimmungen.

Welche Massnahmen sollten bis zum Inkrafttreten des DSG getroffen werden?

Wichtig ist: Das neue Datenschutzgesetz tritt am 01. September 2023 in Kraft – und zwar ohne Übergangszeiten. Klären Sie also zuerst die Frage, ob Sie Ihren Unternehmenssitz oder Kundschaft in der Schweiz haben und ob Sie die Vorgaben der DSGVO einhalten müssen. Ist letzteres nicht der Fall, arbeiten Sie folgende Punkte ab:

• Identifizieren Sie Bearbeitungsprozesse und Personendaten gemäss Artikel 5 a und d DSG. Identifizieren Sie ein Verfahren als besonders risikobehaftet, führen Sie gegebenenfalls eine Datenschutzfolgenabschätzung durch (Artikel 22 und 23 DSG).
• Prüfen Sie, ob die Bearbeitung der Daten nach den Artikeln 6, 30 und 31 DSG gerechtfertigt ist.
• Klären Sie, ob Sie Daten in Drittländer übertragen und ob dafür ein adäquates Datenschutzniveau sichergestellt ist (Artikel 16 DSG).
• Überprüfen Sie die technisch-organisatorischen Massnahmen zur sicheren Datenbearbeitung beziehungsweise richten Sie bei Bedarf welche ein (Artikel 8 DSG).
• Erstellen Sie ein Verzeichnis Ihrer Bearbeitungstätigkeiten.
• Stellen Sie sicher, dass Sie Anfragen bezüglich der Betroffenenrechte zügig bearbeiten können (Artikel 27 bis 29 DSG) und sorgen Sie dafür, dass Sie Meldepflichten bei Datenpannen innerhalb der gesetzlichen Fristen nachkommen können (Artikel 14 DSG).
• Als Nicht-Schweizer:in sollten Sie prüfen, ob Sie in der Schweiz Vertrter:innen einsetzen müssen. (Artikel 14 DSG)
• Erstellen Sie eine DSG-konforme Datenschutzerklärung beziehungsweise erweitern Sie Ihre DSGVO-Datenschutzerklärung auf die Regelungen des DSG (Artikel 14 DSG).

Bis zum Inkrafttreten sollten zudem sowohl Freelancer:innen, als auch Selbständige und Unternehmen unbedingt alle bisher genutzten Software- und Cloud-Lösungen, ebenso wie die Nutzung und Anbindung externer Dienste und Plattformen (beispielsweise Facebook) überprüfen.

Massnahme 1: Verschaffen Sie sich einen Überblick

Grundsätzlich sollten Sie sich zunächst einmal damit befassen, welche Tools oder Cloud-Lösungen Sie aktuell nutzen. Beispiele dafür sind etwa: CRM-Lösungen, Newsletter-Tools, Tools zur Rechnungserstellung, Google-Dienste wie Google Analytics oder Google Ads, Microsoft-Teams oder Slack.

Massnahme 2: Prüfen Sie, welche Daten wie und wo verarbeitet werden

Grundsätzlich sind sowohl bei Cloud-Lösungen, als auch bei externen folgende Punkte zu prüfen:

Datensicherheit

Bietet die Cloud oder das Tool die erforderliche Datensicherheit an – gibt es beispielsweise Zertifikate? Wenn nicht, gibt es gegebenenfalls Alternativen?

Datenspeicherort

Wo werden die Daten gespeichert beziehungsweise verlassen sie die Schweiz, weil die Server im Ausland stehen? Bei einem ausländischen Server-Standort sollten Sie unbedingt klären, ob das Land über ein angemessenes Datenschutzniveau verfügt.

Staatlicher Zugriff

Ist es möglich, dass von staatlicher Seite auf die gespeicherten Daten zugegriffen wird. Diese Frage ist insbesondere dann wichtig, wenn Sie Cloud-Lösungen oder Tools nutzen, deren Anbieter:innen oder Tochtergesellschaften aus Länder wie den USA, China oder Russland kommen.

Massnahme 3: Auftragsbearbeitungsverträge schliessen

Grundsätzlich sollten Sie – als absolutes Minimum – Auftragsbearbeitungsverträge mit allen Dienstleister:innen abschliessen, bei denen Daten im Auftrag bearbeitet werden. Das gilt übrigens auch für Social-Media-Plattformen. Zudem sollten sämtliche Cloud-Lösungen, Tools und Anbindungen (zum Beispiel Facebook-Pixel, Google-Tracking) in Ihre Datenschutzerklärung aufgenommen werden.

Im Zweifel: Externe Hilfe durch Datenschutzbeauftragte holen

Wenn Sie sich bei bestimmten Tools und Anbindungen nicht sicher sind, sollten Sie die Hilfe externer Datenschutzbeauftragter in Anspruch nehmen. Es empfiehlt sich zudem auch die Prüfung der Datenschutzerklärung auf Richtigkeit und Vollständigkeit mindestens alle sechs Monate. Der Aufgabenbereich von Datenschutzberater:innen gemäss DSG deckt sich grundsätzlich sehr mit dem der DSGVO, allerdings ist die Ernennung bei privaten Unternehmen vollkommen freiwillig. Bestellen Sie eine:n Datenschutzberater:in sollte diese:r ihrer/seiner Aufgabe unabhängig und unparteiisch nachgehen, etwa bei allgemeiner Beratung, Schulungen oder der Erstellung von Datenschutzvorschriften.