Das Schweizer Datenschutzgesetz (DSG) stammt aus dem Jahr 1992, als es noch kein Internet gab. In den letzten Jahren wurde das Gesetz nicht modernisiert. Daher ist die Revision nicht nur auf die zeitgemässen Anpassungen gerichtet, sondern muss auch vorausschauend künftige Entwicklungen vorwegnehmen.
Seit Mai letzten Jahres sind die Schweizer Unternehmen bereits davon betroffen, was sich im Ausland tut. Dort hatte die EU mit der neuen Datenschutzgrundverordnung (EU-DSGVO) schon einiges vorgespurt. Das Schweizer DSG wird sich an die EU-DSGVO anlehnen – schliesslich können sich Schweizer Unternehmen den EU-Richtlinien ohnehin nicht entziehen. Viele Schweizer Unternehmen setzen sich bereits intensiv mit der DSGVO auseinander. Sie akzeptieren diese als geltendes Recht, auch wenn sie stellenweise mit Zusatzbedingungen von EU-Unternehmen für ihre Schweizer Partner konfrontiert sind. Vermeiden möchten sie auch, dass sich Schweizer Konsumenten aufgrund höheren Schutzes lieber der ausländischen Konkurrenz anvertrauen.
Die wesentlichen Unterschiede im neuen DSG
Klar ist, dass es einige wesentliche Punkte gibt, in denen sich das neue Gesetz aller Wahrscheinlichkeit nach unterscheiden wird:
- Es werden nur noch Daten natürlicher Personen geschützt.
- Es sind klare Sanktionen definiert.
- Besonders schützenswerte Personendaten werden definiert (biometrische und eindeutig zur Identifikation nutzbare Daten).
- Datenverarbeitende Unternehmen unterliegen erhöhten Sorgfaltspflichten.
- Es wird eine Datenschutz-Folgenabschätzung eingeführt, die der Bewertung der Rechtmässigkeit einer Datenverarbeitung dient.
- Verletzungen des Datenschutzes müssen zwingend dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.
Ganz wichtig ist: Jeder Umgang mit personenbezogenen Daten stellt eine Bearbeitung dar. Es beginnt mit der Beschaffung der Informationen, geht über das Speichern und Aufbewahren bis zur Verwendung und Bekanntgabe. Ebenso fallen auch die Archivierung und das Löschen darunter. Aufgrund dieses ausserordentlich breiten Anwendungsbereichs wird es wohl nur sehr wenige Unternehmen in der Schweiz geben, die von der Revision nicht betroffen sind.
Finanzbranche steht vor grossen Herausforderungen
So erfreulich Rechtssicherheit für die Schweizer Unternehmen ist – die Umsetzung des neuen DSG stellt sie jedoch auch vor Herausforderungen, wie eine Studie der PwC zeigt. Insbesondere Finanzdienstleister wie Banken oder Versicherungen, aber auch Fintechs sind betroffen. Vorteilhaft ist, dass diese Branche bereits seit den Zeiten des Bankkundengeheimnisses hohe Massstäbe an Datenschutz und Privatsphäre anlegt. Trotzdem hat das neue DSG Auswirkungen auf folgende Bereiche:
- Management von persönlichen Daten und Bildung eines Verzeichnisses von Verarbeitungstätigkeiten
- Datenschutz durch Technikgestaltung und Datenschutz durch datenschutzfreundliche Voreinstellungen
- Spezifische Herausforderungen zur Compliance mit Anfragen zur Datenlöschung und Ausbau der Löschungskapazitäten für Prinzipien der Speicherbegrenzung
- Umgang mit unstrukturierten Daten
- Management persönlicher Daten an Drittparteien
- Cyber Security
Wie geht es weiter?
Die Schweiz hat durchaus Spielraum bei der Ausarbeitung des neuen DSG, den sie ausreizen kann. Sie wird sich wohl hüten, Bestimmungen festzusetzen, die über die EU-Regeln hinausgehen oder einen administrativen Mehraufwand ohne Zusatznutzen für Schweizer Unternehmen darstellen.
Was können Unternehmen – insbesondere Finanzunternehmen – bereits vor dem Inkrafttreten des neuen Gesetzes tun, um sich vorzubereiten? Es ist sicher von Vorteil, schon heute unternehmensweit zu analysieren, wie es um den Schutz der Daten im Unternehmen bestellt ist, vor allem der personengebundenen Informationen. Wo nötig, können auch erste Anpassungen vorgenommen werden, wenn absehbar ist, dass die bestehenden Regelungen nicht ausreichend sind. Good News gibt es zudem für das Datenmanagement: Machine Learning und neue Technologien werden Prozesse zur Datenklassifizierung weiter automatisieren sowie vereinfachen. Anomalien können schon früh erkannt werden. Damit wird sichergestellt, dass das neue Gesetz eingehalten wird.
Was bedeutet das für Finanzdienstleister?
Das neue DSG bedeutet eine Angleichung des Schweizer Gesetzes an das bereits überarbeitete EU-Pendant. Ob dies tatsächlich mit einem strengeren «Swiss Finish» versehen wird, wird sich zeigen. Fakt ist jedoch: Für die Finanzbranche werden noch strengere Regeln gelten, die es umzusetzen gilt. So weit wie möglich sollten sich Banken, Versicherungen und andere Finanzdienstleister beim Umgang mit ihren Daten auf ihre IT verlassen können. Gerade im Hinblick auf Cyber Security, Datenklassifizierung sowie beim Management der Daten sind griffige IT-Tools unerlässlich. Ist die IT effizient aufgestellt, kann sie den Legal- und Compliance-Abteilungen viel Arbeit bei der Implementierung und Umsetzung der neuen Datenschutzgesetzgebung abnehmen.