Einblicke

Bevorstehende Änderungen im Daten­schutz (Schweiz und EU)

Auf europäischer und auf schweizer Ebene stehen wichtige Gesetzesänderungen bevor. Für Firmen bedeuten die Änderungen insbesondere vermehrte Dokumentationspflichten, Anpassung von Prozessen an neue Meldepflichten und Massnahmen zur Löschung von Personendaten. Mit neuen Bussdrohungen soll dem Datenschutz in Zukunft mehr Nachdruck verliehen werden.

Die DSGVO der EU

Ab 25. Mai 2018 ist in der EU die neue Datenschutz-Grundverordnung («DSGVO», oder englisch «General Data Protection Regulation», kurz «GDPR») verbindlich. Sie ist das erste grosse Gesetzgebungswerk der EU, welches für Niedergelassene und Firmen in allen 28 EU Staaten direkt Anwendung findet. Die DSGVO ist unter Umständen auf Schweizer Firmen anwendbar, z.B. wenn sie Waren oder Dienstleistungen in der EU anbieten und dabei Personendaten (in der Schweiz) bearbeiten.

Wichtigste Kernelemente sind:

  • Strengere Bussgelder: bis EUR 20 Mio., oder – falls höher – bis 4 % des weltweiten Jahresumsatzes des Unternehmens
  • Strenge Dokumentationspflichten: ordnungsgemässe Bearbeitung von Personendaten muss belegt werden können
  • Meldepflicht von Datenschutzverletzungen möglichst innerhalb von 72 Stunden
  • Festlegung einer Speicherdauer von Personendaten und Pflicht zur Löschung
  • Erweiterte Kompetenzen der Aufsichtsbehörden

Totalrevision des Schweizer Datenschutzgesetzes

Auch der Schweizer Bundesrat hat im September 2017 einen Entwurf für die Totalrevision des Schweizer Datenschutzgesetzes veröffentlicht. Der Entwurf orientiert sich stark an der DSGVO, welche in den Grundzügen übernommen wird. Der Schweizer Entwurf ist genereller gehalten. Auch Schweizer Unternehmungen werden in Zukunft mit erhöhten Dokumentations-, Auskunfts- und Meldepflichten konfrontiert sein.

Ein wesentlicher Unterschied ist das geplante Sanktionsmodell: Die hohen Strafandrohungen der EU sollen nicht übernommen werden; in der Schweiz soll die Busse für Datenschutzverletzungen maximal CHF 250’000 betragen. Im Unterschied zur EU geht die Busse aber nicht gegen die Firma, sondern gegen die verantwortlichen Personen der Firma; d.h. in der Regel gegen die Verwaltungsrats- oder Geschäftsleitungsmitglieder persönlich. Lediglich bei geringfügigen Bussen (unter CHF 50’000) kann auf die persönliche Verfolgung verzichtet und stattdessen die Firma gebüsst werden. Ein Inkrafttreten des revidierten Schweizer Datenschutzgesetzes im Jahre 2019 scheint realistisch. Um den neuen Anforderungen gerecht zu werden, müssen interne Abläufe auf die neue Gesetzgebung abgestimmt werden. Wir empfehlen Ihnen, sich bereits heute mit den neuen Anforderungen auseinanderzusetzen.

Weitere Informationen finden Sie hier.

backtop