Auf den 1. September 2023 trat das revidierte Datenschutzgesetz in Kraft, begleitet von vielen Zeitungsartikeln. Oft wurde dabei auf die Bussenhöhe von bis zu 250 000 Franken verwiesen. Bei einer genaueren Prüfung des neuen Datenschutzgesetzes konnte man feststellen, dass die wesentlichen Punkte, insbesondere die Grundsätze der Datenbearbeitung, gleich geblieben sind. Auch die Warnung vor Bussen war ehermit Blick auf die Datenschutz-Grundverordnung der Europäischen Union (EU) als auf die Schweizer Realität ausgerichtet. Nach wie vor gibt es kaum Bussen, und die höchste bekannte Busse in der Schweiz beträgt 600 Franken plus Verfahrenskosten von 430 Franken.

Die wichtigsten Neuerungen

Die wichtigsten Neuerungen für Unternehmen sind auf der Dokumentationsebene zu finden – und bedeuten allenfalls tatsächlich Mehraufwand für Unternehmen:

• transparente Kommunikation, woher man die Personendaten hat;

• Informationspflichten bei einer Verletzung von Datensicherheit, sofern das Risiko hoch ist;

• Datenschutz-Folgenabschätzung (DSFA) bei einer neuen Datenbearbeitung (was auch z. B. ein Outsourcing, einer Datenablage in der Cloud, die Anwendung von KI einschliesst);

• unter Umständen Erstellung eines Datenbearbeitungsverzeichnisses;

• im Rahmen der Datensicherheit eine Schutzbedarfsanalyse (Schuban).

Risiko der Personendaten

Gerade im IT-Umfeld spielen die Schuban, die DSFA und auch die Informationspflicht bei einer Verletzung der Datensicherheit eine zentrale Rolle. Die Schuban wird einerseits in Artikel 1 der Datenschutzverordnung (DSV) gefordert, andererseits auch aus dem Informationssicherheitsgesetz (ISG) – wobei letzteres nicht für alle Unternehmen und Organisationen anwendbar ist. Es gilt primär für Bundesbehörden (Art. 2 ISG) sowie Unternehmen, die kritische Infrastrukturen betreiben (Art. 74b ISG).

Bei der Schuban nach Datenschutz ist das Risiko der Personendaten für Betroffene, insbesondere bezüglich der Persönlichkeit oder betroffenen Personen, zu ermitteln. Dieser Risikobegriff findet sich auch in der DSFA wieder sowie bei einer Meldepflicht nach Verletzung der Datensicherheit.

Die Datenschutzrisiken gehen über die Datensicherheit hinaus und beziehen sich auf die einzelnen Datenbearbeitungen. Sie sollten möglichst konkret und nicht rein abstrakt sein. Im Leitfaden des Bundesamtes für Justiz zur DSFA werden unter anderem folgende Beispiele angeführt:

• unrechtmässige Beschaffung und Bearbeitung von Personendaten;

• Bearbeitung von inkorrekten Daten;

• Verweigerung der Rechte für Betroffene;

• übermässig lange Aufbewahrung.

Der Risikobegriff ist zentral

Auf der Seite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bezüglich einer Verletzung der Datensicherheit werden unter anderem auch folgende Risiken aufgeführt:

• Identitätsdiebstahl;

• Diskriminierung;

• Verleumdung/Rufschädigung;

• Betrug.

Der Risikobegriff ist mit der Revision des Datenschutzgesetzes zentral geworden. Dabei stehen die Datensicherheit und die möglichen Risiken im Zentrum, falls die Datensicherheit verletzt wird. Man kann dabei kaum eine Checkliste abarbeiten, vielmehr müssen der konkrete Einzelfall und dessen mögliche Risiken für betroffene Personen bewertet werden. Da Risiko keine exakte Wissenschaft ist, empfiehlt es sich, die Risikoabwägung entweder von Anfang an im Team (insbesondere bei der DSFA), zumindest aber mit Dritten zu überprüfen. Es ist ein interdisziplinäres Thema, bei dem eine gute Zusammenarbeit zwischen IT, Legal/Compliance, aber auch dem Hierarchiemanagement der Schlüssel zum Erfolg ist.

Ursula Uttinger*

* Ursula Uttinger ist seit 2000 Dozentin an der HSLU; seit 1995 widmet sie sich intensiv dem Thema Datenschutz – davon mehrere Jahre als betriebliche Datenschutzberaterin in verschiedenen Branchen, unter anderem Assekuranz, Gesundheitswesen.