Das revidierte Datenschutzgesetz (DSG/revDSG) der Schweiz ist seit Anfang September 2023 in Kraft. Es gibt neue Regeln und viele offene Fragen bei Unternehmern. Michèle Balthasar, Inhaberin von Balthasar Legal und spezialisiert auf digitales Recht, stand in den vergangenen Monaten vielen Schweizer Unternehmen bei deren Bedenken und Fragen rund um das neue DSG mit Rat zur Seite. Im vorliegenden Artikel beantwortet sie acht praktische Fragen, die wohl für viele Unternehmen nach wie vor im Raum stehen dürften.
«Swiss IT Magazine»: Sie haben im Hinblick auf das revidierte Schweizer Datenschutzgesetz zahlreiche Schweizer Unternehmen zum Thema Datenschutz beraten. Wo verorten Sie die Bereiche mit dem grössten Aufholbedarf bei den Unternehmen?
Michèle Balthasar: Zum einen sicher bei der Informationspflicht. Bisher galt die Informationspflicht nur mit Bezug auf die Bearbeitung von besonders schützenswerten Personendaten, beispielsweise Gesundheitsdaten. Neu gilt sie umfassend, das heisst, für alle Kategorien von Personendaten. Nach Art. 19 DSG muss bei der Beschaffung der Personendaten das Unternehmen den betroffenen Personen diejenigen Informationen mitteilen, damit sie ihre Rechte nach DSG geltend machen können und eine transparente Datenbearbeitung gewährleistet ist. Zum anderen besteht ein Aufholbedarf hinsichtlich des Abschlusses von datenschutzkonformen Verträgen mit Unternehmen, welche in deren Auftrag Personendaten bearbeiten, sogenannten Auftragsbearbeitern, zum Beispiel IT-Service-Dienstleistern. Nach Art. 9 Abs. 1 DSG kann die Bearbeitung von Personendaten vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn einerseits die Daten so bearbeitet werden, wie das verantwortliche Unternehmen selbst es tun dürfte und andererseits keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet. Überdies muss das verantwortliche Unternehmen sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Diese Anforderung ist zwar nicht neu, nur wurde ihr bisher nur wenig Beachtung geschenkt. Mit der Revision des DSG können neu nun aber auch Sanktionen gegen Verantwortliche im Unternehmen ausgesprochen werden, wenn die Verträge diesen Anforderungen nicht genügen.
Sehen Sie tragende Unterschiede zwischen den Herausforderungen, denen sich grössere Unternehmen stellen müssen, im Vergleich zu den zahlreichen hiesigen KMU? Grosse Unternehmen haben oftmals eigene Rechtsabteilungen, beziehungsweise Stellen im Unternehmen, die sich dem Thema Datenschutz annehmen und widmen. Dort existiert also das notwendige Know-how zur Umsetzung der Anforderungen an den Datenschutz bereits intern. Punktuell werden gegebenenfalls externe Berater beigezogen. Bei KMU ist die Situation anders. Diese müssen sich erst in dem Thema zurechtfinden und sich das Wissen aneignen. In der Flut von Informationen ist es nicht einfach, den Überblick zu wahren und herauszufinden, was effektiv zu tun ist. Hier ist es wichtig, die richtige Augenhöhe zu finden. Überdies ist das Thema Datenschutz keine einmalige Aufgabe. Es liegt im Interesse jedes Unternehmens, innerhalb seiner Organisation einen effizienten und wirksamen Datenschutz zu gewährleisten. Es empfiehlt sich deshalb oftmals, zumindest intern eine Datenschutzstelle zu benennen und sie mit Aufgaben zum Datenschutz zu betrauen. Allenfalls fehlen hierzu aber die Ressourcen und das entsprechende Know-how oder es bestehen Interessenskonflikte, um eine angemessene Wahrung des Datenschutzes im Unternehmen zu gewährleisten.
Wo sehen Sie die zukünftigen Herausforderungen im Hinblick auf die Umsetzungen der Anforderungen an das revidierte DSG (revDSG)?Die zukünftigen Herausforderungen sind vielfältig. Zurzeit ist vieles noch unklar und deshalb mit Rechtsunsicherheit verbunden. Ferner dürfte die Komplexität der Umsetzung der Anforderungen an den Datenschutz mit den technologischen Entwicklungen noch zunehmen. Derzeit sehe ich auch Schwierigkeiten bei der Umsetzung von Löschkonzepten. Im Datenschutzrecht besteht eine gesetzliche Verpflichtung für Unternehmen, Personendaten zu löschen, wenn diese für die Zwecke, für die sie ursprünglich erhoben oder bearbeitet wurden, nicht mehr erforderlich sind und auch keine gesetzliche Aufbewahrungspflicht der Löschung entgegensteht. Auch diese Verpflichtung ist nicht neu, aber bisher haben sich nur wenige Unternehmen mit dem Thema befasst. Mit dem Inkrafttreten des revDSG hat das Bewusstsein, dass Personendaten nach Ablauf einer bestimmten Zeit zu löschen sind, zugenommen und meine Kunden stellen sich (und mir) immer mehr die Frage, wie denn ein Löschkonzept umzusetzen sei. Das ist in der Regel nicht ganz einfach. Die Implementierung eines Löschkonzeptes setzt eine genaue Kenntnis der Datenflüsse und Applikationslandschaft im Unternehmen voraus. Hinzu kommt, dass eine Löschung in den Systemen unterschiedlich und teilweise heute sogar technisch gar nicht möglich ist. Die Schwierigkeit bei Löschkonzepten beziehungsweise deren Umsetzung ist es, einen pragmatischen Ansatz zu
finden.
Stichwort Aufbewahrungspflicht: Dies schneidet doch unter Umständen mit allfälligen Löschungsbegehren von Personendaten. Konkret: Wenn ein Unternehmen eine Kundendatenbank pflegt, in der eben auch eine geschäftliche Transaktion gespeichert ist, und der Kunde wünscht die Löschung seiner Daten – was muss gelöscht werden und was nicht?Löschen und Aufbewahren erscheinen nur auf den ersten Blick als Widerspruch. Der Löschanspruch besteht nicht absolut. Wenn das Unternehmen eine vertragliche Beziehung mit einem Kunden pflegt, steht dies einem Löschbegehren entgegen. Auch wenn der Kunde seinen Vertrag auflöst, besteht immer noch eine gesetzliche Aufbewahrungsfrist, wonach generell Geschäftsunterlagen zehn Jahre aufbewahrt werden müssen. Gelöscht werden muss also nur, wenn keine Aufbewahrungsfristen dem entgegenstehen.
Eine ähnliche Überschneidung ergibt sich bei Daten aus dem Handelsregister: Diese sind bekanntlich öffentlich einsehbar. Kann ein Kunde die Löschung seiner Daten bei einem Unternehmen verlangen, auch wenn Daten von ihm öffentlich im Handelsregister einsehbar sind?Während dem Bestehen der Gesellschaft ist ein überwiegendes Interesse am Eintrag im Handelsregister klar zu bejahen und auch gesetzlich so vorgeschrieben. Auch nach der Auflösung einer Gesellschaft können sich die Daten im Register im Streitfall als relevant erweisen, so etwa für etwaige Rückgriffsklagen. Mit diesen Argumenten hat denn auch der Europäische Gerichtshof EuGH bereits 2015 entschieden, dass grundsätzlich kein Anspruch auf Löschung von Personendaten nach Auflösung der Gesellschaft besteht.
Eine weitere Herausforderung dürften Backups sein, die teils in unveränderbarer Form (DVD/Tape) erstellt werden. Wenn eine Anfrage zur Löschung oder Portierung eines Personendatensatzes eingeht – wie muss mit diesen Daten in den Backups umgegangen werden? Es ist schliesslich durchaus möglich, dass ein Backup wieder eingespielt werden muss und damit der Datensatz abermals im CRM landet.Bei Backups steht Aufwand der Löschung in der Regel in keinem Verhältnis zum Nutzen. Ausserdem ist Sinn und Zweck von Daten auf Backups, den früheren Datenstand zu sichern, und zwar so, wie er war. Eine Korrektur kann daher nicht verlangt werden, solange sichergestellt wird, dass, im Falle einer etwaigen Wiederherstellung von Daten, die zwischenzeitlich im operativen System vorgenommenen Änderungen nachgeführt werden. Damit wäre dann auch sichergestellt, dass der Datensatz eben nicht wieder im CRM landet.
Wenn jemand per Mail eine Löschung beantragt, muss ich dann nicht wiederum diese Mail aus Nachweisgründen aufbewahren?Gerade wenn die Löschung aufgrund einer Betroffenenfrage durchgeführt wird, ist auch dem Betroffenen die Umsetzung seines Betroffenenrechts zu dokumentieren. Hierfür empfiehlt sich ein standardisiertes Löschprotokoll, in dem dokumentiert wird, wann Daten gelöscht wurden. Die Protokolldaten müssen dann in regelmässigen Abständen auch wieder gelöscht werden. In der Praxis geht man davon aus, dass dies im Folgejahr der Fall sein sollte.
Heute sind Personendaten in mannigfaltiger Form gespeichert – nicht selten liegen diese, besonders bei KMU, ungeordnet und schwer auffindbar in Excel-Listen, selbst gebauten CRM-Lösungen oder in den persönlichen Ablagen der Mitarbeiter. Das saubere und technisch korrekt umgesetzte Löschen, Aushändigen oder Portieren dieser Daten dürfte für viele Unternehmen eine grosse Herausforderung sein. Wie sollte ein KMU hier vorgehen? Und ist eine einheitliche Daten-Management-Lösung damit unumgänglich, selbst für KMU?Ein Datenschutz-Managementsystem (DSMS) ist sicher ideal. Es schafft die Voraussetzungen für den DSG-konformen Umgang mit Personendaten. Allerdings kann man nicht erwarten, dass jedes KMU ein solches einführt. Bereits mit dem sogenannten Verzeichnis der Bearbeitungstätigkeiten erhält man jedoch einen guten Überblick über die Datenbearbeitungen einer Unternehmung, weshalb ich empfehle, ein solches auch zu erstellen, wenn dies nach revDSG nicht zwingend erforderlich wäre.
Michèle Balthasar
Michèle Balthasar, Rechtsanwältin und Geschäftsführerin von Balthasar Legal, hat sich als versierte Datenschutz-, Energierechts-, Informations- und Kommunikationsrechtsspezialistin auf die Beratung kleinerer, mittelgrosser und international tätiger Unternehmen spezialisiert. Dabei unterstützt sie persönlich ihre Kunden bei Fragen und Anliegen rund um die Digitalisierung. Als externe Datenschutzberaterin begleitet sie darüber hinaus Unternehmen bei der kontinuierlichen Einhaltung der Anforderungen an den Datenschutz (DSG/DSGVO).
(win)