Seit dem 1. September 2023 gilt das neue Datenschutzgesetz (DSG). Mit der Revision ausgebaut wurden die Eingriffsrechte des eidgenössischen Datenschutzbeauftragten und die Höhe der Geldbusse, für welche grundsätzlich eine private Person haftet. Bis zur Revision war das DSG eher ein „zahnloser“ Papiertiger. Jetzt ist ein Unternehmen angreifbar, wenn es seine datenrechtlichen Hausaufgaben nicht gemacht hat. Ein erboster Kunde oder auch ein Arbeitnehmer, der das Unternehmen nicht im Guten verlassen hat, können z.B. Anzeige erstatten.
Dies sind die wichtigsten Regelungen:
Bei jeder Erfassung und Beschaffung von Personendaten, muss die betroffene Person vorgängig informiert werden. Das gilt auch für Kleinunternehmen.
Unternehmen mit mehr als 250 Mitarbeitenden und Unternehmen, die sensible Daten bearbeiten, sind überdies verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten zu führen.
Ein Unternehmen darf die Datenbearbeitung einem aussenstehenden „Auftragsbearbeiter“ übergeben. Mit dem Auftrag muss sich das Unternehmen aber vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Das auftraggebende Unternehmen bleibt für die Datensicherheit verantwortlich und ist gut beraten, die Pflichten schriftlich in einer sogenannten Auftragsdatenbearbeitungsvereinbarung festzuhalten. Relevant ist das zum Beispiel, wenn der Kundennewsletter über eine externe Marketingagentur versandt wird.
Jede Person hat ein Recht auf Auskunft darüber, ob und gegebenenfalls welche Daten von ihm bearbeitet werden. Das Auskunftsrecht an sich ist nicht neu. Neu ist aber die Höhe der Geldbusse, wenn die Auskunft vorsätzlich nicht erteilt wird.
Verstösse gegen das DSG können mit einer Geldbusse von bis zu CHF 250‘000.00 geahndet werden. Haftbar ist immer eine private Person, die sogenannte „verantwortliche Person“, nicht das Unternehmen, das als juristische Person bezeichnet wird. Das DSG betont damit die Verantwortung der handelnden Personen, die die Verantwortung nicht auf eine „Firmenhülle“ abwälzen können.
Sieht die Organisation in einem Unternehmen keine „verantwortliche Person“ vor, kommt es damit nicht um eine Bestrafung herum. In diesem Fall haften die Mitglieder der Geschäftsleitung bzw. des Verwaltungsrates.
Nicht jedes Datenschutzvergehen muss sofort mit einer Busse belegt werden. Auch die Befugnisse des eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sind erweitert worden. Der EDÖB kann z.B. eine Hausdurchsuchung anordnen oder Verfügen, dass Daten zu löschen sind.
Von Rechtsanwältin Andrea Fromherz, publiziert in der Linth Zeitung, im Sarganserländer und im Werdenberger&Obertoggenburger