Der Entwurf des Bundesrats vom 15. September 2017 sah eine zweijährige Übergangsfrist für Datenbearbeitungen vor, die unter bisherigem Recht begonnen wurden und nach Inkrafttreten des revidierten DSG fortgesetzt werden. Im Verlauf der parlamentarischen Beratungen wurde diese Übergangsfrist gestrichen. Sofern mit der Verordnung keine Übergangsfristen eingeführt werden, müssen daher, mit wenigen Ausnahmen, ab dem Inkrafttreten des revidierten DSG (im Folgenden nDSG) die neuen gesetzlichen Anforderungen nicht nur bei neuen, sondern auch bei bereits laufenden Datenbearbeitungen erfüllt werden. Es lohnt sich für Unternehmen daher, bereits jetzt den Handlungsbedarf zu analysieren und mit der Umsetzung gewisser Massnahmen zu beginnen. Dies betrifft insbesondere die Pflichten, die im Folgenden genauer erläutert werden. Die folgenden Ausführungen sind nicht als Übersicht über alle zukünftigen Änderungen, sondern als Empfehlung zu verstehen, welche Massnahmen bereits vor dem Inkrafttreten des nDSG zumindest geprüft werden sollten.
Gemäss dem nDSG bleibt es den Unternehmen weiterhin freigestellt, ob sie einen Datenschutzberater bzw. eine Datenschutzberaterin (Art. 10 nDSG) benennen. Die neue Bezeichnung ist noch gewöhnungsbedürftig, da sich in den letzten Jahren in der Praxis die Bezeichnung «Datenschutzbeauftragter» durchgesetzt hat. Die Bestimmung legt aber klar fest, dass die Verantwortung für die gesetzeskonforme Datenbearbeitung nicht an die Person delegiert werden kann, die diese Funktion ausübt. Auch wenn diese Funktion offiziell nicht besetzt wird, sollten sich eine oder mehrere Personen im Unternehmen mit dem Datenschutz generell und mit dem nDSG im Speziellen auseinandersetzen. Kann das Know-how nicht intern aufgebaut werden, sollte externe Hilfe in Anspruch genommen werden.
Die nach geltendem Recht bestehende Meldepflicht für Datensammlungen wird mit Inkrafttreten des nDSG abgeschafft. Stattdessen müssen Unternehmen neu sogenannte Verzeichnisse ihrer Bearbeitungstätigkeiten erstellen und laufend aktualisieren (Art. 12 nDSG). Die Änderungen, die mit dieser neuen Dokumentationspflicht einhergehen, sind in mehrfacher Hinsicht bedeutsam. Neu sind nicht mehr Datensammlungen zu dokumentieren, sondern Bearbeitungstätigkeiten. Leider hat es der Gesetzgeber versäumt, den Begriff der Bearbeitungstätigkeiten zu definieren, weshalb in der Praxis verschiedene Ansatzpunkte für die Dokumentation der Verzeichnisse gewählt werden. Berücksichtigt man den gesetzlich verlangten Mindestinhalt der Verzeichnisse, ist der Zweck, zu dem die Personendaten bearbeitet werden, ein wesentliches Merkmal einer Bearbeitungstätigkeit. Unternehmen sollten sich daher überlegen, für welche Zwecke sie Personendaten bearbeiten, und auf dieser Basis ihre Bearbeitungstätigkeiten festlegen. Beispielsweise können die Datenbearbeitungen im Personalbereich grob in den Rekrutierungsprozess und den Personalverwaltungsprozess unterteilt und entsprechende Verzeichnisse erstellt werden. Der nDSG verlangt, dass für alle Bearbeitungstätigkeiten ein Verzeichnis erstellt wird, was eine erhebliche Ausweitung der Dokumentationspflicht im Vergleich zur Führung der Listen von meldepflichtigen Datensammlungen nach geltendem Recht darstellt. Letztere gilt nur, wenn besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet oder regelmässig Personendaten an Dritte bekanntgegeben werden.
Mit der Erstellung der Verzeichnisse verschafft sich das Unternehmen eine Übersicht über die eigenen Datenbearbeitungen. Durch diese Übersicht können die damit verbundenen Risiken eingeschätzt und entsprechende Massnahmen definiert werden. Das Führen der Verzeichnisse ermöglicht dem Unternehmen eine systematische Umsetzung der datenschutzrechtlichen Vorgaben. Die vorgesehene Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden betreffend Datenbearbeitungen mit einem geringen Risiko einer Persönlichkeitsverletzung erscheint daher wenig sinnvoll.
Sind die Verzeichnisse korrekt erstellt, ersetzen diese zudem die nach geltendem Recht zu führenden Listen von Datensammlungen. Eine allfällige Meldepflicht für Datensammlungen muss allerdings bis zum Inkrafttreten des nDSG weiterhin erfüllt werden, sofern sich das Unternehmen nicht von der Meldepflicht befreit hat.
Die Verzeichnisse geben dem Unternehmen auch einen Überblick, bei welchen Datenbearbeitungen externe Dienstleister beigezogen werden und ob Daten ins Ausland weitergeleitet werden.
Bereits das geltende Datenschutzgesetz verlangt, dass bei einer Auslagerung der Bearbeitung von Personendaten an Dienstleister (sogenannte Auftragsbearbeitung) sichergestellt wird, dass der Dienstleister die Daten nur so bearbeitet, wie es der Auftraggeber selbst darf und die Daten mit angemessenen technischen und organisatorischen Massnahmen schützt. Da der Auftraggeber weiterhin für die gesetzeskonforme Datenbearbeitung verantwortlich bleibt, muss er gegenüber seinem Auftragsbearbeiter zudem Kontrollrechte haben, die es ihm ermöglichen, diese Verantwortung wahrzunehmen. Neu darf der Auftragsbearbeiter zudem nur mit Zustimmung seines Auftraggebers wiederum Unterauftragnehmer beiziehen. Es ist zu empfehlen, die Verträge mit den externen Dienstleistern daher insbesondere hinsichtlich der Kontrollrechte und der Angemessenheit der vereinbarten Datensicherheitsmassnahmen zu kontrollieren und gegebenenfalls nachzubessern.
Werden Personendaten ins Ausland übermittelt, beispielsweise, weil ein Cloud-Dienst bezogen wird, dann muss geprüft werden, ob im Empfängerland ein angemessener Datenschutz vorhanden ist. Die Angemessenheit des Datenschutzes im Empfängerland kann heute anhand der Staatenliste, die der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) auf seiner Website publiziert hat, geprüft werden. Ist die Angemessenheit nicht gegeben, müssen Massnahmen ergriffen werden, um den Datenschutz dennoch zu gewährleisten. Dies erfolgt in erster Linie durch den Abschluss von Verträgen, wobei insbesondere die EU-Standardvertragsklauseln weit verbreitet sind und häufig verwendet werden. Bei Datenübermittlungen in die USA konnte bisher auf solche Massnahmen verzichtet werden, wenn der Empfänger nach dem sogenannten Swiss-US-Privacy Shield zertifiziert ist. Der Europäische Gerichtshof (EuGH) erklärte vor kurzem das EU-US-Privacy Shield für ungültig. Zudem sollen nach dem EuGH die EU-Standardvertragsklauseln nicht mehr per se einen angemessenen Schutz bieten, weshalb im Einzelfall eine Risikobeurteilung vorgenommen und die Klauseln ergänzt werden müssen. In einer aktuellen Stellungnahme schloss sich der EDÖB dieser Beurteilung an, weshalb Schweizer Unternehmen aktuell prüfen sollten, ob sie in diesem Zusammenhang Handlungsbedarf haben.
Mit dem Inkrafttreten des nDSG werden die Informationspflichten der Unternehmen im Vergleich zum geltenden Recht erheblich ausgeweitet. Neu muss ein Unternehmen über alle Datenbearbeitungen informieren, die es in der Rolle des «Verantwortlichen» vornimmt, weshalb die Datenschutzerklärungen geprüft und allenfalls angepasst werden sollten. Dabei ist es hilfreich, wenn die Verzeichnisse der Bearbeitungstätigkeiten bereits erstellt sind, da ein Grossteil der Informationen, über die in einer Datenschutzerklärung informiert werden muss, bereits in den Verzeichnissen dokumentiert ist.
Wie eingangs erwähnt, handelt es sich bei den genannten Punkten nur um eine Auswahl an Massnahmen zur Umsetzung des nDSG. Sie ist als Empfehlung für die zeitliche Priorisierung aller im Zusammenhang mit dem Inkrafttreten des nDSG erforderlichen Handlungen zu verstehen. Deren Umsetzung erleichtert die Erfüllung vieler weiterer datenschutzrechtlicher Pflichten wie beispielsweise der neuen Pflicht, den betroffenen Personen ihre Daten in einem gängigen Format auszuhändigen oder an einen anderen Dienstleister zu übermitteln (sogenannte Datenportabilität) oder die Erfüllung der datenschutzrechtlichen Auskunftspflichten. Zudem sind insbesondere die nicht datenschutzkonforme Auslagerung der Datenbearbeitung an externe Dienstleister sowie die Verletzung der Vorgaben für die Datenübermittlung ins Ausland in Zukunft strafbewehrt.