Update 2019: Der aktuelle Entwurf des BR ist nicht DS-GVO kompatibel. Das läuft auf den nächsten Konflikt mit der EU hinaus. Unglaublich, wie sich einige Politiker in Bern auf dem Papier dem Schutz der Privatsphäre verschrieben haben, gleichzeitig aber das wichtigste Gesetz torpedieren, welche genau diese schützen will.
Kurz vor Weihnachten 2016 hatte der Bundesrat den ersten Entwurf für das neue Datenschutzgesetz (E-DSG) der Schweiz präsentiert. Am 15.9.2017 wurde eine überarbeitete und angepasste Version erstellt, in welcher die Vernehmlassungsergebnisse berücksichtigt wurden. Dr. Bruno Wildhaber hat einen Artikel verfasst, in welchem die beiden Gesetze verglichen und die Konsequenzen für Unternehmen in der Schweiz gezogen werden.
Laden Sie unsere umfassende Stellungnahme zum Thema herunter (Stand 10.2019):
Auf Grund der vorne erwähnten, wesentlichen Abweichungen des E-DSG zur DSGVO muss man davon ausgehen, dass der aktuelle Entwurf den Anforderungen der EU nicht genügen wird. Wesentliche Grundsätze der DSGVO wurden im schweizerischen Entwurf nicht übernommen. Auf Grund der Diskussionen, die wir im Rahmen von Zertifizierungen mit den Aufsichtsbehörden führen, kann man davon ausgehen, dass zumindest die Deutschen Behörden eine harte Linie verfolgen werden. Da diese auch die zuständigen Arbeitsgruppen innnerhalb der EU dominieren, dürfte die Meinung nicht unbedingt zu Gunsten der Schweiz ausfallen.
Wenden Sie die Grundsätze der DSGVO an. Der Mehraufwand ist gering und es dürfte sich durchaus lohnen, ein einheitliches Regime umzusetzen. Was dies bedeutet, erfahren Sie im beiliegenden Artikel.
Die Hintergrundinformationen zur Entwicklung des Datenschutzes finden Sie im Grundlagenartikel zur Revision des Datenschutzgesetzes. Diese Überlegungen dienen Ihnen als Orientierungshilfe zur Einschätzung der Bedeutung der „Information Governance' im Kontext des Datenschutzes.
Der Verantwortliche für die Bearbeitung der Personendaten („Bearbeiter') wie auch der Auftragsdatenverarbeiter werden wesentlich mehr in die Pflicht genommen, als dies bisher der Fall war. „Bearbeiten' umfasst neu explizit alle möglichen Formen und Phasen des Umgangs mit Personendaten.
So wird im Gesetzesentwurf an mehreren Stellen explizit von sämtlichen Phasen des Datenlebenszyklus gesprochen (Art. 3 Abs.1 lit. d). Bereits bei der Beschaffung hat der Verantwortliche umfassende Pflichten (Art. 13) und muss dem Betroffenen z.B. bekannt geben, welche Daten zu welchem Zweck bearbeitet werden sollen.
Der Verantwortliche muss die Personendaten während der gesamten Bearbeitung (von der Entstehung bis zur Vernichtung) umfassend beherrschen. Konkret bedeutet dies, dass der Verantwortliche jederzeit wissen muss:
Das KRM beschäftigt sich seit vielen Jahren mit dem Thema Datenschutz. Dies wird es unseren Kunden erlauben, die hohen Anforderungen des Datenschutzes so früh als möglich zu berücksichtigen und umzusetzen.
Für die Datenschutz-Umsetzung sind folgende Aktionen notwendig: