Veröffentlicht: 23. Januar 2023
Das neue Schweizer Datenschutzrecht (DSG) wurde im Herbst 2020 vom Parlament verabschiedet und tritt nun definitiv per 1. September 2023 in Kraft. Es hat sich an das Europäische Datenschutzrecht (DSGVO) angenähert. Mit den Anpassungen für die Alters- und Pflegeheime wie auch die Institutionen für Menschen mit Behinderung bedeutet dies umfassende organisatorische Anpassungen.
Das Datenschutzrecht bezieht sich hauptsächlich auf die personenbezogenen Daten (Daten über Klienten und das Personal) und nicht auf Zahlen in der Buchhaltung.
Die wichtigsten Änderungen im Überblick
Anwendungsbereich
Gilt auch für Unternehmen im Ausland, welche Personendaten bearbeiten und sich dies auch auf die Schweiz auswirkt.
Grundsätze der Bearbeitung von Personendaten
Personendaten sind zu vernichten oder zu anonymisieren, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
Besonders schützenswerte Personendaten:
Neu gelten folgende Personendaten als besonders schützenswert:
- Religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten
- die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit
- Massnahmen der sozialen Hilfe sowie administrative oder strafrechtliche Verfolgungen und Sanktionen
- Ethnie
- genetische Daten, sowie biometrische Daten die eine natürliche Person eindeutig identifizieren
Die Bearbeitung besonders schützenswerter Personendaten ist nur mit ausdrücklicher Einwilligung der betroffenen Person zulässig.
Erweiterte Informationspflicht
Die Informationspflicht bei der planmässigen Beschaffung von Personendaten wurde stark ausgebaut. Der betroffenen Person sind im Zeitpunkt der Datenbeschaffung folgende Pflichtangaben mitzuteilen:
- Identität und Kontaktdaten der für den Datenschutz verantwortlichen Person
- die Bearbeitungszwecke
- bei einer Bekanntgabe von Daten: die Empfänger (z. B. Behörden)
- bei einer Datenbekanntgabe ins Ausland: zusätzlich der Staat oder das internationale Organ (dies gilt auch für die Speicherung auf ausländischen Systemen oder «Clouds»)
- bei indirekter Datenerhebung (falls Daten nicht bei der betroffenen Person selber, sondern bei Dritten erhoben werden): zusätzlich auch die Kategorien der bearbeiteten Personendaten.
Planmässig handelt eine Institution bzw. eine Organisation, wenn ihr/e Verantwortliche/r gewollt zu Daten gelangen, z. B. Daten von Mitarbeitenden für die HR-Arbeit oder (bei ihrem Eintritt) Informationen über Klientinnen und Klienten erhebt. Nicht informiert werden muss eine betroffene Person über das, was sie ohnehin schon weiss oder was sie selber zugänglich gemacht hat. Auch muss nicht jedes Mal, wenn Daten beschafft werden, erneut informiert werden, falls zwischen der früher erfolgten Information und der aktuellen Beschaffung ein gewisser zeitlicher und inhaltlicher Zusammenhang besteht. Keine Informationspflicht besteht, wenn ein Auskunftsgesuch offensichtlich unbegründet oder querulatorisch (z. B. innert kurzer Zeit mehrmals) gestellt wird.
Mehr Rechte für Betroffene (Klienten und Personal)
Die betroffene Person kann verlangen, dass die von ihr bearbeiteten Daten in «einem gängigen elektronischen Format» an sie oder an von ihr bezeichnete Dritte herausgegeben werden (Recht auf Datenherausgabe und -übertragung).
Erstellung Verzeichnis sämtlicher Datenbearbeitung (ab 250 Mitarbeiter obligatorisch)
Neu muss durch den/die Verantwortliche/n ein Verzeichnis sämtlicher Datenbearbeitungen geführt und laufend aktualisiert werden (obligatorisch ab 250 Mitarbeitenden. Das Verzeichnis muss folgende Mindestangaben enthalten:
- Identität der/des Verantwortlichen
- Bearbeitungszweck
- Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
- die Kategorien der Empfänger
- die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
- eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen, die es ermöglichen, Verletzungen der Datensicherheit zu vermeiden)
- bei Bekanntgabe von Daten ins Ausland: die Angabe des Staates sowie Bekanntgabe von Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.
Verschärfung der Sanktionen (Bussen bis CHF 250’000.00)
Das DSG sieht neu eine Busse von bis CHF 250’000.00 vor (hauptsächlich zielt diese auf Leitungspersonen nur ausnahmsweise auf die ausführende Mitarbeitenden).
Wir empfehlen Ihnen für die Umsetzung folgendes Vorgehen
Ernennung einer verantwortlichen Person, welche für den Datenschutz zuständig ist
Erstellung eines Verzeichnisses von Bearbeitungstätigkeiten (Datenbearbeitungsverzeichnis)
Definieren der Informationspflicht (Erstellung einer Datenschutzerklärung)
Sicherstellung Datensicherheit (durch technische und organisatorische Massnahme muss die Datensicherheit sichergestellt werden)
Auftragsbearbeitung überprüfen (sicherstellen, dass Auftragsbearbeiter ebenfalls die Datensicherheit sicherstellen kann)
Nehmen Sie für die Umsetzung rechtzeitig mit einer Fachperson Kontakt auf. Die Übergangsfrist läuft bereits, da das neue DSG per 1. September 2023 ohne weiter Übergangsfrist in Kraft tritt.