Das revidierte Bundesgesetz über den Datenschutz (DSG; SR 235.1) wird am 1. September 2023 in Kraft treten. Bis dann müssen die Massnahmen zur Einhaltung der neuen Vorschriften eingeführt sein. Denn die Übergangsbestimmungen gelten nur für einige spezifische Fälle (Art. 69 ff. DSG).

Die Revision bringt keine grundlegenden Veränderungen mit sich. Insbesondere die Vorschriften für die Datenverarbeitung bleiben unverändert. So muss bereits jetzt jede Verarbeitung personenbezogener Daten gemäss den Grundsätzen von Rechtmässigkeit, gutem Glauben, Verhältnismässigkeit, Datensparsamkeit (Need-to-know-Prinzip), Transparenz, Zweckmässigkeit, Richtigkeit und Sicherheit erfolgen.

Auch das vom Schweizer Datenschutzrecht festgelegte Paradigma bleibt von der Revision unberührt. Lediglich die Zuwiderhandlung gegen die oben genannten Grundsätze ohne Rechtfertigungsgrund stellt nach wie vor eine widerrechtliche Persönlichkeitsverletzung und damit einen Verstoss gegen das DSG dar.

Was gilt neu ab 1. September 2023?
Die folgenden Punkte fassen die Änderungen des revidierten Datenschutzgesetzes zusammen:

• Künftig sind nur noch die Daten natürlicher Personen betroffen, nicht mehr diejenigen juristischer Personen.
• Die Ernennung eines Datenschutzberaters bzw. einer Datenschutzberaterin (DPO) ist bei der Datenverarbeitung für den Privatsektor freiwillig und für Bundesorgane verpflichtend. Registrierte Vorsorgeeinrichtungen gelten als Bundesorgane und müssen daher diese Anforderung (sowie die spezifischen Regelungen des BVG) erfüllen.
• Aufgrund des erhöhten Risikos einer Persönlichkeitsverletzung der betroffenen Personen müssen die Vorsorgeeinrichtungen bis zum Inkrafttreten des Gesetzes ein Datenverarbeitungsverzeichnis einrichten. Der erforderliche Mindestinhalt dieses Verzeichnisses ist gesetzlich festgelegt (vgl. Art. 12 DSG).
• Die Rechte der betroffenen Personen werden gestärkt. So muss insbesondere eine Ad-hoc-Datenschutzerklärung erstellt werden. Die Informationspflicht der für die Verarbeitung personenbezogener Daten Verantwortlichen ist künftig umfassender. Sie betrifft nicht nur sensible Daten, sondern sämtliche personenbezogenen Daten.
• Die Übermittlung von Daten ins Ausland unterliegt besonderen Bestimmungen.
• Im Bereich der Sanktionen sind bei vorsätzlicher Zuwiderhandlung Strafbestimmungen vorgesehen, die unmittelbar auf eine «natürliche Person» ausgerichtet sind und bis zu CHF 250 000 betragen können (Art. 60 ff. DSG).
• Die Einführung von Datenschutz-Folgenabschätzungen (DSFA) ist vorgesehen.
• Verpflichtung der für die Verarbeitung verantwortlichen Person(en), die Grundsätze des Datenschutzes bereits bei der Konzeption der Verarbeitung und von Anwendungen («Privacy-by-Design» und «Privacy-by-Default») zu berücksichtigen.
• Einhaltung der Vorschriften hinsichtlich der Auftragsdatenbearbeitung sowie zusätzlicher Verpflichtungen für den Fall eines Profiling mit hohem Risiko.
• Aufseiten der IT muss sichergestellt werden, dass die Sicherheit von IT-Systemen und Software gewährleistet ist (vgl. technische und organisatorische Massnahmen zur Vorbeugung potenzieller Cyberangriffe und Datendiebstahl).
• Im Fall einer Verletzung der Datensicherheit mit einem hohen Risiko für die betroffenen Personen besteht neu eine unverzügliche Meldepflicht gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) durch die für die Verarbeitung personenbezogener Daten verantwortliche Person(en).

Es ist enorm wichtig, die eigenen Mitarbeitenden in Sachen Datenschutz zu schulen und zu sensibilisieren. Darüber hinaus ist die Umsetzung und die Einhaltung der Datenschutzvorschriften in regelmässigen Abständen zu kontrollieren.

Von diesen neuen Vorgaben sind unter anderem auch Vorsorgestiftungen betroffen. Sie müssen allerdings nicht bei null anfangen, da sich ein Grossteil der Datenschutzvorschriften aus dem derzeit geltenden Gesetz ableiten lässt.

3 Punkte zum Mitnehmen:

• Das revidierte Datenschutzgesetzt (DSG; SR 235.1) tritt per 1. September 2023 in Kraft.
• Die neuen Vorgaben gelten auch für Vorsorgeeinrichtungen.
• Die Revision bringt keine grundlegenden Veränderungen mit sich. Vorschriften für die Datenverarbeitung bleiben unverändert.
• Die Neuigkeiten (z.B. Datenverarbeitungsverzeichnis) müssen aber, eventuell im Rahmen eines Projektes in der Vorsorgestiftung, aufgenommen und implementiert werden.

Gerne stehen ich oder Ihr persönlicher Key Account Manager für ein vertiefendes Gespräch zur Verfügung.