Mehr Transparenz bei der Bearbeitung von Daten
Nathalie Steinemann, per 1. September 2023 tritt in der Schweiz das revidierte Datenschutzgesetz (nDSG) in Kraft. Was ändert sich konkret?
Das bestehende Datenschutzgesetz (DSG) stammt aus dem Jahr 1992. Seither haben sich Daten zu einem wertvollen und damit sensiblen und schützenswerten Gut entwickelt. Das revidierte DSG soll den veränderten technologischen und gesellschaftlichen Verhältnissen Rechnung tragen und gleichzeitig das Datenschutzniveau der Schweiz demjenigen der EU bzw. der europäischen Datenschutzgrundverordnung angleichen. Diese Anpassung ist für Schweizer Unternehmen und für solche aus der EU wichtig, denn sie ist Voraussetzung dafür, dass Unternehmen Personendaten austauschen dürfen. Das heisst, Schweizer Firmen müssen ihre Kundinnen und Kunden künftig detaillierter informieren, was ihren Umgang mit Personendaten betrifft. Für Privatpersonen ändert sich mit dem revidierten DSG hingegen kaum etwas.
Zudem schützt das DSG neu nur noch Daten von natürlichen Personen und nicht mehr diejenigen von juristischen Personen. Die Auswirkungen für unsere Bankkundinnen und -kunden sind jedoch gering, da das Schweizer Bankkundengeheimnis unverändert für natürliche und juristischen Personen gilt.
Welche Massnahmen müssen Unternehmen nun treffen?
Die Ausweitung der Informationspflichten hat zur Folge, dass Unternehmen ihre Kundinnen und Kunden transparenter als bisher unter anderem über die Datenbeschaffung, die Arten der bearbeiteten Personendaten, den Bearbeitungszweck und darüber, wem die Personendaten bekanntgegeben werden, informieren müssen. Daher führen viele Unternehmen nun eine Datenschutzerklärung ein oder – wie die Schaffhauser Kantonalbank – aktualisieren und ergänzen die bestehende Erklärung.
Grosse Unternehmen sind neu verpflichtet, ein Verzeichnis aller Datenbearbeitungstätigkeiten zu führen. Sie müssen weiter eine sogenannte Datenschutz-Folgeabschätzung erstellen, wenn bei der Datenbearbeitung ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen erkennbar ist. Zudem müssen sich alle auf eine allfällige Verletzung der Datensicherheit vorbereiten. Gehen beispielsweise Personendaten bei einem Cyber-Angriff unbeabsichtigt verloren, muss der Vorfall so rasch als möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Ist es zum Schutz der betroffenen Personen erforderlich, muss das Unternehmen auch diese über den Vorfall informieren.
Private und Unternehmen, die vorsätzlich gegen das DSG verstossen, indem sie die Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten verletzten, können neu mit bis zu CHF 250'000 gebüsst werden.
Was bedeuten die neuen Bestimmungen für unsere Bankkundinnen und -kunden?
Bei der Schaffhauser Kantonalbank ändert sich bezüglich der Sicherheit der Kundendaten nichts. Bereits jetzt bestehen zahlreiche technische und organisatorische Massnahmen, durch die wir Daten bestmöglich schützen und regelmässig überprüfen. Hervorzuheben sind dabei zwei wichtige Grundprinzipien: Das Zweckbindungs- und das Need-to-know-Prinzip. Das heisst, unsere Bank bearbeitet nur Personendaten, die zur Erfüllung unserer Aufgaben oder aufgrund gesetzlicher Vorschriften notwendig sind.
Geben wir Personendaten Dritten, zum Beispiel Karten-Produzenten, bekannt, verpflichten wir diese zur Einhaltung der Datenschutzbestimmungen. Da wir als Schweizer Bank zusätzlich dem Bankkundengeheimnis unterliegen, bestehen bei uns für den Austausch von Personendaten ohnehin strenge vertragliche Regelungen. Dies stellt die Geheimhaltung durch Dritte sicher.
Ab 1. September 2023 können sich unsere Kundinnen und Kunden in der überarbeiteten Datenschutzerklärung über die Datenbearbeitung und über ihre Rechte informieren.
-
Nathalie Steinemann arbeitet als Spezialistin Recht & Compliance bei der Schaffhauser Kantonalbank. Sie bearbeitet Rechtsfragen, führt Kontrollen in verschiedenen Bereichen durch und ist Expertin für Fragen betreffend Datenschutz.
Veröffentlicht am 24. August 2023
Nathalie Steinemann, Spezialistin Recht & Compliance