Datenbearbeitungs-Inventare führen, Datenverluste melden, Datenschutzerklärungen veröffentlichen: Das und noch mehr müssen alle, die mit Daten arbeiten, künftig leisten. Die Totalrevision des Datenschutzgesetzes ist im vergangenen Herbst vom Parlament verabschiedet worden und tritt voraussichtlich 2022 in Kraft. In vielen Punkten führt sie zur Angleichung an die Datenschutzgrundverordnung der EU (DSGVO). Für die Schweizer Brokerlandschaft bedeutet das einmal mehr: zusätzlicher administrativer Aufwand ohne Wenn und Aber. Wer sich nicht an das Gesetz hält, muss mit Bussen von bis zu 250’000 Franken rechnen.
Neues Datenschutzgesetz: Das müssen Sie machen
- Neue Informations- und Dokumentationspflichten
→ Dokumente erstellen/anpassen - Bussenrisiko u. a. bei Auslandtransfers und bestimmten Service-Verträgen
→ Verträge überprüfen - Meldepflicht bei Datenverlusten und sonstigen Sicherheitspannen
→ Prozess einführen - Neues DSG meist nicht strenger als DSGVO, aber nicht identisch
→ Differenzen prüfen
Quelle: David Rosenthal, Schweizer Experte für Daten- und Technologie-Recht, Partner in der Anwaltskanzlei Vischer.
Datenschutz in letzten Jahren umgesetzt
Eine Umfrage zeigt, dass sich die grösseren Broker schon länger mit Datenschutz beschäftigen und entsprechend auf Kurs sind. «Aufgrund unserer internationalen Ausrichtung haben wir uns vor dem Inkrafttreten der DSGVO intensiv mit dem Thema auseinandergesetzt», sagt Rolf Thomas Jufer, Partner von Funk Insurance Brokers AG. «Unsere Schweizer Organisation ist deshalb bereits heute grundsätzlich bereit fürs Datenschutzgesetz.» Funk geht noch einen Schritt weiter und hat sich das Kundenportal seit 2017 nach ePrivacy zertifizieren lassen.
Auch Marco Buholzer, CEO von Verlingue Schweiz, bestätigt: «Das revidierte Datenschutzgesetz bedeutet für uns keinen grossen Mehraufwand, da wir im Zusammenhang mit der DSGVO entsprechende Anstrengungen unternommen haben.» Bei Esurance, wo Datenschutz aufgrund des digitalen Geschäftsmodells besonders wichtig ist, wurde in den letzten beiden Jahren ebenfalls systematisch an der Umsetzung gearbeitet. Orientiert hat sich der Online-Broker dabei an der internationalen Norm für Informationssicherheit ISO 27001. «Wir gehen davon aus, dass die Kunden noch aufmerksamer auf diese Themen achten werden und öfters Informationen und Erläuterungen erwarten», sagt Marketingverantwortliche Armida Wegmann.
Mehraufwand für Datenverzeichnisse
Die Informationspflicht ist gegenüber dem geltenden Recht deutlich grösser. Datenschutzerklärungen müssen unter anderem über die Identität von Verantwortlichen, Bearbeitungszwecke und die Kategorien der bearbeiteten Personendaten Aufschluss geben. Neu haben betroffene Personen zudem unter gewissen Voraussetzungen ein Recht auf Datenherausgabe und können automatisierte Entscheidungen anfechten. Den grössten administrativen Aufwand dürfte das Führen der Verzeichnisse darstellen. Überall dort, wo Daten bearbeitet werden, muss das nachvollziehbar festgehalten sein.
Es drohen happige Sanktionen
Den möglichen Sanktionen blicken die befragten Broker gelassen entgegen. Armida Wegmann sagt dazu: «Derartige Sanktionen klingen natürlich immer einschneidend. Wir sind jedoch nicht aufgrund von Bussen motiviert, eine saubere Lösung zu bieten, sondern erachten Datenschutz als sinnvoll.» Rolf Jufer findet: «Wir begrüssen die Verschärfung. Fahrlässigkeit im Datenschutz muss auch in der Schweiz konkrete Konsequenzen haben.» Im Verhältnis zur EU seien die Schweizer Massnahmen nach wie vor milde. Auch Marco Buholzer hat kein Problem mit dem Bussenkatalog und fügt an: «Allenfalls führt er dazu, dass die Anforderungen nicht vom ganzen Wettbewerb eingehalten werden können. Dies würde die Strukturbereinigung weiter beschleunigen.»
Es gibt keine Übergangsfrist
Den Datenschutzbeauftragten der Firmen wird die Arbeit also nicht so schnell ausgehen. Sie tragen letztlich die Verantwortung dafür, dass ihre Unternehmen sich an das neue Gesetz halten. Wann das neue DSG in Kraft tritt, wird vom Bund in den nächsten Wochen kommuniziert. Klar ist bereits heute: Es gibt keine Übergangsfrist und die Unternehmen müssen die Vorgaben ab dem Stichtag erfüllen.