Neues Datenschutzgesetz: Händler müssen jetzt etwas tun

Mit dem neuen Datenschutzgesetz der Schweiz verändern sich auch für den Handel wichtige Spielregeln. Und Missachtungen können ab jetzt teuer werden, deswegen sollten Unternehmen jetzt etwas tun.

Das neue Datenschutzrecht der Schweiz wird aller Voraussicht nach am 1. September 2023 in Kraft treten. Damit müssen sich die Händler in der Schweiz intensiver mit dem Thema Datenschutz und Datensicherheit beschäftigen. So, wie es andere Unternehmen im europäischen Ausland bereits tun. Orientiert sich das schweizerische Datenschutzgesetz doch recht eng an der Europäischen Datenschutz-Grundverordnung (DSGVO), die schon länger in Kraft ist.

Das fordert das Gesetz

Kurz zusammengefasst, fordert das revidierte Gesetz:

• Unternehmen müssen angemessene technische und organisatorische Massnahmen ergreifen, um eine dem Risiko angemessene Datensicherheit zu gewährleisten. Die Massnahmen sollen die Vertraulichkeit, Integrität und Verfügbarkeit von Personendaten bestmöglich gewährleisten. Was «angemessen» bedeutet, hängt davon ab, wie gross die Eintrittswahrscheinlichkeit eines Vorfalls und wie hoch der Schaden für die betroffene Person ist. Generell lässt sich formulieren, dass die Anforderungen an die Massnahmen steigen, je sensibler die Informationen sind, die verarbeitet werden.
• Da sich Angriffsversuche von Kriminellen verändern und auch die IT-Landschaft sich stetig wandelt, müssen die ergriffenen Massnahmen regelmässig überprüft und bei Bedarf angepasst werden.
• Aus der DSGVO werden die Grundsätze «Privacy by Design» und «Privacy by Default» übernommen. Dies bedeutet, dass bereits bei der Entwicklung und Anschaffung von technischen Lösungen darauf zu achten ist, dass möglichst wenig personenbezogene Daten verarbeitet werden. Und dass diese nach aktuellem Stand der Technik auch geschützt werden.
• Ist damit zu rechnen, dass einer betroffenen Person im Falle einer Verletzung des Datenschutzes grosse Nachteile erwachsen, muss ein Unternehmen vor der Einführung einer Verarbeitung von Personendaten eine Datenschutz-Folgenabschätzung durchführen und dokumentieren. Solche besonderen Informationen sind etwa Daten zur Gesundheit oder zu den Vermögensverhältnissen. Es muss nachgewiesen werden, welche Massnahmen ergriffen werden, um das Risiko einer Datenschutzverletzung auszuschliessen.
• Kommt es zu einer Datenpanne und besteht die Gefahr, dass Personendaten gefährdet sind oder waren, was mit einem Risiko für die Betroffenen verbunden ist, legt das Gesetz fest, dass ein Unternehmen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Datensicherheitsverletzungen so rasch als möglich melden muss. Im Zweifel sollten schwerwiegende Pannen lieber einmal zu viel als zu wenig gemeldet werden. Zudem müssen Unternehmen auch die von der Datensicherheitsverletzung betroffenen Personen direkt informieren. Gelingt es unbefugten Dritten, beispielsweise an Passwörter und Kundendaten zu gelangen, noch dazu, wenn diese Zahlungsinformationen umfassen, wäre dies ein Vorfall, der die Benachrichtigung obligatorisch macht. Unabhängig davon, ob es sich um eine Attacke handelte oder ob Fahrlässigkeit des Unternehmens im Spiel war.

Harte Sanktionen drohen

Verletzungen von Datenschutz und Datensicherheit waren schon immer mit Kosten verbunden. Der Stillstand eines Onlineshops wegen einer erfolgreichen Attacke kostet Umsatz. Und wird der Vorfall bekannt, nimmt die Reputation des Unternehmens Schaden, was sich ebenfalls in weniger Umsatz ausdrücken kann. Anders als im bisherigen Recht drohen bei der vorsätzlichen Verletzung der Datensicherheit (worunter auch die fahrlässige Inkaufnahme fällt) strafrechtliche Sanktionen mit Bussen von bis zu 250 000 Franken. Als Schweizer Besonderheit richten sich die Bussgelder nicht gegen das Unternehmen. Vielmehr sind es strafrechtliche Sanktionen, die gegen die für die Datenschutzverletzung verantwortliche Person gerichtet sind.

Gerade unter dem Aspekt der Strafwürdigkeit sollten sich Handelsunternehmen also verstärkt für den Datenschutz einsetzen.

Auf Outsourcing und Datenexport achten!

Um die bereits erwähnten technischen und organisatorischen Massnahmen umzusetzen, ist es ratsam, sofern noch nicht passiert, ein Verzeichnis über das «Daten-Inventar» aufzustellen. Das sieht das Datenschutzgesetz auch explizit vor. Daraus wird ersichtlich, an welchen Stellen Daten mit Bezug auf eine Person gespeichert und verarbeitet werden.

Die meisten Onlineshops werden auf technische Elemente zugreifen, die von Dritten zur Verfügung gestellt werden (z. B. Tools zur Newsletterverwaltung oder Payment-Systeme). Die Verarbeitung und Speicherung der Daten erfolgt also nicht beim Unternehmen selbst. Allerdings bleibt der Händler verantwortlich für die Datensicherheit. Deswegen sollten mit allen externen Dienstleistern Verträge über diese «Auftragsbearbeitung» geschlossen werden. Das wird mit einem standardisierten Auftragsverarbeitungsvertrag (AVV) nach europäischem Vorbild erledigt, der auf Englisch auch als «Data Processing Agreement» (DPA) bezeichnet wird. Entsprechende Verträge sollten inzwischen alle seriösen Dienstleister bereits vorbereitet haben.

Wenn die Systeme des Anbieters im Ausland liegen, also etwa der Newsletterdienst seinen Sitz ausserhalb der Schweiz hat, handelt es sich bei der Verarbeitung der Daten um einen Export. Hier ist zu beachten, dass der EDÖB eine Liste der Länder führt, deren Gesetzgebung ein angemessenes Datenschutzniveau erlaubt. Das sind etwa die Mitgliedstaaten im Europäischen Wirtschaftsraum (EWR), Grossbritannien, Kanada, Israel und Neuseeland. Grundsätzlich bedeutet dies: Ist es nicht möglich, die Daten auf einem Server verarbeiten zu lassen, der sich in einem der genannten Staaten befindet, sollte auf die Verarbeitung verzichtet werden, weil der Datenexport nicht gestattet ist.