Das neue Datenschutzgesetz in der Schweiz Das neue Datenschutzgesetz in der Schweiz Das neue Datenschutzgesetz in der Schweiz

Die Daten im Finanzsektor gehören zu den sensibelsten und am stärksten regulierten in der Schweiz. Die rechtliche und regulatorische Landschaft im Finanzsektor ist komplex. Anforderungen finden sich im Datenschutzgesetz, im Bankengesetz, im Geldwäschereigesetz und in den Rundschreiben der FINMA. Die jüngste Änderung ist die Inkraftsetzung des neuen Datenschutzgesetzes (nDSG) am 1. September 2023. Sie führt wesentliche Änderungen zur Stärkung der Datenschutzbestimmungen in der Schweiz ein. Während die Grundprinzipien des Schweizer Datenschutzrechts unverändert bleiben, gibt es wichtige Änderungen, die sich auf den Finanzsektor auswirken.

Dieser Artikel beleuchtet drei wichtige Änderungen, ihre Auswirkungen und die Herausforderungen, die sie für Finanzinstitute mit sich bringen.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) war wegweisend in der globalen Datenschutzgesetzgebung und hat den Finanzsektor durch die Verschärfung von Datenschutzmassnahmen, Transparenz und Rechenschaftspflicht im Umgang mit Kundendaten erheblich beeinflusst. Finanzinstitute könnten nun fälschlicherweise annehmen, dass sie mit der Einhaltung der DSGVO quasi automatisch das nDSG ebenfalls einhalten. Diese Annahme übersieht jedoch einen entscheidenden Unterschied zwischen den beiden Rechtsvorschriften. Während sich die DSGVO eher auf Leitprinzipien stützt, verfolgt das nDSG einen regelbasierten Ansatz und legt durch die neue Datenschutzverordnung (nDSV) explizite Erwartungen an die Verantwortlichen («Data Controller») und Auftragsbearbeiter («Data Processor») bei der Bearbeitung von Personendaten fest.

Die nDSV erweitert den Umfang der organisatorischen und technischen Massnahmen, die Verantwortliche und Auftragsbearbeiter bei der Bearbeitung von Personendaten umsetzen müssen, um eine den Bearbeitungsrisiken angemessene Datensicherheit zu gewährleisten. Darüber hinaus schreibt sie geeignete Massnahmen vor, um die Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit von Personendaten zu gewährleisten. Finanzinstitute als Verantwortliche und Auftragsbearbeiter bei der Bearbeitung von Personendaten stehen vor der Herausforderung, ihre bestehenden DSGVO-konformen Rahmenwerke anzupassen, um die strengeren und genauer definierten Anforderungen der nDSV zu erfüllen.

Obwohl beide Verordnungen einen wirksamen Datenschutz anstreben, bietet die regelbasierte Struktur des nDSG den Finanzinstituten eine grössere Rechtssicherheit im Vergleich zum prinzipienbasierten Ansatz der DSGVO. Die klar umrissenen Richtlinien in der nDSV lassen nur wenig Raum für Interpretationen oder Unklarheiten, was die Rechtsunsicherheit und das damit verbundene Risiko für Unternehmen verringert. Um in der Schweizer Finanzlandschaft einen vorbildlichen Datenschutz zu gewährleisten, müssen die Finanzinstitute jedoch die Komplexität der Anpassung ihrer Datenbearbeitungsverfahren an die spezifischen Bestimmungen des nDPA meistern, was eine sorgfältige Bewertung, eine akribische Koordinierung und eine strikte Einhaltung der Vorschriften erfordert.

Das nDSG hat erhebliche Fortschritte bei der Angleichung der Datenschutzbestimmungen an die DSGVO gemacht, indem es von Organisationen verlangt, ein umfassendes Verzeichnis der Bearbeitungstätigkeiten («Record of Processing Activities», ROPA) zu führen, vergleichbar mit Artikel 30 der DSGVO. Dieses Verzeichnis dient als Inventar aller vom Unternehmen durchgeführten Datenvbearbeitungstätigkeiten. Es enthält Informationen wie die Zwecke der Datenbearbeitung, die bearbeiteten Datenkategorien, die Datenempfänger, die Aufbewahrungsfristen und Einzelheiten zu allfälligen Datenübertragungen. Durch die Verpflichtung zur Führung solcher Verzeichnisse erhöht das nDSG die Transparenz und die Rechenschaftspflicht, ermöglicht es Unternehmen, ihre Einhaltung der Datenschutzgrundsätze nachzuweisen und erleichtert die Zusammenarbeit mit Aufsichtsbehörden im Falle von Untersuchungen oder Prüfungen.

Die rückwirkende Erstellung eines ROPA ist besonders für grosse Unternehmen wie grenzüberschreitend tätige Finanzinstitute eine anspruchsvolle und schwierige Aufgabe. Das ROPA ist ein umfassendes Inventar, das unter anderem sämtliche Datenbearbeitungsaktivitäten dokumentiert, einschliesslich der Zwecke, Datenkategorien, Datenempfänger und Datenübermittlungen. Für grosse Unternehmen, die bereits jahrelang Daten bearbeiten, ohne solche Aufzeichnungen zu führen, kann die rückwirkende Erstellung eines ROPA aufgrund des Umfangs und der Komplexität der betroffenen Datenbearbeitungsaktivitäten eine übermässige Belastung darstellen. Daten können über verschiedene Abteilungen und Systeme verstreut sein, selbst in verschiedenen Ländern mit unterschiedlichen Datenschutzanforderungen, was die Nachverfolgung und Erfassung aller relevanten Informationen erschwert.

Darüber hinaus sehen sich grosse Unternehmen oft mit einer Vielzahl von Datenbearbeitungsvorgängen in verschiedenen Geschäftsbereichen und Gerichtsbarkeiten konfrontiert, was den Prozess der rückwirkenden ROPA-Erstellung zusätzlich erschwert. Alle Datenbearbeitungsaktivitäten zu identifizieren, ihren Kontext zu verstehen und sie gründlich zu dokumentieren, erfordert erhebliche Ressourcen, Zeit und abteilungsübergreifende Zusammenarbeit. Das Fehlen eines bereits bestehenden ROPA kann zu Problemen beim Abrufen historischer Datenbearbeitungsinformationen und zu potenziellen Diskrepanzen in den Aufzeichnungen führen, wodurch sich Unternehmen möglicherweise einem Compliance-Risiko aussetzen.

Die Überwindung dieser Schwierigkeiten erfordert eine vollständige Datenabbildung und eine enge Abstimmung zwischen den Rechts-, IT- und Datenschutzabteilungen. Grosse Unternehmen müssen möglicherweise in spezielle Tools und Ressourcen investieren, um den Prozess zu rationalisieren und die Genauigkeit zu gewährleisten. Trotz dieser Herausforderungen ist die Einrichtung eines ROPA von entscheidender Bedeutung für die Einhaltung der Datenschutzbestimmungen und zeigt, dass sich ein Unternehmen für Datentransparenz und Rechenschaftspflicht einsetzt. Unternehmen sind dadurch in der Lage, Daten effizienter zu verwalten, Datenschutzrisiken zu minimieren und Vertrauen bei den betroffenen Personen und den Aufsichtsbehörden aufzubauen.

Die extraterritoriale Anwendung des nDSG ist ein wichtiger Schritt zur Angleichung an die DSGVO in Bezug auf die Rechtsprechung. Ähnlich wie der Geltungsbereich der DSGVO gilt das nDSG nun auch für Verantwortliche und Auftragsbearbeiter im Sinne des nDSG ausserhalb der Schweiz, wenn sie Daten von in der Schweiz ansässigen natürlichen Personen erhalten. Diese Ausweitung der territorialen Reichweite stellt sicher, dass Unternehmen im Ausland, die Schweizer Personendaten bearbeiten, ebenfalls die Anforderungen des nDSG einhalten müssen, was einen verbesserten Schutz für betroffene Personen in der Schweiz bietet, unabhängig davon, wo ihre Daten bearbeitet werden.

Ein bemerkenswerter Unterschied zwischen den beiden Rechtsvorschriften besteht jedoch in der Verhängung von Bussgeldern im Falle von Verstössen. Gemäss der DSGVO sind die Datenschutzbehörden in jedem EU-Mitgliedstaat befugt, bei Verstössen gegen Unternehmen Bussen zu verhängen, die bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist. Im Gegensatz dazu werden für die Nichteinhaltung von Vorschriften des nDSG Bussen im Rahmen des Strafrechts gegen natürliche Personen durchgesetzt. Die strafrechtlichen Bussen können bis zu 250’000 CHF betragen. 

Diese Bussen werden von Staatsanwaltschaften verhängt, was dazu führen kann, dass die Strafen über die Grenzen der Schweiz hinaus vollstreckt werden, im Gegensatz zu den Bussen nach der DSGVO, die ausschliesslich in die Zuständigkeit der Datenschutzbehörden der EU-Mitgliedstaaten fallen. Datenschutzrechtliche Untersuchungen im Sinne des nDSG können auf Antrag betroffener Personen oder durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) selbst eingeleitet werden.

Dieser Unterschied im Durchsetzungsmechanismus kann Auswirkungen darauf haben, wie Verstösse verfolgt und Strafen verhängt werden. Während die Bussgelder der DSGVO von spezialisierten Datenschutzbehörden verhängt werden, können gemäss nDPG Verstösse von den Staatsanwaltschaften verfolgt werden. Unternehmen wie Finanzinstitute, die Personendaten im Sinne des nDSG ausserhalb der Schweiz bearbeiten, müssen sich daher der potenziellen Durchsetzungsmassnahmen und rechtlichen Konsequenzen in verschiedenen Gerichtsbarkeiten bewusst sein, je nachdem, wo der Verstoss begangen wurde.

Die bevorstehende Inkraftsetzung des nDSG ist für Unternehmen eine gute Gelegenheit, ihre «Data Governance» zu überprüfen und falls notwendig zu verbessern. Dieser Schritt ist unerlässlich, um die Einhaltung der bevorstehenden Gesetzgebung zu gewährleisten und den Schutz der Rechte betroffener Personen im Sinne des DSG zu garantieren. Um dies zu erreichen, sollten Unternehmen eine umfassende Bewertung ihrer bestehenden Datenbearbeitungspraktiken durchführen, Bereiche mit Anpassungsbedarf identifizieren, ihre Richtlinien entsprechend anpassen und die Umsetzung der gesetzlich vorgeschriebenen organisatorischen und technischen Massnahmen sicherstellen.

An diesem Prozess sollten Mitarbeitende aus verschiedenen Abteilungen beteiligt sein. Dazu gehören die IT-, Rechts- und die Compliance-Abteilung sowie die Geschäftsleitung. Mit diesen Schritten können Unternehmen ihr Engagement für eine verantwortungsvolle Datenbearbeitung unter Beweis stellen, sich an die weiterentwickelnde Datenschutzlandschaft anpassen und eine Kultur der Transparenz und Compliance in der gesamten Organisation fördern.

KPMG Schweiz ist führend in der Beratung von Finanzinstitutionen zur Einhaltung der Datenschutzbestimmungen in der Schweiz und der EU. Dank unserer langjährigen Erfahrung in diesem Bereich bieten wir massgeschneiderte Lösungen an, die robuste Datenschutzmassnahmen und erhöhte Transparenz gewährleisten. Unser Leistungsausweis macht uns zu einem vertrauenswürdigen Partner für lückenlose Datenschutzkonformität im Schweizer Finanzsektor.