Das revidierte Datenschutzgesetz (revDSG) wird per 1. September 2023 in Kraft treten. Es übernimmt etwa 80 % des Inhalts der Europäischen Datenschutzgrundverordnung (DSGVO), ist aber viel schlanker abgefasst. Dennoch ist das revDSG gegenüber dem bisherigen Stand erheblich umfangreicher geworden, denn es wartet u. a. mit neuen Begriffen und Rollen auf und definiert neue Aufgaben. Zu den technischen Herausforderungen mittels Voreinstellungen zählen die «Privacy by Default» und die «Privacy by Design».

Neue Rollen

Als «Verantwortlicher» (oder «Controller») gemäss Art. 5 lit. j revDSG gelten natürliche oder juristische Personen («private Person») oder Behörden, die über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden. «Auftragsbearbeiter» (oder «Processor») sind gemäss Art. 5 lit. k revDSG natürliche oder juristische Personen («private Person») oder Behörden, die im Auftrag des Verantwortlichen solche Daten verarbeiten, was regelmässig auf Treuhänderinnen und Treuhänder zutrifft.

Weiter regelt Art. 10 revDSG die Funktion und Rolle der Datenschutzberaterin bzw. des Datenschutzberaters. Diese Funktion ist freiwillig; es kann sich um eine unternehmensinterne oder -externe Person handeln.

Der oder die Verantwortliche ist vom Gesetzgeber am weitestgehenden in die Pflichten genommen und trägt die Gesamtverantwortung für die Datenbearbeitung, auch jene des Auftragsbearbeiters. Deshalb ist damit zu rechnen, dass die Verantwortlichen im Vorfeld der Beauftragung einer Treuhänderin oder eines Treuhänders die Anforderungen an die Datensicherheit prüfen werden (Due Diligence; Abstellen auf eine Zertifizierung, z. B. nach ISO 27001:2013) und sich mittels Outsourcing Vertrags das Recht für periodische Überprüfungen (Audit Rights) einräumen lassen.

Treuhänder*innen als Auftragsbearbeitende dürfen Daten nur so bearbeiten, wie es der Verantwortliche selbst auch tun dürfte (Art. 9 Abs. 1 lit. a revDSG) und nur dann, wenn keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet (Art. 9 Abs. 1 lit. b revDSG). Weiter darf die Bearbeitung seitens des Auftragsbearbeiters nur mit vorgängiger Genehmigung des Verantwortlichen einem (weiteren) Dritten übertragen (Art. 9 Abs. 3 revDSG, Art. 7 DSV).

Neue Aufgaben

Das Treuhandunternehmen als Auftragsbearbeiter muss in der Lage sein, die ihm anvertrauten Personendaten angemessen gegen unbefugten Zugriff, unbeabsichtigten Verlust, Schädigung oder Zerstörung zu schützen, d.h. er muss die Datensicherheit gewährleisten (Art. 9 Abs. 2 revDSG). Je sensibler die Daten, umso höher sind die Schutzmassnahmen. Eine Verletzung der Datensicherheit ist dem Verantwortlichen zu melden (Art. 24 Abs. 3 revDSG). Es empfiehlt sich, einen Prozess einzuführen, um die Datensicherheitsverletzungen zu dokumentieren, zu bewerten und zu melden.

Zentral ist die Erstellung eines Dateninventars nach Art. 12 revDSG. Es handelt sich um eine interne schriftliche Darstellung der wesentlichen Informationen zu allen Datenbearbeitungen des Verantwortlichen oder des Auftragsbearbeiters: Wer bearbeitet welche Daten (Personendaten, Sachdaten, besonders schützenswerte Daten) zu welchem Zweck? Art. 12 Abs. 2 revDSG schreibt den Mindestinhalt für das Bearbeitungsverzeichnis eines Verantwortlichen vor, Art. 12 Abs. 3 revDSG den Inhalt des Bearbeitungsverzeichnisses des Auftragsbearbeiters. Bemerkenswerterweise ist nur die Verweigerung der Herausgabe des Verzeichnisses an den EDÖB strafbar (Art. 60 Abs. 2 i.V.m. Art. 49 Abs. 3 revDSG), nicht jedoch das fahrlässige Unterlassen oder die fehlerhafte Erstellung.

Datenschutzrecht wird Nebenstrafrecht

Die Verletzung bestimmter datenschutzrechtlicher Pflichten kann gemäss Art. 60 ff. revDSG zu einer Busse von bis zu CHF 250‘000 führen. Bestraft werden – im Gegensatz zur DSGVO – die letztlich verantwortlichen Mitarbeitenden, nicht jedoch das Unternehmen. Die Sanktionierung des Unternehmens ist als Ausnahmebestimmung konzipiert (Art. 64 revDSG). Bestraft wird nur eine vorsätzliche Begehung der Tat auf Antrag hin (kein Offizialdelikt). Die Verfolgungsverjährung beträgt 5 Jahre (Art. 66 revDSG).

Take aways für die treuhänderische Beratung

Die Unternehmen sind mit erhöhten Dokumentations-, Auskunfts- und Meldepflichten konfrontiert und werden sich ihrer datenschutzrechtlichen Compliance frühzeitig annehmen. Auch wenn die Strafbarkeitslatte hoch liegt, wird die Strategie darauf ausgelegt werden, dass die Unternehmen die datenschutzrechtlichen Anforderungen erfüllen.

Bei der Weitergabe von Personendaten an Auftragsbearbeiter wie Treuhänder*innen, werden sich die neuen Anforderungen – neben den gesetzlichen Bestimmungen – in den Outsourcing Verträgen entsprechend niederschlagen.

Treuhandunternehmen sind insbesondere gehalten, die Datensicherheit zu gewährleisten und ein Dateninventar zu erstellen.

Damit Treuhänder*innen im Sinne des revDSG bestraft werden, muss vieles schief laufen.

>> Arbeits- und Sozialversicherungsrecht im KMU - Tagesseminar am 23.5.2023 >> Melden Sie sich jetzt an!