Das revidierte Schweizer Datenschutzgesetz tritt voraussichtlich 2022 in Kraft. Die Änderungen im Gesetz werden Auswirkungen auf den Inhalt und die Prüfung des Zewo-Standards 19 haben. Die wichtigsten Neuerungen, was die Zewo im Hinblick auf das revidierte Datenschutzrecht im Standard 19 präzisieren sollte und wie die Prüfung in Zukunft aussehen könnte, wurde am 8. November 2021 im Rahmen einer Fokusgruppe diskutiert.
Was wird sich im Gesetz ändern?
Der Datenschutzexperte Nicolas Mosimann, Partner der Kanzlei Kellerhals Carrard, gab den rund 60 Vertreterinnen und Vertreter von zertifizierten NPO einen Überblick über die wichtigsten Punkte der Gesetzesrevision. Künftig wird die Transparenz erhöht. Die Rechte von privaten Personen werden gestärkt. Die Prävention, die Eigenverantwortung der Datenbearbeiter und die Datenschutzaufsicht wird gefördert. Ausserdem werden die Strafbestimmungen bei Verstössen ausgebaut. Das heisst, NPO werden in Zukunft bei der Bearbeitung von Personendaten verschärfte Regelungen beachten müssen. Sie sollten ihr Datenschutz-Konzept bis zum Inkrafttreten des revidierten Gesetzes überprüfen und – wo nötig – anpassen. Dazu gehören beispielsweise das Erstellen von Datenschutzerklärungen und Verzeichnissen der Bearbeitungstätigkeiten, die Anpassung der Datenbearbeitungsprozesse, die Ernennung eines Datenschutzbeauftragten, der Abschluss von Auftragsdatenbearbeitungsverträgen etc.
Zewo-Standard 19 soll nicht neu erfunden werden
In Gruppendiskussionen hatten die Teilnehmerinnen und Teilnehmer die Möglichkeit, einzelne Aspekte des neuen Datenschutzgesetzes zu diskutieren und der Zewo Feedback zu geben. So wurde die Tiefe der Prüfung durch die Zewo, die Aufbewahrungsfristen, das Profiling sowie der Bedarf nach weitergehenden Empfehlungen oder Vorgaben der Zewo diskutiert. Der Tenor der Anwesenden war, dass der Zewo-Standard zum Datenschutz nicht strenger als das Gesetz aber auch nicht lockerer als bisher werden soll. Die Prüfung durch die Zewo soll darauf abzielen, dass sich die NPO angemessen mit dem neuen Datenschutzrecht befasst. Es wird aber keine juristische Beurteilung durch die Zewo erwartet, die der NPO bescheinigt, dass sie datenschutzkonform ist. Weiter würde begrüsst, wenn die Zewo Beispiele für Datenschutzerklärungen, Leitfäden, Good Practice etc. bereitstellt. Dabei gilt es jedoch zu berücksichtigen, dass es keine Musterlösung gibt, die für alle passt. Die internen Datenschutzregelungen müssen auf die Gegebenheiten der jeweiligen Organisation angepasst werden.
Nächste Schritte
Vor einer Anpassung des Datenschutz-Standards gibt es eine schriftliche Vernehmlassung, zu der verschiedene Anspruchsgruppen Stellung nehmen können. Dieser Prozess startet, sobald die definitive Verordnung zum revidierten Datenschutzrecht verabschiedet ist und das Gesetz in Kraft tritt. Bitte kontaktieren Sie uns, falls Sie bereits heute Anregungen zur Überarbeitung des Zewo-Standards 19 haben.