Der lange Weg zum revidierten Schweizer Datenschutzgesetz
Am 25. September 2020 hat das Schweizer Parlament die Totalrevision des Schweizer Datenschutzgesetzes (DSG) verabschiedet. Nach einer 100-tägigen Referendumsfrist entscheidet der Bundesrat im Januar 2021, auf wann das revidierte DSG (revDSG) in Kraft tritt. Aufgrund der heutigen Ausgangslage ist davon auszugehen, dass dies erst im Jahr 2022 erfolgt, da zunächst noch die entsprechende Verordnung erarbeitet werden muss. Das Zustandekommen eines Referendums ist unwahrscheinlich.
Wichtigste Neuerungen
Gegenüber geltendem Recht führt die Revision zu folgenden wichtigsten Neuerungen:
Kein Schutz mehr von Daten juristischer Personen
Künftig werden lediglich noch natürliche Personen geschützt, während die juristischen Personen (z. B. AG, GmbH usw.) sich für ihren Schutz nicht mehr auf das revDSG berufen können. Ihnen verbleibt der Schutz durch das Firmenrecht sowie weitere bestehende Bestimmungen der Rechtsordnung (z. B. Persönlichkeitsschutz nach ZGB, UWG).
Besonders schützenswerte Personendaten
Die Auflistung der besonders schützenswerten Personendaten wird um genetische Daten sowie um biometrische Daten (z. B. Fingerabdruck oder Retina-Scan) erweitert. Somit gelten auch hier künftig qualifizierte Rechtsfolgen, beispielsweise bei der Einwilligung, der Datenschutz-Folgenabschätzung oder der Datenbekanntgabe an Dritte.
Profiling und Profiling mit hohem Risiko
Profiling ist jede Art der automatisierten Bearbeitung von Personendaten, um bestimmte persönliche Aspekte einer natürliche Person zu bewerten. Profiling mit hohem Risiko liegt dann vor, wenn Personendaten automatisiert bearbeitet werden und eine Verknüpfung von Daten die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Bei Profiling mit hohem Risiko muss eine allenfalls erforderliche Einwilligung ausdrücklich erfolgen.
Auftragsbearbeiter
Das Auftragsbearbeitungsverhältnis (Outsourcing, z. B. in die Cloud) kann durch Vertrag oder Gesetz begründet werden. Der Auftragsbearbeiter hat die Daten gleich zu bearbeiten wie der Verantwortliche. Der Verantwortliche hat sich dabei zu vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Die Übertragung an einen Unterauftragnehmer bedarf der vorgängigen Genehmigung des Verantwortlichen.
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Der Verantwortliche muss die Datenbearbeitung ab der Planung so gestalten, dass die Datenschutzvorschriften und insbesondere die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Weiter müssen die Voreinstellungen so eingestellt sein, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck notwendige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Privacy by Default).
Erweiterung Informationspflichten
Betroffenen Personen müssen bei der Beschaffung von Personendaten folgende Mindestanforderungen mitgeteilt werden: Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck, allfällige Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfänger, denen Personendaten bekannt gegeben werden, sowie bei Bekanntgabe ins Ausland zusätzlich auch der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten.
Ausbau Auskunftspflichten
Betroffene Personen haben neu Anspruch auf jede Information, welche für sie erforderlich ist, um ihre Rechte nach dem revidierten Datenschutzgesetz geltend zu machen. Die Auskunft ist daher nicht auf die abschliessend definierten Mindestinformationen beschränkt.
Recht auf Datenübertragbarkeit
Mit dem Recht auf Datenherausgabe und Datenübertragung (Datenportabilität) kann die betroffene Person kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.
Automatisierte Einzelfallentscheidung
Der Verantwortliche muss die betroffene Person über eine Entscheidung informieren, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Die betroffene Person muss dabei die Möglichkeit haben, ihren Standpunkt darzulegen, und kann verlangen, dass die Entscheidung von einer natürlichen Person geprüft wird.
Datenschutz-Folgenabschätzung
Weiter ist der Verantwortliche verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Dabei sind die geplante Bearbeitung, die entstehenden Risiken sowie geeignete Massnahmen dagegen zu beschreiben.
Meldung von Verletzungen des Datenschutzes
Bei einer Datenschutzverletzung hat der Verantwortliche dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich Meldung zu erstatten, wenn grosse Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen bestehen. Zudem müssen in der Regel auch die Betroffenen informiert werden, sofern dies zu ihrem Schutz erforderlich ist. Auch der Auftragsbearbeiter muss eine Verletzung der Datensicherheit so rasch als möglich dem Verantwortlichen melden, der dann die weiteren Schritte einzuleiten hat.
Sanktionen
Natürliche Personen können bei vorsätzlicher Verletzung der Informations- und Auskunftspflichten sowie der Sorgfaltspflichten neu mit einer Busse bis 250 000 Franken bestraft werden. Ausreichend ist der Eventualvorsatz, also bereits dann, wenn man eine Verletzung in Kauf nimmt.
Empfehlungen für Unternehmen
Bis zum Inkrafttreten des revidierten DSG ist Unternehmen zu empfehlen, zunächst eine Bestandesaufnahme ihrer Datenbearbeitungen (Personendaten) durchzuführen, um anschliessend im Rahmen einer Gap-Analyse den datenschutzrechtlichen Handlungsbedarf festzustellen. Dies sollte unabhängig davon erfolgen, ob bereits DSGVO-Massnahmen umgesetzt wurden, da gewisse Unterschiede beim revDSG zu berücksichtigen sind. Ausgehend von diesem Feststellungsergebnis können die erforderlichen Massnahmen priorisiert und umgesetzt werden.
Um später neu hinzukommende oder abgeänderte Datenbearbeitungen erfassen zu können, ist ein Monitoring- und Reviewprozess aufzusetzen, damit zeitnah auf die entsprechend geänderte Situation reagiert werden kann. Parallel dazu sind die Mitarbeitenden aller Stufen zu sensibilisieren und zu schulen. Dies mit dem Ziel, dass sie sich nicht einer persönlichen Strafbarkeit aussetzen. Und damit auch das Unternehmen nicht Gefahr läuft, sich den bereits unter dem aktuellen Datenschutzrecht bestehenden und auch künftig verbleibenden zivilrechtlichen Klagen wegen Persönlichkeitsverletzung oder administrativen Sanktionen durch den EDÖB stellen zu müssen und allenfalls zusätzlich einen Reputationsschaden zu erleiden.
Zum Autor
RA Dr. iur. Reto Fanger ist Gründer/Inhaber der ADVOKATUR FANGER – Anwaltsboutique für ICT-, Daten-, Medien- und Arbeitsrecht; Founding Partner der Swiss Business Protection AG ¬– dem Kompetenzcenter Wirtschaftsschutz Schweiz; Dozent an der Hochschule Luzern (HSLU); Co-Organisator und -Tagungsleiter des Lucerne Law & IT Summit (LITS) der Universität Luzern.
0 Kommentare
Teilen Sie uns Ihre Meinung mit