Bereit für das neue Schweizer Datenschutzgesetz? Das müssen Sie beachten
Voraussichtlich Mitte/Ende 2022 wird das neue Schweizer Datenschutzgesetz (nDSG) in Kraft treten, welches den aktuellen Erlass aus dem Jahr 1992 ersetzen wird. Dieser ist in Anbetracht der rasanten technologischen Entwicklung ziemlich in die Jahre gekommen, gab es doch bei seiner Inkraftsetzung 1992 weder Google, Facebook noch das iPhone. Das Ziel der Revision ist die Anhebung des Datenschutzrechts auf das Niveau der EU und entsprechend eine Annäherung an die EU-Datenschutzverordnung (DSGVO).
Nachfolgend die wichtigsten Neuerungen gegenüber dem geltendem Recht:
1. Kein Schutz mehr von Daten juristischer Personen
Bis anhin fielen natürliche und juristische Personen unter das Schweizer Datenschutzgesetz (DSG). Neu ist das Schweizer DSG nur noch auf natürliche Personen anwendbar, die Daten von juristischen Personen fallen nicht mehr darunter. Letztere können sich aber weiterhin z.B. auf den Persönlichkeitsschutz nach ZGB berufen.
2. Neue Kategorien von besonders schützenswerten Personendaten
Die Kategorien der besonders schützenswerten Personendaten wurden erweitert. Neu zählen auch Daten über die Zugehörigkeit zu einer Ethnie, genetische Daten und biometrische Daten, die eine natürliche Person eindeutig identifizieren, dazu.
3. Regelung des Profilings
Aktuell ist das „Profiling“ nicht explizit im Gesetz erwähnt. Neu enthält das Datenschutzgesetz eine Legaldefinition von „Profiling“ und „Profiling mit hohem Risiko“. Profiling mit hohem Risiko liegt dann vor, „wenn die automatisierte Bearbeitung von Personendaten und eine Verknüpfung von Daten die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt.“ Bei Profiling mit hohem Risiko muss eine allenfalls erforderliche Einwilligung der betroffenen Person für die Datenbearbeitung ausdrücklich vorliegen.
4. Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Die beiden Grundsätze des „Datenschutzes durch Technik“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ sind neu im Datenschutzgesetz verankert. Datenschutz durch Technik (Privacy-by-Design) bedeutet, dass vom Verantwortlichen bereits bei der Planung der Verarbeitung von Personendaten angemessene technische und organisatorische Massnahmen getroffen werden müssen, um die Umsetzung von Datenschutzgrundsätzen zu gewährleisten (z.B. Datenminimierung, selektiver Passwortschutz, etc.). Beim Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy-by-Default) geht es darum, dass beispielsweise Apps oder Websites so gestaltet werden, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
5. Auftragsbearbeiter
Neu darf ein Auftragsbearbeiter von Daten nur mit vorgängiger Genehmigung des Verantwortlichen einen Dritten für die Datenbearbeitung beiziehen. Im aktuellen Datenschutzgesetz ist diese Genehmigung noch nicht erforderlich.
6. Verzeichnis sämtlicher Bearbeitungstätigkeiten
Der Verantwortliche muss neu ein Verzeichnis über sämtliche Bearbeitungstätigkeiten von Daten führen. Wird die Datenbearbeitung an einen Auftragsbearbeiter delegiert, müssen der Verantwortliche und der Auftragsbearbeiter je ein separates Verzeichnis führen.
Folgende Mindestangaben müssen in einem solchen Verzeichnis enthalten sein:
– Identität des Verantwortlichen;
– Bearbeitungszweck;
– eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
– die Kategorien der Empfängerinnen und Empfänger;
– wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
– wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden);
– falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.
Davon ausgenommen sind Unternehmen mit weniger als 250 Mitarbeitenden, deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.
7. Bekanntgabe von Personendaten ins Ausland
Die Bekanntgabe von Personendaten ins Ausland wird neu formell anders geregelt: der Bundesrat legt verbindlich fest, welche Staaten über einen angemessenen Datenschutzstandard verfügen und folglich wohin der Datenexport erlaubt ist. Bisher hat der EDÖB dies festgelegt, seine Länderliste war jedoch nicht verbindlich. In der Praxis dürfte diese Änderung kaum Auswirkungen haben.
8. Erweiterte Informationspflicht
Die Informationspflicht gegenüber der betroffenen Person wird im nDSG stark ausgebaut. Neu gibt es eine generelle Informationspflicht bei der Beschaffung von Personendaten, bis anhin hat die Pflicht nur die Beschaffung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen betroffen.
Der betroffenen Person sind mindestens folgende Informationen mitzuteilen: Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck, Empfänger und Empfängerinnen oder Kategorien von Empfängern und Empfängerinnen, denen Personendaten bekannt gegeben werden, sowie bei Bekanntgabe von Daten ins Ausland zusätzlich der Staat und gegebenenfalls die Garantien für einen geeigneten Datenschutz oder einen allfälligen Ausnahmetatbestand.
Im neuen Datenschutzgesetz ist nicht geregelt, auf welchem Weg die betroffene Person informiert werden muss. Es gibt also kein gesetzliches Formerfordernis hierfür, aber es ist eine angemessene Form zu wählen. Ob z.B. eine Datenschutzerklärung auf der Website dafür ausreichend ist, wird sich zeigen müssen.
9. Ausbau der Betroffenenrechte
Neben den erweiterten Informationspflichten erhalten Betroffene im nDSG weitere Rechte. So kann zukünftig jede Person vom Verantwortlichen kostenlos die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format verlangen. Weiter kann Sie auch verlangen, dass ihre Personendaten an einen anderen Verantwortlichen in maschinenlesbarer Form übertragen werden. Dieses Auskunftsrecht kann unter bestimmten Voraussetzungen eingeschränkt werden. Ferner haben Betroffene bei sog. automatisierten Einzelfallentscheidungen (d.h. eine Entscheidung, die ausschliesslich von Computerprogrammen getroffen wurde) ein Widerspruchsrecht. Die Person bekommt die Möglichkeit, ihren Standpunkt darzulegen und kann verlangen, dass die Entscheidung von einer natürlichen Person geprüft wird.
10. Datenschutz-Folgenabschätzung
Vor einer Datenbearbeitung muss neu eine Datenschutz-Folgeabschätzung vom Verantwortlichen vorgenommen werden, wenn eine beabsichtige Datenbearbeitung ein hohes Risiko einer Verletzung der Persönlichkeit oder der Grundrechte der betroffenen Person mit sich bringt. D.h. der Verantwortliche muss insbesondere die geplante Bearbeitung, die entstehenden Risiken sowie geeigneten Massnahmen dagegen darlegen.
11. Meldung von Verletzungen des Datenschutzes
Der Verantwortliche muss neu dem EDÖB bei einer Datenschutzverletzung sobald wie möglich Meldung erstatten, wenn grosse Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person bestehen. Ist es zu ihrem Schutz erforderlich, muss auch die betroffene Person informiert werden. Geschah die Datenschutzverletzung bei einem Auftragsbearbeiter, muss dieser die Verletzung so rasch als möglich dem Verantwortlichen melden.
12. Ausbau der Befugnisse des EDÖB
Der EDÖB hat neu erweiterte Kompetenzen zur Durchsetzung des nDSG. Er kann von Amtes wegen oder auf Anzeige eine Untersuchung einleiten und bei Verstössen gegen Datenschutzvorschriften weitreichende Massnahmen anordnen, wie die Anpassung oder Unterbrechung der Datenbearbeitung oder gar die Datenlöschung.
Ferner stehen den betroffenen Personen zivilrechtliche Rechtsbehelfe zur Durchsetzung ihrer Ansprüche zur Verfügung. Gleichzeitig wurde die Zivilprozessordnung (ZPO) angepasst, welche die entsprechenden Gerichtsverfahren für kostenlos erklärt.
13. Verschärfte Sanktionen
Der Bussenkatalog wurde im nDSG deutlich verschärft. Neu können private Personen, d.h. die fehlbaren Entscheidungsträger, mit einer Busse von bis zu CHF 250’000.- bestraft werden, wenn sie vorsätzlich die Informations- und Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten verletzen. Eventualvorsatz, also die Inkaufnahme der tatsächlich eingetretenen Verletzung, ist bereits ausreichend.
Was ist zu tun?
Bis zum Inkrafttreten des revidierten Schweizer Datenschutzgesetzes empfehlen wir Ihnen die folgenden Schritte:
- Innerhalb des Unternehmens regeln, wer Zugriff auf welche Daten hat und wer zuständig für den Datenschutz ist;
- Mitarbeitende auf die Thematik sensibilisieren und schulen;
- Prozessablauf für die Meldung von Datenschutzverletzungen festlegen;
- Bestehende Datenschutzerklärung prüfen und gegebenenfalls anpassen;
- Verzeichnis über sämtliche Datenbearbeitungen erstellen;
- Verträge mit Auftragsbearbeitern prüfen, allenfalls Einwilligung für eine Unter-Auftragsbearbeitung erteilen;
- Prozess für die Datenschutz-Folgenabschätzung einführen.
Haben Sie weitere Fragen? Das HütteLAW-Team berät Sie gerne.
Author: Stephanie Kaiser
This content appears as a courtesy of HütteLAW, a proud member of the China Collaborative Group (CCG Association). It is informational in nature and does not constitute legal advice or establish an attorney-client relationship between you and its author, publisher or any member of CCG. For more information, please visit www.huettelaw.ch.