Am
25. September 2020 hat das Parlament das neue Datenschutzgesetz (DSG)
verabschiedet. Die dort enthaltenen Bestimmungen sollen an die seit 2018
bestehende europäische Datenschutzgrundverordnung (DSGVO) angeglichen werden.
Wann das neue Datenschutzgesetz in Kraft tritt, ist noch nicht definitiv. Es
wird derzeit gemutmasst, dass es frühestens Ende 2021/Anfang 2022 in Kraft
treten wird. Es wird jedoch keine Übergangsfristen geben, weshalb Unternehmen
gut beraten sind, sich frühzeitig auf die neuen Bestimmungen einzustellen. Für
Unternehmen, die bereits die Anforderungen der DSGVO beachtet haben, erfolgen
durch das neue DSG nur punktuelle Änderungen.
Im
Nachfolgenden möchten wir eine kurze Übersicht über die wichtigsten Änderungen,
die das neue DSG mit sich bringt, geben.
- Anwendungsbereiche
- Der räumliche
Anwendungsbereich des neuen DSG bestimmt sich nach dem sog. Auswirkungsprinzip.
Damit wird das Gesetz auch für Unternehmen mit Sitz im Ausland anwendbar, wenn
diese Personendaten bearbeiten und sich diese Datenbearbeitung in der Schweiz
auswirkt. Für ausländische Unternehmen besteht zudem eine Pflicht zur
Vertretung in der Schweiz, wenn dieses seine Tätigkeit auf die Schweiz
ausgerichtet hat und regelmässig und in grossem Umfang Personendaten
bearbeitet, die ein hohes Risiko für eine Persönlichkeitsverletzung beinhalten.
In persönlicher Hinsicht beschränkt sich das DSG neu auf natürliche Personen,
womit eine Anwendung auf Daten juristischer Personen erfreulicherweise
entfällt.
- Verzeichnis sämtlicher Datenbearbeitungen
- Unternehmen
sind grundsätzlich verpflichtet, ein Verzeichnis der Datenbearbeitung zu
führen. Dieses Verzeichnis muss mindestens die folgenden Angaben enthalten: die
Identität des Verantwortlichen, den Bearbeitungszweck, die Kategorien
betroffener Personen sowie die Kategorien bearbeiteter Personendaten. Für
Unternehmen mit weniger als 250 Mitarbeitenden und geringeren Risiken soll der
Bundesrat ermächtigt werden, Ausnahmeregelungen zu erlassen. Diese Verordnung
liegt aber noch nicht einmal im Entwurf vor, weshalb die konkreten
Ausnahmetatbestände zum jetzigen Zeitpunkt noch nicht abschätzbar sind. Das
Führen dieses Verzeichnisses wird für die meisten Unternehmen mutmasslich zum
grössten Aufwand bei der Umsetzung des DSG führen, falls nicht bereits entsprechende
Massnahmen bei der Inkraftsetzung der DSGVO getroffen wurden.
- Ausweitung des Kreises besonders
schützenswerter Personendaten
- Neu werden auch genetische und biometrische
Daten, die natürliche Personen eindeutig identifizieren sowie Daten über die
Ethnie als besonders schützenswerte Daten anerkannt.
- Profiling
- Viel diskutiert
wurde über das sog. Profiling. Neu enthält das DSG eine Legaldefinition des
Profiling, welche jener der DSGVO entspricht. Als Profiling gilt jede Art der
automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese
Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine
natürliche Person beziehen zu bewerten. Dies sind insbesondere Aspekte
bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher
Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder
Ortswechsel. Beim Profiling mit hohem Risiko muss neu eine ausdrückliche
Einwilligung der betroffenen Person abgegeben werden. Damit können sich
Unternehmen ohne Einwilligung nicht mehr auf ein berechtigtes Interesse zur
Persönlichkeitsverletzung berufen, wenn in der Datenbearbeitung zur Prüfung der
Kreditwürdigkeit ein Profiling mit hohem Risiko enthalten ist. Die Abgrenzung
zwischen normalem und Profiling mit hohem Risiko ist derzeit noch sehr
herausfordernd. Es bleibt zu hoffen, dass die ebenfalls neu zu erstellende
Datenschutzverordnung hier Klarheit bringen wird.
- Erweiterte Informationspflicht
- Personen,
von denen Daten erhoben werden, sind ausreichend Informationen zur Verfügung zu
stellen, damit diese auch von ihren Rechten Gebrauch machen können. Es muss
insbesondere die Identität, die Kontaktdaten des Verantwortlichen sowie den
Verwendungszweck beinhalten. Sollten diese Daten an Dritte oder ins Ausland
weitergeleitet werden, gibt es zusätzliche Erfordernisse. Leider enthält das
DSG keine abschliessende Liste aller Pflichtinformationen, weshalb eine
Einzelfallprüfung allenfalls notwendig sein wird.
- Erweiterung des Betroffenenrechtes
- Unternehmen
sind verpflichtet, auf Wunsch der betroffenen Person sämtliche personenbezogene
Daten an diese herauszugeben. Neu ist zudem, dass ein Recht auf
Datenportabilität besteht, d.h. dass Personen verlangen können, dass ihre Daten
an einen anderen Verantwortlichen oder Unternehmen elektronisch übertragen
werden können. Die Unternehmen müssen hierfür die entsprechenden technischen
Massnahmen ergreifen, so dass die Daten automatisiert bearbeitet und die
Personendaten mit Einwilligung oder aufgrund eines Vertrages mit der betroffenen
Person direkt bearbeitet werden können.
- Einwilligung
- Eine Einwilligung
der betroffenen Person zur Datenerhebung muss bei der Bearbeitung
von besonders schützenswerten Personendaten, bei einem Profiling mit hohem
Risiko durch eine private Person oder bei einem Profiling durch ein Bundesorgan
ausdrücklich erfolgen.
- Datenschutz durch Technikgestaltung und
datenschutzfreundliche Voreinstellungen (Privacy-by-Design und -by-Default): Entsprechend
der DSGVO sind im neuen DSG die Grundsätze des Datenschutzes durch Technik und
des Datenschutzes durch datenschutzfreundliche Voreinstellungen verankert.
Dabei müssen bei der Verarbeitung von Personendaten angemessene technische und
organisatorische Massnahmen getroffen werden, welche die Umsetzung von Datenschutzgrundsätzen
in diesen Systemen sicherstellt. Ebenso müssen die Voreinstellungen so
ausgestaltet werden, dass die Bearbeitung der Personendaten auf das für den
Verwendungszweck nötige Mindestmass beschränkt ist.
- Meldepflicht: Neu besteht auch
eine Meldepflicht bei einer Verletzung der Datensicherheit, durch die eine
Person ein hohes Risiko, z.B. eine Persönlichkeitsverletzung, erleiden könnte.
Die Meldung ist in diesem Fall so rasch als möglich an den Eidgenössischen
Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten. In der Meldung
muss enthalten sein: die Art der Datensicherheitsverletzung, die daraus
resultierenden Folgen und die geplanten und/oder bereits ergriffenen
Massnahmen.
- Datenschutz-Folgeabschätzung
- Sollte
bereits vor der geplanten Datenerhebung ersichtlich sein, dass ein hohes Risiko
für Persönlichkeits- und Grundrechtsverletzungen bestehen könnte, so ist vom
Verantwortlichen eine Datenschutz-Folgenabschätzung anzufertigen. Diese muss
enthalten: eine Beschreibung der geplanten Bearbeitung, eine Bewertung der
Risiken und die entsprechenden geplanten Schutzmassnahmen. Der EDÖB überprüft
sie und teilt allfällige Einwände mit. Für seine Rückmeldung hat er bis zu drei
Monate Zeit.
- Verschärfte Sanktionen
- Verstösse
gegen das neue DSG werden strafrechtlich sanktioniert und mit Bussen bis zu CHF
250‘000 bestraft, wenn die Mindestanforderungen an die Datensicherheit nicht
eingehalten werden, eine unzulässige Auslandsübermittlung stattfindet, oder
wenn eine nicht den Vorgaben entsprechende Auftragsbearbeitung oder die
Verletzung der Informationspflichten stattfindet. Der Strafrahmen erhöht sich
damit gegenüber dem bisherigen CHF 10‘000 erheblich. Strafrechtlich verfolgt
werden die Personen, die die Verletzung begangen haben oder auch allenfalls
leitende Organe von Unternehmen, die Verletzungen nicht unterbunden haben.
Darüber hinaus kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren
eröffnen und Verfügungen erlassen.
Kontakt
Martina Wüthrich, Partnerin
Muri Partner Rechtsanwälte AG
Sangenstrasse 3
8570 Weinfelden
+41 (0) 71 622 00 22
mrtnwthrchmr-nwltch
www.muri-anwaelte.ch
Kontakt
Kathrin Moosmann, Rechtsanwältin
Muri Partner Rechtsanwälte AG
Sangenstrasse 3
8570 Weinfelden
+41 (0) 71 622 00 22
Kathrin.Moosmann@muri-anwaelte.ch
www.muri-anwaelte.ch