Das neue Datenschutzgesetz - Was ist für Unternehmen wichtig? (IHK-Fokus 11/2020)

Am 25. September 2020 hat das Parlament das neue Datenschutzgesetz (DSG) verabschiedet. Die dort enthaltenen Bestimmungen sollen an die seit 2018 bestehende europäische Datenschutzgrundverordnung (DSGVO) angeglichen werden. Wann das neue Datenschutzgesetz in Kraft tritt, ist noch nicht definitiv. Es wird derzeit gemutmasst, dass es frühestens Ende 2021/Anfang 2022 in Kraft treten wird. Es wird jedoch keine Übergangsfristen geben, weshalb Unternehmen gut beraten sind, sich frühzeitig auf die neuen Bestimmungen einzustellen. Für Unternehmen, die bereits die Anforderungen der DSGVO beachtet haben, erfolgen durch das neue DSG nur punktuelle Änderungen.

Im Nachfolgenden möchten wir eine kurze Übersicht über die wichtigsten Änderungen, die das neue DSG mit sich bringt, geben.

• Anwendungsbereiche
• Der räumliche Anwendungsbereich des neuen DSG bestimmt sich nach dem sog. Auswirkungsprinzip. Damit wird das Gesetz auch für Unternehmen mit Sitz im Ausland anwendbar, wenn diese Personendaten bearbeiten und sich diese Datenbearbeitung in der Schweiz auswirkt. Für ausländische Unternehmen besteht zudem eine Pflicht zur Vertretung in der Schweiz, wenn dieses seine Tätigkeit auf die Schweiz ausgerichtet hat und regelmässig und in grossem Umfang Personendaten bearbeitet, die ein hohes Risiko für eine Persönlichkeitsverletzung beinhalten. In persönlicher Hinsicht beschränkt sich das DSG neu auf natürliche Personen, womit eine Anwendung auf Daten juristischer Personen erfreulicherweise entfällt.

• Verzeichnis sämtlicher Datenbearbeitungen
• Unternehmen sind grundsätzlich verpflichtet, ein Verzeichnis der Datenbearbeitung zu führen. Dieses Verzeichnis muss mindestens die folgenden Angaben enthalten: die Identität des Verantwortlichen, den Bearbeitungszweck, die Kategorien betroffener Personen sowie die Kategorien bearbeiteter Personendaten. Für Unternehmen mit weniger als 250 Mitarbeitenden und geringeren Risiken soll der Bundesrat ermächtigt werden, Ausnahmeregelungen zu erlassen. Diese Verordnung liegt aber noch nicht einmal im Entwurf vor, weshalb die konkreten Ausnahmetatbestände zum jetzigen Zeitpunkt noch nicht abschätzbar sind. Das Führen dieses Verzeichnisses wird für die meisten Unternehmen mutmasslich zum grössten Aufwand bei der Umsetzung des DSG führen, falls nicht bereits entsprechende Massnahmen bei der Inkraftsetzung der DSGVO getroffen wurden.
  
  
• Ausweitung des Kreises besonders schützenswerter Personendaten
  
• Neu werden auch genetische und biometrische Daten, die natürliche Personen eindeutig identifizieren sowie Daten über die Ethnie als besonders schützenswerte Daten anerkannt.
  
  
• Profiling
• Viel diskutiert wurde über das sog. Profiling. Neu enthält das DSG eine Legaldefinition des Profiling, welche jener der DSGVO entspricht. Als Profiling gilt jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen zu bewerten. Dies sind insbesondere Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel. Beim Profiling mit hohem Risiko muss neu eine ausdrückliche Einwilligung der betroffenen Person abgegeben werden. Damit können sich Unternehmen ohne Einwilligung nicht mehr auf ein berechtigtes Interesse zur Persönlichkeitsverletzung berufen, wenn in der Datenbearbeitung zur Prüfung der Kreditwürdigkeit ein Profiling mit hohem Risiko enthalten ist. Die Abgrenzung zwischen normalem und Profiling mit hohem Risiko ist derzeit noch sehr herausfordernd. Es bleibt zu hoffen, dass die ebenfalls neu zu erstellende Datenschutzverordnung hier Klarheit bringen wird.
  
  
• Erweiterte Informationspflicht
• Personen, von denen Daten erhoben werden, sind ausreichend Informationen zur Verfügung zu stellen, damit diese auch von ihren Rechten Gebrauch machen können. Es muss insbesondere die Identität, die Kontaktdaten des Verantwortlichen sowie den Verwendungszweck beinhalten. Sollten diese Daten an Dritte oder ins Ausland weitergeleitet werden, gibt es zusätzliche Erfordernisse. Leider enthält das DSG keine abschliessende Liste aller Pflichtinformationen, weshalb eine Einzelfallprüfung allenfalls notwendig sein wird.
  
  
• Erweiterung des Betroffenenrechtes
• Unternehmen sind verpflichtet, auf Wunsch der betroffenen Person sämtliche personenbezogene Daten an diese herauszugeben. Neu ist zudem, dass ein Recht auf Datenportabilität besteht, d.h. dass Personen verlangen können, dass ihre Daten an einen anderen Verantwortlichen oder Unternehmen elektronisch übertragen werden können. Die Unternehmen müssen hierfür die entsprechenden technischen Massnahmen ergreifen, so dass die Daten automatisiert bearbeitet und die Personendaten mit Einwilligung oder aufgrund eines Vertrages mit der betroffenen Person direkt bearbeitet werden können.
  
  
• Einwilligung
• Eine Einwilligung der betroffenen Person zur Datenerhebung muss bei der Bearbeitung von besonders schützenswerten Personendaten, bei einem Profiling mit hohem Risiko durch eine private Person oder bei einem Profiling durch ein Bundesorgan ausdrücklich erfolgen.
  
  
• Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Privacy-by-Design und -by-Default): Entsprechend der DSGVO sind im neuen DSG die Grundsätze des Datenschutzes durch Technik und des Datenschutzes durch datenschutzfreundliche Voreinstellungen verankert. Dabei müssen bei der Verarbeitung von Personendaten angemessene technische und organisatorische Massnahmen getroffen werden, welche die Umsetzung von Datenschutzgrundsätzen in diesen Systemen sicherstellt. Ebenso müssen die Voreinstellungen so ausgestaltet werden, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
  
  
• Meldepflicht: Neu besteht auch eine Meldepflicht bei einer Verletzung der Datensicherheit, durch die eine Person ein hohes Risiko, z.B. eine Persönlichkeitsverletzung, erleiden könnte. Die Meldung ist in diesem Fall so rasch als möglich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten. In der Meldung muss enthalten sein: die Art der Datensicherheitsverletzung, die daraus resultierenden Folgen und die geplanten und/oder bereits ergriffenen Massnahmen.
  
  
• Datenschutz-Folgeabschätzung
• Sollte bereits vor der geplanten Datenerhebung ersichtlich sein, dass ein hohes Risiko für Persönlichkeits- und Grundrechtsverletzungen bestehen könnte, so ist vom Verantwortlichen eine Datenschutz-Folgenabschätzung anzufertigen. Diese muss enthalten: eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken und die entsprechenden geplanten Schutzmassnahmen. Der EDÖB überprüft sie und teilt allfällige Einwände mit. Für seine Rückmeldung hat er bis zu drei Monate Zeit.
  
  
• Verschärfte Sanktionen
• Verstösse gegen das neue DSG werden strafrechtlich sanktioniert und mit Bussen bis zu CHF 250‘000 bestraft, wenn die Mindestanforderungen an die Datensicherheit nicht eingehalten werden, eine unzulässige Auslandsübermittlung stattfindet, oder wenn eine nicht den Vorgaben entsprechende Auftragsbearbeitung oder die Verletzung der Informationspflichten stattfindet. Der Strafrahmen erhöht sich damit gegenüber dem bisherigen CHF 10‘000 erheblich. Strafrechtlich verfolgt werden die Personen, die die Verletzung begangen haben oder auch allenfalls leitende Organe von Unternehmen, die Verletzungen nicht unterbunden haben. Darüber hinaus kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen.