Hintergrund

Das ist neu am revidierten Schweizer Datenschutzgesetz

Uhr
von Reto Fanger, Rechtsanwalt und Gründer Advokatur Fanger

Das Parlament hat das totalrevidierte Schweizer Datenschutzgesetz (DSG) am 25. September 2020 angenommen – nach diversen Schwierigkeiten. Das neue DSG ist am 1. September 2023 in Kraft getreten und bringt einige Neuerungen mit sich, die bei Missachtung auch Bussen nach sich ­ziehen können.

Das totalrevidierte Schweizer Datenschutzgesetz (DSG) hat – nach einer problematischen Schwangerschaft und trotz Zangengeburt – mit seiner Annahme durch das Schweizer Parlament am 25. September 2020 und dem ungenutzten Verstreichen der Referendumsfrist ohne weitere Komplikationen und in bester Gesundheit das Licht der Welt erblickt. Seit April 2022 ist bekannt, dass der Bundesrat vorsah, das revidierte DSG am 1. September 2023 in Kraft zu setzen. Das revidierte DSG ist ab sofort und ohne Übergangsfrist direkt anwendbar.

Wichtigste Neuerungen der Revision

Die wichtigsten Neuerungen des DSG umfassen folgende Punkte:

Kein Schutz mehr von Daten juristischer Personen: Von nun an sind lediglich noch natürliche Personen geschützt, während sich die juristischen Personen (AG, GmbH etc.) für ihren Schutz nicht mehr auf das DSG berufen können. Ihnen verbleibt der Schutz durch das Firmenrecht sowie weitere bestehende Bestimmungen der Rechtsordnung (z. B. Persönlichkeitsschutz nach ZGB, UWG).

Besonders schützenswerte Personendaten: Die Auf­listung der besonders schützenswerten Personendaten wurde um genetische Daten sowie um biometrische Daten (z. B. Fingerabdruck oder Retina-Scan) erweitert. Somit gelten auch hier qualifizierte Rechts­folgen, beispielsweise bei der Einwilligung, der Datenschutz-Folgenabschätzung oder der Datenbekannt­gabe an Dritte.

Profiling und Profiling mit hohem Risiko: Profiling ist jede Art der automatisierten Bearbeitung von Personendaten, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Profiling mit hohem Risiko liegt dann vor, wenn Personendaten automatisiert bearbeitet werden und eine Verknüpfung von Daten die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Bei Profiling mit hohem Risiko muss eine allenfalls erforderliche Einwilligung ausdrücklich erfolgen.

Auftragsbearbeiter: Das Auftragsbearbeitungsverhältnis (Outsourcing, z. B. in die Cloud) kann durch Vertrag oder Gesetz begründet werden. Der Auftragsbearbeiter hat die Daten gleich zu bearbeiten wie der Verantwort­liche. Der Verantwortliche hat sich dabei zu vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Die Übertragung an einen Unterauftragnehmer bedarf der vorgängigen Genehmigung des Verantwort­lichen.

Datenschutz durch Technik und datenschutzfreund­liche Voreinstellungen: Der Verantwortliche muss die Daten­bearbeitung ab der Planung so gestalten, dass die Datenschutzvorschriften und insbesondere die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Weiter müssen die Voreinstellungen so eingestellt sein, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck notwendige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Pri­vacy by Default).

Erweiterung der Informationspflichten: Betroffenen Personen müssen bei der Beschaffung von Personendaten folgende Mindestanforderungen mitgeteilt werden: Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck, etwaige Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekannt gegeben werden sowie bei Bekanntgabe ins Ausland zusätzlich auch der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten.

Ausbau der Auskunftspflichten: Betroffene Personen ­haben neu Anspruch auf jede Information, die für sie ­erforderlich ist, um ihre Rechte nach dem DSG ­geltend zu machen. Die Auskunft ist daher nicht auf die abschlies­send definierten Mindestinformationen ­beschränkt.

Recht auf Datenübertragbarkeit: Mit dem Recht auf Datenherausgabe und Datenübertragung (Daten­portabilität) kann die betroffene Person kostenlos vom Verantwort­lichen die Herausgabe ihrer Personen­daten beziehungsweise deren Übertragung an einen anderen Verantwort­lichen in maschinenlesbarer Form ver­langen.

Automatisierte Einzelfallentscheidung: Der Verantwort­liche muss die betroffene Person über eine Entscheidung informieren, die ausschliesslich auf einer ­automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Die betroffene Person muss dabei die Möglichkeit haben, ihren Standpunkt darzulegen und kann verlangen, dass die Entscheidung von einer natürlichen Person geprüft wird.

Datenschutz-Folgenabschätzung: Des Weiteren ist der Verantwortliche verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Dabei sind die geplante Bearbeitung, die entstehenden Risiken sowie geeignete Massnahmen dagegen zu beschreiben.

Meldung von Verletzungen des Datenschutzes: Bei einer Datenschutzverletzung hat der Verantwortliche dem EDÖB so rasch wie möglich Meldung zu erstatten, wenn grosse Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen bestehen. Zudem müssen in der Regel auch die Betroffenen informiert werden, sofern dies zu ­ihrem Schutz erforderlich ist. Auch der Auftragsbearbeiter muss eine Verletzung der Daten­sicherheit so rasch wie möglich dem Verantwortlichen melden, der dann die weiteren Schritte einzuleiten hat.

Sanktionen: Natürliche Personen können bei vorsätzlicher Verletzung der Informations- und Auskunftspflichten sowie der Sorgfaltspflichten neu mit einer Busse bis 250 000 Franken bestraft werden. Ausreichend ist der Eventualvorsatz, weshalb die Strafbarkeit bereits gegeben ist, wenn eine tatsächlich eingetretene Verletzung in Kauf genommen wurde. Dies führt dazu, dass – im Gegensatz zur DSGVO, bei der lediglich Unternehmen oder Organisationen im Fokus stehen – nach nun geltenden DSG Verantwortliche im Unternehmen wie CEOs, CIOs oder andere Funktionen direkt sanktioniert werden können. Die Zuständigkeit liegt dabei bei den kantonalen Staatsanwaltschaften.

Neben diesen zusätzlichen strafrechtlichen Sanktionen können weiterhin verwaltungsrechtliche Massnahmen durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ausgesprochen werden, indem beispielsweise die künftige Bearbeitung von bestimmten Personendaten einem Unternehmen untersagt oder es zur Löschung spezifischer Datensätze aufgefordert werden kann. Dabei verfügt der EDÖB neu über Verfügungsmacht, während bisher lediglich unverbindliche Empfehlungen möglich waren. Somit kann der EDÖB verbindliche Verfügungen erlassen, die durch betroffene Unternehmen gegebenenfalls vor Bundesverwaltungsgericht angefochten werden müssen.

Was auch als Möglichkeit bleibt ist die Klage wegen Verletzung der Persönlichkeitsrechte nach den Art. 28 ff. ZGB, die von den Zivilgerichten zu beurteilen ist.

Webcode
DPF8_200654