Schweizer Datenschutzgesetz: Das muss man 2020 wissen
Die Revision des Schweizer Datenschutzgesetzes verlief lange zähflüssig. Inzwischen hat das Projekt aber Fahrt aufgenommen: Sowohl National- wie Ständerat haben die Vorlage beraten – in der kommenden Frühlingssession findet die Differenzbereinigung statt, ein Inkrafttreten auf 2021 erscheint damit möglich.
In der kommenden Frühlingssession erfolgt die Differenzbereinigung zur Revision des Schweizer Datenschutzgesetzes (DSG) zwischen National- sowie Ständerat. Somit könnte es 2021 in Kraft treten.
Sollte sich dieser Fahrplan verfestigen, wirkt sich dies insbesondere auf die Äquivalenzprüfung des Schweizer Datenschutzrechts durch die EU aus sowie auf Unternehmen im Hinblick auf die durchzuführenden Vorbereitungsmassnahmen.
Äquivalenz Datenschutzrecht
Wenn die EU diesen Mai turnusgemäss wieder über die Gleichwertigkeit des Schweizer Datenschutzniveaus entscheiden wird, ist angesichts der seit 2018 anwendbaren DSGVO das absehbare Inkrafttreten eines aktualisierten Schweizer Datenschutzrechts per Anfang 2021 auf jeden Fall von Vorteil – dies natürlich immer unter der Voraussetzung, dass kein Referendum ergriffen wird. Ein Verlust der bisherigen Anerkennung der Gleichwertigkeit hätte gravierende negative Folgen für die Schweizer Wirtschaft, die auf einen einfachen Datenaustausch mit dem EU-Raum angewiesen ist.
Vorbereitungen auf das revidierte DSG
Sollte das revidierte DSG Anfang 2021 in Kraft treten, gilt es für Unternehmen, im laufenden Jahr sich bestmöglich auf die neuen datenschutzrechtlichen Anforderungen vorzubereiten. Diese Vorbereitungen werden voraussichtlich erheblichen Aufwand verursachen. Dies aufgrund der zahlreichen Abweichungen zur DSGVO selbst für Unternehmen, die sich in den letzten Jahren nach europäischem Datenschutzrecht auszurichten hatten. Bei Unternehmen, die sich bisher nicht nach der DSGVO zu orientieren hatten, werden ohnehin zahlreiche neue Anforderungen umzusetzen sein.
Was ist neu?
Dies lässt sich erst nach der Differenzbereinigung zwischen National- und Ständerat abschliessend beantworten. Trotzdem zeichnen sich folgende Neuerungen ab:
-
Profiling statt Persönlichkeitsprofil; dabei wird zwischen grundlegendem Profiling und Profiling mit hohem Risiko (Ziel: Rückschlüsse auf verschiedene Lebensbereiche einer Person) unterschieden
-
Privacy by Design und Privacy by Default
-
Ausdrückliche Einwilligung bei Bearbeitung besonders schützenswerter Personendaten sowie bei Profiling mit hohem Risiko
-
Datenschutz-Folgenabschätzung bei Bearbeitungen mit hohem Risiko für Persönlichkeit oder Grundrechte der betroffenen Person
-
Bearbeitungsverzeichnis, ausser ein Unternehmen beschäftigt weniger als 250 Mitarbeitende und die Bearbeitung birgt nur ein geringes Risiko
-
Vertretung in der Schweiz bei Verantwortlichen mit Wohnsitz im Ausland
-
Informationspflicht, unter anderem mit Angaben zum Verantwortlichen, zum Bearbeitungszweck und zu den Kategorien von Empfängern sowie nach Auffassung des Ständerats auch zur Liste der Betroffenenrechte und gegebenenfalls der Absicht, Personendaten zur Prüfung der Kreditwürdigkeit zu bearbeiten und Dritten bekannt zu geben (Ausnahmen bei unverhältnismässigem Aufwand der Information [Drittbeschaffung])
-
Datenportabilität
-
Verfügungskompetenz für den EDÖB
-
Bussen bis CHF 250'000 bei vorsätzlicher Verletzung von Informations-, Auskunfts- , Mitwirkungs- oder Sorgfaltspflichten
Aufbruch in ein neues Datenschutzzeitalter
Im laufenden Jahr werden die Weichen für das DSG somit neu gestellt. Die dabei eingeschlagene Richtung wird die Schweizer Unternehmenslandschaft in den nächsten Jahren vor einige Herausforderungen stellen, die aber mit voraussichtlicher Planung und Umsetzung zu bewältigen sein werden.