Wichtigste Neuerungen – neues Datenschutzgesetz
Der folgende Artikel soll kurz die wichtigsten Neuerungen der Revision erläutern.
Wichtigste Neuerungen
Seit April 2022 ist bekannt, dass das revidierte Datenschutzgesetz am 1. September 2023 in Kraft treten wird. Dies geschieht ohne Übergangsfristen. Der folgende Artikel soll kurz die wichtigsten Neuerungen der Revision erläutern. Ein Whitepaper, welches zeitnah publiziert wird, wird sich dann mit Umsetzungswegen auseinandersetzten.
Vorab ist wichtig zu erwähnen, dass an den Grundprinzipien hinsichtlich der Art und Weise, wie Personendaten zu bearbeiten sind, nichts geändert wurde. Wie bis anhin, müssen diverse Bearbeitungsgrundsätze eingehalten werden (unter anderem die Zweckbindung, die Bearbeitung nach Treu & Glaube und die Verhältnismässigkeit). Sofern diese Grundsätze beachtet werden, Dritten nicht besonders schützenswerte Personendaten weitergegeben werden oder Personendaten gegen den ausdrücklichen Willen der betroffenen Person bearbeitet werden, liegt keine Persönlichkeitsverletzung vor und die personenbezogenen Daten dürfen bearbeitet werden. Sind diese Kriterien nicht abgedeckt, wird eine Einwilligung, ein überwiegendes privates oder öffentliches Interesse oder aber eine gesetzliche Grundlage für die Bearbeitung benötigt.
Nichtdestotrotz bringt das revidierte Datenschutzgesetzt einige Änderungen mit sich. Viele davon wurden an die Datenschutzgrundverordnung (DSGVO) der Europäischen Union angelehnt. Die wichtigsten Neuerungen / Erweiterungen werden im Folgenden erläutert.
Anwendungsbereich
Das revidierte Datenschutzgesetz erwähnt mit Bezug auf den räumlichen Geltungsbereich ausdrücklich das Auswirkungsprinzip. Das Gesetz ist somit auf Sachverhalte anwendbar, die sich in der Schweiz auswirken, auch dann, wenn sie im Ausland veranlasst wurden.
Künftig können sich juristische Personen nicht mehr auf das Datenschutzgesetz berufen. Sie müssen ihre Rechte über andere einschlägige Bestimmungen, wie das ZKB oder das UWG, schützen
Der Katalog an besonders schützenswerten Personendaten wurde erweitert – so fallen neu auch genetische und biometrische Daten darunter
Privacy by Design / Privacy by Default
Die beiden Konzepte Privacy-by-Design (Datenschutz durch Technik) und Privacy-by-Default (datenschutzfreundliche Voreinstellungen) verpflichten Verantwortliche, die datenschutzrechtlichen Konzepte und die Bearbeitungsgrundsätze bereits bei der Planung und Ausgestaltung von Applikationen und Prozessen mit einzubeziehen und die Bearbeitung der personenbezogenen Daten als Standardeinstellung, auf ein Minimum einzustellen.
Erweiterte Informationspflicht und Datenportabilität
Die Informationspflicht bei der Beschaffung von personenbezogenen Daten wurde stark ausgebaut. So müssen mindestens die Identität und Kontaktdaten des Verantwortlichen, der Bearbeitungszweck, allfällige Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfänger, denen Personendaten bekannt gegeben werden, sowie bei Bekanntgabe ins Ausland zusätzlich auch der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten, angegeben werden. Faktisch wird die Datenschutzerklärung so zur Pflicht. Sie kann jedoch auch in Kundenverträge oder AGBs integriert werden. Hand in Hand mit der Informationspflicht geht das Auskunftsrecht. Die betroffene Person kann alle Informationen einfordern, die dazu benötigt werden, dass sie ihre Rechte gemäss revDSG geltend machen kann.
Mit dem Recht auf Datenportabilität kann die betroffene Person kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten oder die Übertragung an einen Dritten in einer maschinenlesbaren Form verlangen.
Meldung von Verletzungen
Wenn Datenschutzverletzungen voraussichtlich zu einem grossen Risiko für die Persönlichkeit der betroffenen Person führen, muss der Verantwortliche dem EDÖB so schnell, wie möglich Meldung erstatten. Wenn es für den Schutz erforderlich ist, müssen zusätzlich auch die betroffenen Personen informiert werden.
Sanktionen
Es können bei vorsätzlicher Verletzung gewisser Pflichten Bussen bis zu CHF 250’000 ausgesprochen werden. Die Bussen werden nicht dem Unternehmen auferlegt, sondern direkt den verantwortlichen Personen im Unternehmen.
Auftragsverarbeitungsverzeichnis / Datenschutzfolgeabschätzung
In Zukunft werden Unternehmen dazu verpflichtet sein, ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Der Bundesrat hat in der Verordnung zum revidierten Datenschutzgesetz Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitern vorgesehen, solange diese nicht im grossen Ausmass besonders schützenswerte Personendaten verarbeiten oder ein Profiling mit hohem Risiko durchführen. Für die Erstellung des Verzeichnisses ist es unabdingbar, dass alle Schritte, bei denen Personendaten bearbeitet werden identifiziert und katalogisiert werden. Das Erstellen und Verwalten des Verzeichnisses ist mit einem hohen Aufwand verbunden, und sollte so schnell als möglich angegangen werden.
Wenn es sich zeigt, dass eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Person mit sich bringt, muss eine Datenschutz-Folgeabschätzung durchgeführt werden. In der Datenschutz-Folgeabschätzung werden die Risiken und die Massnahmen dagegen beschrieben Wenn die Analyse zeigt, dass weiterhin ein grosses Risiko besteht, muss der EDÖB konsultiert werden, es sei denn, Sie haben einen Datenschutzverantwortlichen berufen.
