Datenschutzrechtsrevision | Teil 1: Übersicht der Änderungen
In weniger als einem Jahr, am 1. September 2023, tritt das neue Schweizer Datenschutzrecht (revDSG) in Kraft. Die Revision soll nicht nur die Schwächen des jetzigen Datenschutzrechts beheben, die auf Grund der rasanten technologischen Entwicklung entstanden sind. Sie soll auch die Entwicklung auf europäischer Ebene abbilden, da es für die Schweizer Wirtschaft und deren Datenübermittlung von zentraler Bedeutung ist, dass das Schweizer Datenschutzrecht ein angemessenes Schutzniveau hat. Schlussendlich hat das Gesetz zum Ziel, die Transparenz der Datenverarbeitung und die Rechte der betroffenen Personen zu stärken und besser zu kontrollieren, was mit ihren Daten passiert.
Wir empfehlen, dass sich Unternehmen und Verarbeiter von personenbezogenen Daten auf die neue Gesetzeslage vorbereiten. Sie sollten prüfen, ob Prozesse anzupassen sind und welche neuen Pflichten durch die Verantwortlichen der Datenverarbeitung zu erfüllen sind. Gut vorbereitet ist in der Regel, wer bereits im Zuge der Umsetzung der europäischen Datenschutzgrundverordnung (DSGVO) tätig war und sich an dessen Standard orientiert.
Wir wollen Ihnen einen Überblick über die Neuerungen des revDSG und gegebenenfalls erforderliche Anpassungen in ihrem Unternehmen geben. Die Erfahrung mit der DSGVO in anderen europäischen Ländern zeigt aber auch: Obwohl die DSGVO seit 2018 in Kraft ist, erfolgt die Umsetzung in vielen Unternehmen nur langsam. Gerade KMU, Vereine oder Einzelunternehmen haben vielfach weder die Ressourcen noch die Zeit, Verzeichnisse von Verarbeitungstätigkeiten oder Datenschutz-Folgenabschätzungen zu erstellen, sondern konzentrieren sich auf ihr eigentliches Hauptbusiness. Zur Beruhigung: Zwar verhängen die Datenschutzbehörden der europäischen Länder vermehrt Bussgelder, aber das Schreckgespenst von überhöhten Bussgeldern und Konkursen hat sich nicht bestätigt.
Nachfolgend wird aufgezeigt, welche Neuerungen das revDSG beinhaltet.
Schutz von Personendaten
Der Schutzbereich des revDSG erfasst nunmehr ausschliesslich den Schutz von Personendaten natürlicher Personen. Daten von juristischen Personen (z.B. Gesellschaften, Vereine oder Stiftungen) sind nicht mehr erfasst; diese können sich auf den Persönlichkeitsschutz durch Art. 28 ZGB, den Schutz von Geschäfts- und Fabrikationsgeheimnissen nach Art. 162 StGB sowie die Vorschriften zum unlauteren Wettbewerb (UWG) oder das Kartellgesetz (KG) berufen. Besonders schützenswerte Personendaten sind zukünftig auch genetische und biometrische Daten.
EDÖB
Die Stellung des Eidgenössischen Datenschutzbeauftragten (EDÖB) wird gestärkt. Ausgehend von den Erfahrungen in anderen europäischen Ländern wird er sich zukünftig auch verstärkter in politische Debatten und Empfehlungen zur Stärkung des Datenschutzes einsetzen.
Transparenz und Stärkung der Betroffenenrechte
Stärker als bisher fällt die freiwillige Einwilligung der betroffenen Personen zur Datenverarbeitung ins Gewicht, insbesondere bei besonders schützenswerten Personendaten oder Profiling. Daneben haben Betroffene neben den Ansprüchen auf Auskünfte und Berichtigung unter bestimmten Voraussetzungen Einwendungsmöglichkeiten gegen automatisierte Einzelfallentscheidungen, zum Beispiel bei onlinebasierter Bonitätsprüfung.
Datenschutzfreundliche Einstellung und Risikoanalyse
Es wurde neu aufgenommen, dass die Datenbearbeitung technisch und organisatorisch so ausgestaltet sein muss, dass die Datenschutzvorschriften eingehalten werden. Zudem ist durch Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf den angegebenen Zweck beschränkt bleibt, wenn die betroffene Person nichts anderes bestimmt. Ebenfalls neu für Unternehmen ist die Erstellung von Datenschutz-Folgenabschätzungen. Insbesondere bei der Verwendung neuer Technologien kann sich ein hohes Risiko für betroffene Personendaten ergeben, weshalb eine vorgängige Risikoanalyse vorzunehmen ist. Unter Umständen ist bei einem hohen Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen der EDÖB zur Stellungnahme einzubeziehen.
Verzeichnis von Bearbeitungstätigkeiten
Datenverarbeiter und Auftragsbearbeiter müssen ein Verzeichnis sämtlicher Datenbearbeitungen führen. Das Verzeichnis muss mindestens die vom Gesetz geforderten Angaben enthalten (z.B. Aufbewahrungsdauer von Personendaten) und dient als Nachweis der Einhaltung des revDSG. Es handelt sich um einen Baustein einer umfassenden Datenschutzdokumentation (neben Einwilligungen, Datenschutz-Folgenabschätzung etc.). Ausnahmen gibt es für Unternehmen mit weniger als 250 Mitarbeiterinnen und Mitarbeitern, wenn deren Datenbearbeitung ein geringes Risiko für die Verletzung von Personendaten birgt.
Verhaltenskodizes von Verbänden
Berufs-, Branchen- und Wirtschaftsverbände können mit dem EDÖB abgestimmte Datenschutz-Verhaltenskodizes beschliessen, die ein datenschutzkonformes Verhalten regeln. Mitglieder der Verbände, die diese Kodizes einhalten, sind unter Umständen von der Erstellung eigener Datenschutz-Folgenabschätzungen befreit.
Meldepflicht für Datenschutzverstösse
Sind bei einem Vorfall (Hackerangriff, Diebstahl von Daten) personenbezogene Daten betroffen, ist eine Meldung an den EDÖB erforderlich. Unter Umständen sind auch die betroffenen Personen zu informieren.
Datenbearbeitung und Ausland
Datenverarbeiter, die Daten von Personen in der Schweiz bearbeiten, benötigen eine Vertretung in der Schweiz. Bei der Übermittlung von Personendaten aus der Schweiz in das Ausland muss im Empfängerland ein angemessenes Datenschutzniveau bestehen (Angemessenheitsbeschluss), sofern kein Ausnahmetatbestand vorliegt (z.B. Einwilligung).
Bussen
Die Sanktionierung bei Verstössen gegen das revDSG wurde überarbeitet. Zwar liegt die Höchstbusse mit CHF 250'000.00 deutlich unter der Höchstbusse der DSGVO (bis EUR 20 Mio. oder 4% des Jahresumsatzes), jedoch ist die Liste strafbarer Verhaltensweisen an die erweiterten Pflichten des revDSG angepasst worden. Die Busse wird nicht gegenüber dem Unternehmen verhängt, sondern trifft den Verantwortlichen der Datenverarbeitung. Bei individuellem Fehlverhalten von Angestellten kann auch gegen diese ein Bussgeld ausgesprochen werden. Handelt es sich bei dem Verantwortlichen der Datenverarbeitung um eine juristische Person, wird die Straftat gem. Art. 29 StGB gegenüber der Vertreterin oder dem Vertreter des Geschäftsorgans verhängt. Bei Bussen von bis zu CHF 50'000.00 kann bei unverhältnismäßigem Untersuchungsaufwand im Hinblick auf die strafbare Person auch der Geschäftsbetrieb (Art. 7 VStrR) zur Busse herangezogen werden.
Mehr Informationen und Download von Datenschutz-Mustern: www.datenschutzmuster.ch
Haben Sie Fragen zum Datenschutz- und IT-Recht? Wir beraten Sie umfänglich und praxisorientiert bei der Umsetzung der neuen Anforderungen zum Datenschutz. Wenden Sie sich gerne an Sven Kohlmeier.