Das ist neu am revidierten Schweizer Datenschutzgesetz

Das totalrevidierte Schweizer Datenschutzgesetzes (DSG) hat – nach einer problematischen Schwangerschaft und trotz Zangengeburt – mit seiner Annahme durch das Schweizer Parlament am 25. September 2020 und dem unbenutzten Verstreichen der Referendumsfrist ohne weitere Komplikationen und in bester Gesundheit das Licht der Welt erblickt. Seit April 2022 ist bekannt, dass der Bundesrat vorsieht, das revidierte DSG am 1. September 2023 in Kraft zu setzen. Der dafür notwendige Bundesratsentscheid muss allerdings (formell) noch erfolgen. Offen ist noch, wann die noch laufende Revision der Verordnung zum Datenschutzgesetz (VDSG) abgeschlossen sein wird. Es wird erwartet, dass dies voraussichtlich im September 2022 der Fall sein wird, so dass den Schweizer Unternehmen rund ein Jahr zur Anpassung an das revidierte DSG verbleibt. Das revidierte DSG wird nach Inkrafttreten grundsätzlich ohne Übergangsfristen direkt anwendbar sein.

Grund und Ziele der Revision

Das revidierte Datenschutzgesetz ersetzt den zur Zeit noch geltenden Vorgängererlass aus dem Jahre 1992. Dieser war aufgrund der seither erfolgten rasanten gesellschaftlichen und technologischen Entwicklung ziemlich in die Jahre gekommen, gibt es doch Google seit 1998 oder Facebook seit 2004, während das erste iPhone 2007 das Licht der Welt erblickte.

Zusätzlich unter Druck geraten war das aktuelle Schweizer Datenschutzgesetz auch durch neuere Datenschutzerlasse, wie der seit 25. Mai 2018 anwendbaren EU-Datenschutzgrundverordnung (DSGVO) – mit Geltung seit dem 20. Juli 2018 zudem auf den gesamten Europäischen Wirtschaftsraum (EWR) und damit neben den EU-Mitgliedstaaten auch auf Liechtenstein, Island sowie Norwegen. So mussten die Schweizer Unternehmen befürchten, dass der Datenaustausch von Personendaten mit der EU bzw. dem EWR künftig nicht mehr deren Anforderungen an den Datenschutz genügt hätten (sog. Angemessenheitsbeschluss). Die zuständige EU-Kommission, die bereits im Mai dieses Jahres turnusgemäss wieder über die Angemessenheit der Schweizer Datenschutzgesetzgebung hätte entscheiden müssen, war aber gnädig genug, diesen Entscheid seither mehrfach zu verschieben – zuletzt mit unbestimmter Frist. Somit lässt sich erhoffen, dass das revidierte DSG künftig den europäischen Anforderungen genügen wird und die Schweizer Unternehmen nicht gezwungen sein werden, mit allen ihren Datenaustauschpartnern in der EU bzw. im EWR jeweils einzeln Verträge über diesen Datenaustausch abschliessen zu müssen.

Entsprechend diesen Vorgaben waren für das revidierte Datenschutzrecht (revDSG) folgende vier Aspekte zentral:

• Erhöhung der Transparenz (Information über Datenbearbeitungen) und Stärkung der Rechte der betroffenen Personen

• Förderung der Prävention und der Eigenverantwortung der Datenbearbeiter

• Stärkung der Datenschutzaufsicht (durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB)

• Ausbau der Strafbestimmungen

Wichtigste Neuerungen der Revision

Gegenüber dem geltenden Recht hat dies zu folgenden wichtigsten Neuerungen geführt:

• Kein Schutz mehr von Daten juristischer Personen: Künftig werden lediglich noch natürlich Personen geschützt werden, während die juristischen Personen (z.B. AG, GmbH etc.) sich für ihren Schutz nicht mehr auf das revDSG berufen können. Ihnen verbleibt der Schutz durch das Firmenrecht sowie weitere bestehende Bestimmungen der Rechtsordnung (z.B. Persönlichkeitsschutz nach ZGB, UWG).

• Besonders schützenswerte Personendaten: Die Auflistung der besonders schützenswerten Personendaten wird um genetische Daten sowie um biometrische Daten (z.B. Fingerabdruck oder Retina-Scan) erweitert. Somit gelten auch hier künftig qualifizierte Rechtsfolgen, beispielsweise bei der Einwilligung, der Datenschutz-Folgenabschätzung oder der Datenbekanntgabe an Dritte.

• Profiling und Profiling mit hohem Risiko: Profiling ist jede Art der automatisierten Bearbeitung von Personendaten, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Profiling mit hohem Risiko liegt dann vor, wenn Personendaten automatisiert bearbeitet werden und eine Verknüpfung von Daten die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Bei Profiling mit hohem Risiko muss eine allenfalls erforderliche Einwilligung ausdrücklich erfolgen.

• Auftragsbearbeiter: Das Auftragsbearbeitungsverhältnis (Outsourcing, z.B. in die Cloud) kann durch Vertrag oder Gesetz begründet werden. Der Auftragsbearbeiter hat die Daten gleich zu bearbeiten wie der Verantwortliche. Der Verantwortliche hat sich dabei zu vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Die Übertragung an einen Unterauftragnehmer bedarf der vorgängigen Genehmigung des Verantwortlichen.

• Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Der Verantwortliche muss die Datenbearbeitung ab der Planung so gestalten, dass die Datenschutzvorschriften und insbesondere die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Weiter müssen die Voreinstellungen so eingestellt sein, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck notwendige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Privacy by Default).

• Erweiterung Informationspflichten: Betroffenen Personen müssen bei der Beschaffung von Personendaten folgende Mindestanforderungen mitgeteilt werden: Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck, allfällige Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfänger, denen Personendaten bekannt gegeben werden sowie bei Bekanntgabe ins Ausland zusätzlich auch der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten.

• Ausbau Auskunftspflichten: Betroffene Personen haben neu Anspruch auf jede Information, welche für sie erforderlich ist, um ihre Rechte nach dem revDSG geltend zu machen. Die Auskunft ist daher nicht auf die abschliessend definierten Mindestinformationen beschränkt.

• Recht auf Datenübertragbarkeit: Mit dem Recht auf Datenherausgabe und Datenübertragung (Datenportabilität) kann die betroffene Person kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.

• Automatisierte Einzelfallentscheidung: Der Verantwortliche muss die betroffene Person über eine Entscheidung informieren, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Die betroffene Person muss dabei die Möglichkeit haben, ihren Standpunkt darzulegen und kann verlangen, dass die Entscheidung von einer natürlichen Person geprüft wird.

• Datenschutz-Folgenabschätzung: Weiter ist der Verantwortliche verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Dabei sind die geplante Bearbeitung, die entstehenden Risiken sowie geeignete Massnahmen dagegen zu beschreiben.

• Meldung von Verletzungen des Datenschutzes: Bei einer Datenschutzverletzung hat der Verantwortliche dem EDÖB so rasch als möglich Meldung zu erstatten, wenn grosse Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen bestehen. Zudem müssen in der Regel auch die Betroffenen informiert werden, sofern dies zu ihrem Schutz erforderlich ist. Auch der Auftragsbearbeiter muss eine Verletzung der Datensicherheit so rasch als möglich dem Verantwortlichen melden, der dann die weiteren Schritte einzuleiten hat.

• Sanktionen: Natürliche Personen können bei vorsätzlicher Verletzung der Informations- und Auskunftspflichten sowie der Sorgfaltspflichten neu mit Busse bis CHF 250'000 bestraft werden. Ausreichend ist der Eventualvorsatz, weshalb die Strafbarkeit bereits gegeben ist, wenn eine tatsächlich eingetretene Verletzung in Kauf genommen wurde. Dies führt dazu, dass – im Gegensatz zur DSGVO bei der lediglich Unternehmen oder Organisationen im Fokus stehen – nach dem revidierten DSG Verantwortliche im Unternehmen wie CEOs, CIOs oder andere Funktionen direkt sanktioniert werden können. Die Zuständigkeit liegt dabei bei den kantonalen Staatsanwaltschaften.

Neben diesen zusätzlichen strafrechtlichen Sanktionen werden weiterhin verwaltungsrechtliche Massnahmen durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ausgesprochen werden können, indem beispielsweise die künftige Bearbeitung von bestimmten Personendaten einem Unternehmen untersagt werden kann oder es zur Löschung spezifischer Datensätze aufgefordert wird. Dabei verfügt der EDÖB neu über Verfügungsmacht, während bisher waren lediglich unverbindliche Empfehlungen möglich. Somit kann der EDÖB verbindliche Verfügungen erlassen, die durch betroffene Unternehmen gegebenenfalls vor Bundesverwaltungsgericht angefochten werden müssen.

Ebenfalls nicht neu ist die Klage wegen Verletzung der Persönlichkeitsrechte nach den Art. 28 ff. ZGB, die von den Zivilgerichten zu beurteilen ist.

Weiteres Vorgehen für Unternehmen

Bis zum Inkrafttreten des revidierten DSG ist Unternehmen zu empfehlen, dass sie zunächst eine Bestandesaufnahme ihrer Datenbearbeitungen (Personendaten) durchführen, um anschliessend im Rahmen einer Gap-Analyse den datenschutzrechtlichen Handlungsbedarf festzustellen.

Dieses Vorgehen ist zu empfehlen, auch wenn bereits DSGVO-Massnahmen im Unternehmen umgesetzt wurden, da gewisse Unterschiede beim revDSG zu berücksichtigen sind. Bei diesen Unterschieden handelt es sich nicht um eigentliche "Swiss Finishes", mit denen im Rahmen der parlamentarischen Diskussionsbestrebungen insbesondere Verschärfungen im Vergleich zur DSGVO beklagt wurden, sondern um durchaus pragmatische, leichte Abweichungen

• bei den Informationspflichten (Anpassung Datenschutzerklärungen),

• beim Auskunftsrecht,

• bei den Auftrags(daten)bearbeitungsverträgen (ADV),

• bei den Data Breach Notifications,

• bei den Datenexporten sowie

• den Dokumentationspflichten.

Ausgehend vom Feststellungsergebnis können anschliessend die erforderlichen Massnahmen bestimmt, priorisiert und im Unternehmen projektspezifisch umgesetzt werden.

Dabei ist zu beachten, dass Datenschutzcompliance keine Punktlandung bei 100 Prozent darstellt, die es zum Zeitpunkt XY zu erreichen gilt, sondern zu einem steten Prozess mit kontinuierlichen Verbesserungen führen soll. Um auch später allenfalls neu hinzukommende oder abgeänderte Datenbearbeitungen erfassen zu können, ist daher im Unternehmen ein Monitoring- und Reviewprozess aufzusetzen, damit zeitnah auf die entsprechend geänderte Situation reagiert werden kann.

Parallel dazu sind die Mitarbeitenden aller Stufen auf die Datenschutzthematik zu sensibilisieren und zu schulen. Dies mit dem Ziel, dass sie sich nicht einer persönlichen Strafbarkeit aussetzen oder das Unternehmen nicht Gefahr läuft, eine der bereits erwähnten unternehmensspezifischen Sanktionen oder zusätzlich einen Reputationsschaden zu erleiden.

Über den Autor

RA Dr. iur. Reto Fanger ist Gründer/Inhaber der ADVOKATUR FANGER (www.advokatur-fanger.ch) – Anwaltsboutique für ICT-, Daten-, Medien- und Arbeitsrecht, Founding Partner der Swiss Business Protection AG (www.swissbp.ch) – dem Kompetenzcenter Wirtschaftsschutz Schweiz, Dozent an der Hochschule Luzern (HSLU) und Co-Organisator und -Tagungsleiter des Lucerne Law & IT Summit (LITS) der Universität Luzern.