Neues Schweizer Datenschutzgesetz kommt

Ab 1. September 2023 gilt in der Schweiz ein neues Datenschutzgesetz (revDSG). Dieses stellt eine Totalrevision des Bundesgesetzes über den Datenschutz aus dem Jahr 1992 dar und soll die Daten der Bevölkerung - angepasst an die aktuellen technologischen und gesellschaftlichen Entwicklungen - besser schützen. Es hat sowohl für Privatpersonen als auch Unternehmen deutlich spürbare Auswirkungen.

Längst fällige Totalrevision des DSG beschlossen

Daten und deren Schutz sind ein besonders sensibles Thema. Aufgrund der technologischen Entwicklungen der jüngsten Vergangenheit sowie auch des in Zukunft zu erwartenden Fortschritts bietet das erste Bundesgesetz über den Datenschutz aus dem Jahr 1992 keinen adäquaten Schutz von Daten mehr. Die Nutzung des Internets, Smartphones, Cloud-Dienste und nicht zuletzt Social Media bestimmen mittlerweile in vielen Bereichen das Leben der meisten Menschen und werden zukünftig, zusammen mit neuen Entwicklungen auf diesen Gebieten, wohl einen immer grösseren Stellenwert im Alltag einnehmen.

Darüber hinaus stand das bisher geltende Datenschutzgesetz im Widerspruch zur in der Europäischen Union geltenden Datenschutzgrundverordnung (DSGVO). Somit war es ein Hindernis für freien Datenverkehr mit der Europäischen Union und in weiterer Folge ein Wettbewerbsnachteil für in der Schweiz ansässige Unternehmen.

Daher hat das Parlament in seiner Herbstsession 2020 das neue Bundesgesetz über den Datenschutz, kurz revDSG, verabschiedet. Am 23. Juni 2021 eröffnet der Bundesrat die Vernehmlassung zur Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz

Annäherung an die Europäische Union

Neben der Anpassung an aktuelle gesellschaftliche Verhältnisse, verbesserter Transparenz der Verarbeitung von Daten sowie deutlich gestärkter Selbstbestimmung von Personen über ihre Daten bringt das neue Datenschutzgesetz vor allem eine nötige Annäherung an die Europäische Union. Diese umfasst unter anderem folgende Punkte:

• Insgesamt Annäherung an die Anforderungen der Verordnung (EU) 2016/679
• Ratifikation des revidierten Übereinkommens SEV 108 des Europarates
• Umsetzung der Schengen-relevanten Richtlinie (EU) 2016/680 über den Datenschutz in Strafsachen

So kann durch revDSG eine grenzüberschreitende Übermittlung von Daten auch zukünftig gewährleistet werden. Folglich erwarten Unternehmen, die die Vorgaben der DSGVO bereits implementiert haben, auch mit Inkrafttreten des neuen Datenschutzgesetzes kaum grundlegende Änderungen

Die wichtigsten Änderungen durch revDSG

Die Totalrevision des Schweizer Datenschutzgesetzes umfasst eine Vielzahl verschiedener Bereiche, die sowohl für Unternehmen als auch BürgerInnen relevant sind.

Ausschliesslich Schutz der Persönlichkeit natürlicher Personen

Durch den Ausschluss von Daten juristischer Personen wie Stiftungen, Vereinen und kaufmännischen Gesellschaften stimmt der Geltungsbereich des neuen DSG weitestgehend mit jenem der DSGVO überein. Für Unternehmen gelten nach wie vor Art. 28 ZGB, Art. 162 StGB sowie die Bestimmungen der Bundesgesetze über den unlauteren Wettbewerb und über Kartelle.

Erweiterung besonders schützenswerter Personendaten

Das neue Datenschutzgesetz definiert auch genetische sowie biometrische Daten als besonders schützenswert.

Privacy by Design und Privacy by Default

Durch die Verankerung von Privacy by Design - Datenschutz durch Technik - und Privacy by Default - Datenschutz durch datenschutzfreundliche Voreinstellung - im revDSG sind Unternehmen und Behörden verpflichtet, die Bearbeitungsgrundsätze des revDSG durch entsprechende organisatorische und technische Schutzmassnahmen bereits in der Planung ihrer Vorhaben umzusetzen.

Datenschutzberater

Unternehmen können einen Datenschutzbeauftragten ernennen. Dieser kann in einem arbeitsvertraglichen Verhältnis zum Unternehmen stehen, sollte seiner Aufgabe jedoch getrennt von anderen Bereichen des Unternehmens nachkommen. Nur Bundesorgane sind zur Ernennung eines Datenschutzbeauftragten verpflichtet, für Private ist sie fakultativ - hier findest sich ein deutlicher Unterschied zur DSGVO.

Entwicklung von Verhaltenskodizes

Das neue Datenschutzgesetz setzt in Art. 11 Anreize zur Entwicklung eigener Verhaltenskodizes für Berufs-, Branchen- und Wirtschaftsverbände, welche dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten - kurz EDÖB - zur Begutachtung vorgelegt werden. Die Einhaltung eines auf aktuellen Datenschutzfolgeabschätzungen beruhenden Verhaltenskodex entlastet die Verbände und sorgt dafür, dass sie keine eigenen Datenschutzfolgeabschätzungen durchführen müssen.

Ausweitung der Informationspflicht

Betroffene Personen müssen bei jeder Einholung von Daten - und nicht nur bei sensiblen Daten - im Vorhinein informiert werden. Dies gilt auch, wenn die Daten nicht direkt bei der betroffenen Person beschafft werden. Personendaten, die zufällig oder nur nebenbei erfasst werden, sind von der Informationspflicht ausgenommen.

Datenübermittlung ins Ausland

Nach revDSG dürfen Daten an das Ausland übermittelt werden, wenn der Empfängerstaat den angemessenen Schutz der Daten gewährleisten kann. Hierfür wird der Bundesrat eine Liste mit infrage kommenden Drittstaaten herausgeben. Daten dürfen auch an nicht auf dieser Liste stehende Staaten weitergegeben werden, wenn diese Staaten den Datenschutz auf andere Weise gewährleisten können.

Auskunftsrecht der betroffenen Personen

Neu im revDSG ist das Recht einer betroffenen Person, Auskunft über verarbeitete Personendaten zu verlangen. So gehören zum Beispiel die Aufbewahrungsdauer der Personendaten zur Liste der Mindestinformationen. Auf diese Weise soll eine möglichst transparente Datenbearbeitung gewährleistet werden. Unter bestimmten Bedingungen kann die Auskunft jedoch aufgeschoben, eingeschränkt oder auch verweigert werden.

Verzeichnis der Bearbeitungstätigkeiten

Mit Inkrafttreten von revDSG wird ein Verzeichnis der Bearbeitungstätigkeiten obligatorisch. KMU sind von dieser Verordnung ausgenommen, da davon ausgegangen wird, dass ihre Datenbearbeitung nur ein geringes Risiko der Persönlichkeit der betroffenen Personen bedeutet.

Verletzungen der Datensicherheit sind meldepflichtig

Führen Verletzungen der Datensicherheit zu einem hohen Beeinträchtigungsrisiko der Grundrechte oder der Persönlichkeit des Betroffenen, sind diese laut Art. 24 revDSG dem EDÖB zu melden. Dies gilt sowohl für Bundesorgane als auch Private. Erfolgreich abgewehrte oder untaugliche Cyberangriffe sind nicht meldepflichtig.

Recht auf Datenherausgabe und -übertragung

Nach Art. 28 revDSG müssen Personendaten, die eine betroffene Person einem privaten Verantwortlichen bekanntgegeben hat, auf Verlangen der betroffenen Person in einem gängigen elektronischen Format herausgegeben oder einem Dritten übertragen werden. Als Voraussetzung hierfür gilt die automatisierte und mit Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit einem Vertrag erfolgte Bearbeitung der Daten durch den Verantwortlichen.

Untersuchung aller Verstösse gegen revDSG durch den EDÖB

Art. 49 Abs. 1 revDSG legt fest, dass Verstösse gegen das neue Datenschutzgesetz sowohl durch Bundesorgane oder Private von Amtes wegen untersucht werden müssen. Sollte die Verletzung der Datenschutzbestimmungen als geringfügig eingestuft werden, muss deren Untersuchung nicht unbedingt erfolgen. Hat der Bearbeitungsverantwortliche bei Kontaktaufnahme durch den EDÖB gezeigt, dass die beanstandeten Mängel bereits erkannt wurden und eine zeitnahe Behebung selbiger erfolgt, kann der EDÖB von formellen Schritten absehen.

Verfügungen

Art. 51 Abs. 1 revDSG gibt dem EDÖB das Recht, Verfahren nach dem Verwaltungsverfahrensgesetz durchzuführen und die teilweise oder ganze Anpassung, Unterbrechung oder Einstellung von Datenbearbeitungen gegenüber Bundesorganen sowie privaten Bearbeitungsverantwortlichen formell zu verfügen. Darüber hinaus kann er auch die Löschung und Vernichtung von Personendaten sowie die Information betroffener Personen über Verletzungen der Datensicherheit anordnen.

Sanktionen

Anders als die DSGVO für europäische Datenschutzbehörden sieht auch revDSG keine Sanktionsbefugnisse für den EDÖB vor. So steht dem EDÖB kein Strafantragsrecht zu, er kann lediglich Anzeige erstatten und in einem Verfahren die Rechte einer Privatklägerschaft wahrnehmen.