Das neue Schwei­zer Daten­schutz­ge­setz (nDSG) wurde im Sep­tem­ber 2020 vom Par­la­ment ver­ab­schie­det und wird vor­aus­sicht­lich Mitte 2022 in Kraft treten.
Aufgrund der tech­no­lo­gi­schen Ent­wick­lung war das schwei­ze­ri­sche Daten­schutz­ge­setz nicht mehr zeit­ge­mäss. Es war unaus­weich­lich, das Schwei­zer Daten­schutz­recht dem Niveau der EU-Daten­­schut­z­­grun­d­­ver­­or­d­­nung (DSGVO) anzu­glei­chen. In guter schwei­ze­ri­scher Manier behält aber das nDSG wei­ter­hin eine eigene Grund­kon­zep­tion und weicht auch in diversen anderen Punkten von dieser ab.

Die wichtigsten Neuerungen

Kein Schutz von Daten juristischer Personen

Im nDSG werden nur noch Daten natür­li­cher Personen geschützt. Juris­ti­schen Personen ver­bleibt der Schutz durch das Fir­men­recht sowie bestehende Bestim­mun­gen der Rechtsordnung.

Besonders schützenswerte Personendaten

Die Auf­lis­tung der beson­ders schüt­zens­wer­ten Per­so­nen­da­ten wird um gene­ti­sche Daten sowie um bio­me­tri­sche Daten (z.B. Fin­ger­ab­druck oder Retina-Scan) erweitert.

Verschärfte Sanktionen und Ausbau der Befugnisse des EDÖB

Im Ver­gleich zum bestehen­den Recht wurden die Straf­be­stim­mun­gen deutlich aus­ge­baut und ver­schärft. Wer die Informations‑, die Auskunfts‑, die Sorgfalts‑, oder die Mit­wir­kungs­pflich­ten verletzt, kann mit einer Busse bis zu CHF 250’000 bestraft werden. Strafbar sind vor­sätz­li­ches Handeln und Unter­las­sen, nicht jedoch Fahrlässigkeit.

Profiling und Profiling mit hohem Risiko

Pro­filing ist eine maschi­nelle Mei­nungs­bil­dung über Aspekte einer Person.
Es ist eine Ein­wil­li­gung für ein Pro­filing mit einem «hohen Risiko» ein­zu­ho­len. Ein Pro­filing mit hohem Risiko liegt vor, wenn es zu einem Profil führt, das die Beur­tei­lung wesent­li­cher Aspekte einer Person erlaubt.

Erweiterung der Informationspflichten

Betrof­fe­nen Personen müssen bei der Beschaf­fung von Per­so­nen­da­ten folgende Min­dest­an­for­de­run­gen mit­ge­teilt werden:

  • Iden­ti­tät und Kon­takt­da­ten des Verantwortlichen
  • Bear­bei­tungs­zweck
  • all­fäl­lige Emp­fän­ger oder Kate­go­rien von Emp­fän­gern, denen Per­so­nen­da­ten bekannt gegeben werden
  • bei Bekannt­gabe ins Ausland: der Staat oder das inter­na­tio­nale Organ und gege­be­nen­falls die Garan­tien zum Schutz der Personendaten

Recht auf Datenübertragbarkeit

Die betrof­fene Person kann vom Ver­ant­wort­li­chen die Her­aus­gabe ihrer Per­so­nen­da­ten bzw. deren Über­tra­gung an einen anderen Ver­ant­wort­li­chen in maschi­nen­les­ba­rer Form verlangen.

Datenschutz-Folgenabschätzung

Der Ver­ant­wort­li­che ist ver­pflich­tet, eine Daten­­schutz-Fol­­gen­a­b­­schä­t­­zung vor­zu­neh­men, wenn eine Daten­be­ar­bei­tung ein hohes Risiko für die Per­sön­lich­keit oder die Grund­rechte der betrof­fe­nen Person mit sich bringen kann. Dabei sind die geplante Bear­bei­tung, die ent­ste­hen­den Risiken sowie geeig­nete Mass­nah­men dagegen zu beschreiben.

Auftragsbearbeiter

Bei Out­sour­cing hat sich der Ver­ant­wort­li­che zu ver­ge­wis­sern, dass der Auf­trags­be­ar­bei­ter in der Lage ist, die Daten­si­cher­heit zu gewähr­leis­ten und die Daten gleich bear­bei­tet wie der Verantwortliche.

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Der Ver­ant­wort­li­che muss die Daten­ver­ar­bei­tung in einem System so gestal­ten, dass es DSG konform ist (Privacy by Design). Die Ein­stel­lun­gen müssen auf das für den Ver­wen­dungs­zweck nötige Min­dest­mass beschränkt sein (Privacy by Default).

Automatisierte Einzelfallentscheidung

Der Ver­ant­wort­li­che muss die betrof­fene Person über eine Ent­schei­dung infor­mie­ren, die aus­schliess­lich auf einer auto­ma­ti­sier­ten Bear­bei­tung beruht. Die betrof­fene Person kann ver­lan­gen, dass eine natür­li­che Person die Ent­schei­dung überprüft.

Meldung von Verletzungen des Datenschutzes

Daten­ver­ant­wort­li­che müssen dem EDÖB eine rele­vante Daten­schutz­ver­let­zung «so rasch als möglich» melden. Bei der Aus­le­gung von «so rasch als möglich», ist aller­ding ein gewisser «schwei­ze­ri­scher» Spiel­raum ein­ge­baut, der eigene Aus­le­gun­gen zulässt. Anders als beim DSGVO in welcher innert 72 Stunden eine Meldung erfolgen muss.

Verzeichnis sämtlicher Datenbearbeitungen

Künftig wird ein Ver­zeich­nis sämt­li­cher Daten­be­ar­bei­tun­gen zu führen sein.
Das Bear­bei­tungs­ver­zeich­nis des Ver­ant­wort­li­chen muss folgende Min­destan­ga­ben enthalten:

  • die Iden­ti­tät des Verantwortlichen
  • den Bear­bei­tungs­zweck
  • eine Beschrei­bung der Kate­go­rien betrof­fe­ner Personen und der Kate­go­rien bear­bei­te­ter Personendaten
  • die Kate­go­rien der Emp­fän­ge­rin­nen und Empfänger
  • «wenn möglich» die Auf­be­wah­rungs­dauer der Per­so­nen­da­ten oder die Kri­te­rien zur Fest­le­gung dieser Dauer
  • «wenn möglich» eine all­ge­meine Beschrei­bung der Mass­nah­men zur Gewähr­leis­tung der Daten­si­cher­heit (geeig­nete tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men, die es ermög­li­chen Ver­let­zun­gen der Daten­si­cher­heit zu vermeiden)
  • falls die Daten ins Ausland bekannt­ge­ge­ben werden, die Angabe des Staates sowie die Garan­tien, durch die ein geeig­ne­ter Daten­schutz gewähr­leis­tet wird.

Fazit und Handlungsbedarf

  • Die bestehen­den Daten­schutz­er­klä­run­gen sollten auf die neuen Vorgaben hin über­prüft und ange­passt werden.
  • Interne Prozesse, über die das Unter­neh­men Per­so­nen­da­ten beschafft iden­ti­fi­zie­ren und Anhand dieser Angaben das neu vor­ge­schrie­bene Ver­zeich­nis der Daten­be­ar­bei­tun­gen erstel­len oder aktualisieren.
  • Unter­neh­men sollten einen Prozess für Daten­­schutz-Fol­­gen­a­b­­schä­t­­zung ein­füh­ren und die interne Zustän­dig­keit für den Daten­schutz regeln.

Autoren

Der Artikel entstand in Zusam­men­ar­beit mit René Gerber während unserer Wei­ter­bil­dung CAS Cyber­se­cu­rity und Infor­ma­tion Risk Manage­ment an der FHNW

Lite­ra­tur­quel­len
DSG.ch
#023 ANGRIFFSLUSTIG – Neues Daten­schutz­ge­setz ist da
Neues Daten­schutz­ge­setz: Das müssen Sie wissen (vischer.com)
Das ist neu am revi­dier­ten Schwei­zer Daten­schutz­ge­setz | Netzwoche
Neues Daten­schutz­ge­setz Schweiz – 7 wichtige Neue­run­gen – Kollabro

Lehrgang bei der FHNW – Link