UPDATE
Unterdessen wurde festgelegt, dass das neue Gesetz per 1. September 2023 in Kraft tritt.
Das neue Schweizer Datenschutzgesetz (nDSG) wurde im September 2020 vom Parlament verabschiedet und wird voraussichtlich Mitte 2022 in Kraft treten.
Aufgrund der technologischen Entwicklung war das schweizerische Datenschutzgesetz nicht mehr zeitgemäss. Es war unausweichlich, das Schweizer Datenschutzrecht dem Niveau der EU-Datenschutzgrundverordnung (DSGVO) anzugleichen. In guter schweizerischer Manier behält aber das nDSG weiterhin eine eigene Grundkonzeption und weicht auch in diversen anderen Punkten von dieser ab.
Die wichtigsten Neuerungen
Kein Schutz von Daten juristischer Personen
Im nDSG werden nur noch Daten natürlicher Personen geschützt. Juristischen Personen verbleibt der Schutz durch das Firmenrecht sowie bestehende Bestimmungen der Rechtsordnung.
Besonders schützenswerte Personendaten
Die Auflistung der besonders schützenswerten Personendaten wird um genetische Daten sowie um biometrische Daten (z.B. Fingerabdruck oder Retina-Scan) erweitert.
Verschärfte Sanktionen und Ausbau der Befugnisse des EDÖB
Im Vergleich zum bestehenden Recht wurden die Strafbestimmungen deutlich ausgebaut und verschärft. Wer die Informations‑, die Auskunfts‑, die Sorgfalts‑, oder die Mitwirkungspflichten verletzt, kann mit einer Busse bis zu CHF 250’000 bestraft werden. Strafbar sind vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit.
Profiling und Profiling mit hohem Risiko
Profiling ist eine maschinelle Meinungsbildung über Aspekte einer Person.
Es ist eine Einwilligung für ein Profiling mit einem «hohen Risiko» einzuholen. Ein Profiling mit hohem Risiko liegt vor, wenn es zu einem Profil führt, das die Beurteilung wesentlicher Aspekte einer Person erlaubt.
Erweiterung der Informationspflichten
Betroffenen Personen müssen bei der Beschaffung von Personendaten folgende Mindestanforderungen mitgeteilt werden:
- Identität und Kontaktdaten des Verantwortlichen
- Bearbeitungszweck
- allfällige Empfänger oder Kategorien von Empfängern, denen Personendaten bekannt gegeben werden
- bei Bekanntgabe ins Ausland: der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten
Recht auf Datenübertragbarkeit
Die betroffene Person kann vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.
Datenschutz-Folgenabschätzung
Der Verantwortliche ist verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Dabei sind die geplante Bearbeitung, die entstehenden Risiken sowie geeignete Massnahmen dagegen zu beschreiben.
Auftragsbearbeiter
Bei Outsourcing hat sich der Verantwortliche zu vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten und die Daten gleich bearbeitet wie der Verantwortliche.
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Der Verantwortliche muss die Datenverarbeitung in einem System so gestalten, dass es DSG konform ist (Privacy by Design). Die Einstellungen müssen auf das für den Verwendungszweck nötige Mindestmass beschränkt sein (Privacy by Default).
Automatisierte Einzelfallentscheidung
Der Verantwortliche muss die betroffene Person über eine Entscheidung informieren, die ausschliesslich auf einer automatisierten Bearbeitung beruht. Die betroffene Person kann verlangen, dass eine natürliche Person die Entscheidung überprüft.
Meldung von Verletzungen des Datenschutzes
Datenverantwortliche müssen dem EDÖB eine relevante Datenschutzverletzung «so rasch als möglich» melden. Bei der Auslegung von «so rasch als möglich», ist allerding ein gewisser «schweizerischer» Spielraum eingebaut, der eigene Auslegungen zulässt. Anders als beim DSGVO in welcher innert 72 Stunden eine Meldung erfolgen muss.
Verzeichnis sämtlicher Datenbearbeitungen
Künftig wird ein Verzeichnis sämtlicher Datenbearbeitungen zu führen sein.
Das Bearbeitungsverzeichnis des Verantwortlichen muss folgende Mindestangaben enthalten:
- die Identität des Verantwortlichen
- den Bearbeitungszweck
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
- die Kategorien der Empfängerinnen und Empfänger
- «wenn möglich» die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
- «wenn möglich» eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden)
- falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.
Fazit und Handlungsbedarf
- Die bestehenden Datenschutzerklärungen sollten auf die neuen Vorgaben hin überprüft und angepasst werden.
- Interne Prozesse, über die das Unternehmen Personendaten beschafft identifizieren und Anhand dieser Angaben das neu vorgeschriebene Verzeichnis der Datenbearbeitungen erstellen oder aktualisieren.
- Unternehmen sollten einen Prozess für Datenschutz-Folgenabschätzung einführen und die interne Zuständigkeit für den Datenschutz regeln.
Autoren
Der Artikel entstand in Zusammenarbeit mit René Gerber während unserer Weiterbildung CAS Cybersecurity und Information Risk Management an der FHNW
Literaturquellen
DSG.ch
#023 ANGRIFFSLUSTIG – Neues Datenschutzgesetz ist da
Neues Datenschutzgesetz: Das müssen Sie wissen (vischer.com)
Das ist neu am revidierten Schweizer Datenschutzgesetz | Netzwoche
Neues Datenschutzgesetz Schweiz – 7 wichtige Neuerungen – Kollabro
Lehrgang bei der FHNW – Link
