25. September 2020

Neues Datenschutzgesetz: Das müssen Sie wissen

DSG totalrevidiert

Die Änderungen ab 2022 in Kürze:

  • Neue Informations- und Dokumentationspflichten →  Dokumente erstellen/anpassen
  • Bussenrisiko u.a. bei Auslandstransfers und bestimmten Service-Verträgen → Verträge überprüfen
  • Meldepflicht bei Datenverlusten und sonstigen Sicherheitspannen → Prozess einführen
  • Neues DSG meist nicht strenger als DSGVO, aber nicht identisch → Differenzen prüfen

Der Streit um des Kaisers Bart ist beendet und das neue Datenschutzgesetz (DSG) steht: Am Mittwoch konnte die letzte Differenz zum "Profiling" gelöst werden; heute Freitag (25.09.2020) wurde das Gesetz vom Parlament verabschiedet. Mit einem Inkrafttreten wird in Bundesbern derzeit allerdings erst 2022 gerechnet, möglicherweise sogar erst im Sommer 2022. In einem nächsten Schritt werden nun die Verordnungen ausgearbeitet und in die Vernehmlassung gesendet. Wie schnell es nun voran geht, wird natürlich auch von der EU abhängen: Die Schweiz wartet nach wie vor auf die Erneuerung des Angemessenheitsbeschlusses der Europäischen Kommission, welcher ungehinderte Datentransfers aus der EU in die Schweiz ermöglicht. Die EU könnte die Schweiz bezüglich des Inkrafttretens unter Druck setzen.

Grundprinzip unverändert

Das DSG wurde zwar totalrevidiert, doch die Wirtschaft wird die Art und Weise, wie sie Personendaten bearbeitet, nicht wesentlich ändern müssen. Die Grundprinzipien der Datenbearbeitung bleiben im neuen DSG unverändert, jedoch mit einer Einschränkung: Daten juristischer Personen sind nicht mehr geschützt, auch wenn der allgemeine Persönlichkeitsschutz für diese weiterhin gilt. Auch das Schweizer Konzept, wonach Datenbearbeitungen in der Privatwirtschaft grundsätzlich zulässig sind und nur in gewissen Situationen ein Rechtfertigungsgrund erforderlich ist, bleibt erhalten.

Damit weicht das DSG weiterhin von der EU-Datenschutzgrundverordnung (DSGVO) ab: Dort ist das Bearbeiten von Personendaten grundsätzlich verboten, ausser es gibt einen Rechtfertigungsgrund wie etwa die Einwilligung, die Abwicklung von Verträgen, berechtigte Interessen oder eine gesetzliche Vorschrift im Gesetz.

Einwilligungen: Weiter wie bisher

Die Schweiz geht bei den Anforderungen an eine gültige Einwilligung auch weniger weit als die DSGVO; hier ändert sich im Wesentlichen nichts gegenüber der heutigen Rechtslage, mit Ausnahme einer Kleinigkeit beim Profiling, doch dazu später mehr. Die bisher im DSG vorgesehenen Rechtfertigungsgründe wurden beibehalten; der Rechtfertigungsgrund für nicht personenbezogene Bearbeitungszwecke wurde leicht verschärft und über den Rechtfertigungsgrund der Kreditauskunfteien wurde bis zuletzt gestritten: Sie müssen neu bei einem Widerspruch einer betroffenen Person die Daten, welche älter als zehn Jahre sind, löschen.

Das Prinzip "Privacy by Design" findet sich jetzt ebenfalls ausdrücklich im Gesetz verankert, aber rechtlich galt es schon immer. Neu ist lediglich das "Privacy by Default", was als Regelung allerdings nur dort wirklich relevant ist, wo ein Anbieter in seinem (Online-)Service Datenschutzeinstellungen vorsieht, die standardmässig neu so gesetzt sein müssen, dass sie eine Datenbearbeitung auf das vorgesehene Mindestmass beschränken.

Mehr Governance: Inventar, DSFA, Meldepflicht

Was sich im neuen DSG vor allem ändert sind die flankierenden Bestimmungen und Governance-Pflichten, wie beispielsweise das Führen von Datenbearbeitungs-Inventaren, eine Meldepflicht von Datenverlusten und anderen Sicherheitsverstössen und der Pflicht zur Vornahme von Datenschutz-Folgenabschätzungen ("DSFA") bei heiklen Datenbearbeitungen. Alle drei Anforderungen werden den für den Datenschutz verantwortlichen Stellen einiges zu tun geben. Hier sind Unternehmen, die sich bereits auf die DSGVO ausgerichtet haben, klar im Vorteil. Die bestehenden Inventare können sie direkt übernehmen und die Meldepflicht kennen sie bereits. In der Schweiz ist diese Meldepflicht etwas vernünftiger geregelt als unter der DSGVO, wird aber für viele Unternehmen dennoch ungewohnt sein. Neu kann zum Beispiel bereits eine falsch versandte E-Mail dazu führen, dass dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in Bern Meldung gemacht werden muss (wer dies nicht tut, wird allerdings nicht direkt sanktioniert). Auch das Instrument der DSFA ist aus der DSGVO übernommen und gehört bei heiklen Datenbearbeitungen im Grunde schon heute zur "guten Praxis" – besonders kompliziert ist sie nicht; im Wesentlichen geht es um eine Darstellung des Vorhabens, die Einschätzung der negativen Folgen für die Betroffenen und die deswegen getroffenen Gegenmassnahmen.

Datenschutzbeauftragter keine Pflicht

Neu ist vorgesehen, dass Unternehmen Datenschutzberater ernennen können, sie sind jedoch nicht dazu verpflichtet dies zu tun. Es gibt keine formelle Pflicht einen Datenschutzbeauftragten zu bestellen, auch wenn die meisten grösseren Unternehmen ohne eine klare Zuständigkeit in diesem Bereich Datenschutz nicht sinnvoll umsetzen werden können. Ausländische Unternehmen mit wesentlichen Aktivitäten in der Schweiz werden eine Schweizer Vertretung bestimmen müssen; letzteres wird allerdings nur wenige Unternehmen betreffen. Die Schweizer Pflicht geht also viel weniger weit als das Pendant von Art. 27 DSGVO.

Auskunftsrecht wird eingeschränkt

Die Rechte der betroffenen Personen werden hingegen etwas ausgebaut; es wird für betroffene Personen noch einfacher, von einem Unternehmen die Herausgabe der über sie bearbeiteten Personendaten zu verlangen, allerdings bietet das neue DSG auch neue Argumente, um missbräuchliche Auskunftsbegehren zurückzuweisen (so etwa, dass nur noch Personendaten "als solche" verlangt werden dürfen und jene, die erforderlich sind, um Datenschutzrechte geltend zu machen). Das aus der DSGVO bekannte "Recht auf Vergessen" gab es in der Schweiz bereits und gibt es weiterhin. Es besteht weiterhin nicht absolut, sondern sieht ein Abwägen der Interessen vor. Der Grundsatz, dass Daten nur so weit und so lange wie nötig bearbeitet werden dürfen, galt allerdings ebenfalls schon bisher und besteht weiterhin. Ganz neu ist dem DSG hingegen das Recht auf Datenportabilität, welches von der DSGVO kopiert wurde: Dies hat mit eigentlichem Datenschutz nicht viel zu tun, sondern soll Konsumenten erlauben, ihre bei Online- und anderen Anbietern gespeicherten Daten, zu verlangen um sie der Konkurrenz zu übertragen. Ganz neu ist auch das Recht, bei wichtigen Entscheiden, die ausschliesslich maschinell gefällt wurden und von ihrer Natur her Ermessensspielraum zulassen, verlangen zu können, dass ein Mensch den Entscheid wiedererwägt, quasi ein Recht auf "menschliches Gehör". Auch dies kennt die DSGVO bereits. Die Relevanz war bisher eher untergeordneter Natur.

Auftragsbearbeitung: Verträge kontrollieren

Die Vorgaben für Verträge mit Auftragsbearbeitern, d.h. Unternehmen, denen die Durchführung der eigenen Datenbearbeitung delegiert wurde, wie z.B. Cloud-Provider, wurden etwas verschärft (neu muss der Beizug von Subunternehmern genehmigt werden). Doch gehen diese Vorgaben weiterhin weniger weit als jene der DSGVO, die heute als Standard gelten und in der Praxis daher kaum Probleme bereiten. Darum werden die meisten Verträge lediglich redaktionell auf das Schweizer DSG angepasst werden müssen.

Datenschutzerklärung wird Pflicht

Ausgebaut wurde im neuen DSG die Informationspflicht. Diese ist zu vergleichen mit der Deklarationspflicht bei Lebensmitteln. Sie bedeutet, dass Unternehmen eine Datenschutzerklärung haben müssen, aufgrund welcher sie gewisse Pflichtinformationen über die von ihnen durchgeführten Datenbeschaffungen den betroffenen Personen zugänglich machen müssen. Dies wird normalerweise auf der eigenen Website mit Links auf Formularen oder in Verträgen geschehen. Das neue DSG mit Bezug auf den Mindestinhalt einer Datenschutzerklärung weniger weit als das, was die DSGVO verlangt. Eine Ausnahme ist die Pflicht zur Angabe der Länder, in welchen Daten bearbeitet werden, sowie die Angabe der gesetzlichen Bestimmungen, auf welche sich das Unternehmen dabei stützt. Hier kann aber auch mit Begriffen wie "Europa" oder "Weltweit" gearbeitet werden. Falls ein Unternehmen einen Datenschutzberater oder einen Vertreter bestellt hat, sind auch hierzu Hinweise erforderlich. Es sind somit gewisse Anpassungen an den bestehenden Datenschutzerklärungen nötig, aber komplizierter werden sie nicht.

Auslandstransfer: Es wird einfacher

Der Auslandstransfer wird zwar neu formell anders geregelt, aber praktische Auswirkungen hat das kaum. Neu legt der Bundesrat (analog zur Europäischen Kommission im EWR) verbindlich fest, welche Länder einen angemessenen Datenschutz haben und bei welchen der Datenexport daher ohne besondere Vorkehrungen erlaubt ist. Bisher hat das de facto der EDÖB getan, seine Länderliste war jedoch nicht verbindlich (weshalb derzeit die Auswirkungen des EuGH-Entscheids "Schrems II" in der Schweiz auch nicht so weit gehen wie im EWR). Die EU-Standardverträge für Datenexporte können weiterhin verwendet werden; die Notifikationspflicht fällt sogar weg. Auch die Bekanntgabe von Personendaten an ausländische Behörden wird einfacher; bisher war dies oft nur im Rahmen von gerichtlichen Verfahren möglich.

Mehr Bussen möglich, aber weiterhin die Ausnahme

Verändert hat sich ferner die Durchsetzung des DSG: Konnte der EDÖB nach seiner Ansicht fehlbaren Datenbearbeitern nur "Empfehlungen" aussprechen und diese bei einer Nichtbefolgung verklagen, kann er neu Verfügungen aussprechen. Der EDÖB kann Datenbearbeitungen also beispielsweise direkt untersagen. Allerdings wird das Verfahren damit auch für ihn selbst komplizierter und aufwändiger. Ob dieses Vorgehen unter dem Strich mehr bringt, wird sich zeigen, da der EDÖB schon bisher personalmässig nicht überdotiert war. Bussen kann der EDÖB weiterhin nicht verteilen.

Diese Kompetenz liegt bei den Kantonen, und der Bussenkatalog wurde deutlich verschärft. Nebst der Verletzung der Informationspflicht, der Auskunftspflicht und der Pflicht zur Kooperation mit dem EDÖB, kann neu auch die Verletzung der Bestimmungen zum Datenexport, eine nicht konforme Beauftragung von Auftragsbearbeitern und bestimmte Verletzungen der Massnahmen zur Datensicherheit gebüsst werden. Die Busse ist primär von den fehlbaren Entscheidungsträgern zu bezahlen (allerdings nur bei vorsätzlichem Handeln) und beträgt maximal CHF 250'000. Dies ist summenmässig zwar kein Vergleich zur Regelung unter der DSGVO, dürfte aber gewichtiger wirken, da die Busse persönlich ist und nicht versichert werden kann. Wir gehen davon aus, dass Bussen im Datenschutzrecht jedenfalls in der Schweiz weiterhin die Ausnahme sein werden. Auch sind Verletzungen der grundlegenden Prinzipien des DSG weiterhin nicht strafbewehrt – ein wichtiger Unterschied zur DSGVO. Von vielen weitgehend unbemerkt beschlossen wurde ferner ein allgemeines "kleines" Berufsgeheimnis für alle Berufe (ebenfalls mit Bussen bis zu CHF 250'000 belegt) und eine Strafnorm gegen Identitätsklau.

Keine Einwilligung für Profiling

Das Profiling sorgte wohl für die meisten Diskussionen, obwohl die rechtliche Bedeutung – wie in der DSGVO – sehr beschränkt ist. Profiling meint eine maschinelle Meinungsbildung über Aspekte einer Person. Profiling wird als Begriff definiert, kommt jedoch im neuen DSG mit Bezug auf die Privatwirtschaft kaum vor. Anders als in vielen Berichten kolportiert sieht das neue DSG keine Pflicht zum Einholen einer Einwilligung im Falle von Profiling vor. Die Räte haben sich nur darauf geeinigt, dass allenfalls erforderliche Einwilligung für ein Profiling mit einem "hohen Risiko" eine ausdrückliche sein muss. Ein Profiling mit hohem Risiko liegt vor, wenn es zu einem Profil führt, das die Beurteilung wesentlicher Aspekte einer Person erlaubt (was dem heutigen Begriff des Persönlichkeitsprofils entspricht). Das entspricht bereits der heutigen Rechtslage, wo noch von einem Persönlichkeitsprofil die Rede ist. Mit anderen Worten: Es ändert sich eigentlich fast nichts. Freilich ist es schon unter dem heutigen Recht möglich, dass ein Datenbearbeitungsvorgang so weit geht, dass schon aufgrund von Treu und Glauben oder dem Grundsatz der Verhältnismässigkeit eine Rechtfertigung erforderlich ist – und damit möglicherweise eine Einwilligung. Mit anderen Worten: Das Parlament machte viel Lärm um nichts.

Handlungsbedarf für Unternehmen

Was gilt es nun zu tun? Für die Umsetzung der wichtigsten Bestimmungen des revidierten DSG dürfte für die meisten Unternehmen genug Zeit bleiben. Zunächst sollten sie ihre Datenschutzerklärungen auf die neuen Vorgaben hin überprüfen und anpassen oder ggf. neu erstellen, falls sie solche noch nicht haben. Am aufwändigsten ist in der Regel die interne Prüfung, ob alle Fälle abgedeckt sind, über die das Unternehmen Personendaten beschafft. Anhand dieser Angaben kann dann auch das neu vorgeschriebene Verzeichnis der Datenbearbeitungen erstellt werden. Besteht dieses Verzeichnis bereits für die DSGVO, kann es weitgehend übernommen werden.

In einem weiteren Schritt sind Auftragsbearbeitungen zu identifizieren und Verträge auf Vorgaben hin zu prüfen und anzupassen. Wurde diese Arbeit für die DSVGO schon gemacht, gibt es hier nicht viel Anpassungsbedarf; die Verweise auf die DSGVO sind um jene auf das DSG zu ergänzen. Das galt allerdings schon bisher.

Es sind weiter Auslandstransfers zu identifizieren und auf Vorgaben des DSG hin zu prüfen und nötigenfalls anzupassen, was aber in den meisten Fällen nicht nötig sein dürfte, wenn die bisher im DSG geltenden Anforderungen schon erfüllt worden sind. Neu wird ein Verstoss freilich strafbewehrt sein, weshalb es sich lohnen kann, etwas genauer hinzuschauen.

Unternehmen sollten weiter einen Prozess für Datenschutz-Folgenabschätzung einführen und gegebenenfalls einen Datenschutzberater ernennen. Wichtiger ist es allerdings die interne Zuständigkeit für den Datenschutz zu regeln. Eingeführt werden sollte auch ein Prozess zur Erfassung, Meldung und Bearbeitung von Verletzungen der Datensicherheit, wozu auch unbeabsichtigte Datenverluste und Fehlversendungen von Personendaten zählen. Einen Prozess – sofern nicht schon vorhanden – sollte jedes Unternehmen auch für die Beantwortung von Ersuchen betroffener Personen haben, die z.B. Auskunft über die über sie gesammelten Daten verlangen. Wenn von "Prozessen" die Rede ist, ist damit mindestens eine interne Zuständigkeit gemeint, eine Person die weiss, was in der konkreten Situation zu tun ist oder wie sie herausfindet, was zu tun ist.

Schliesslich sollten automatisierte Einzelentscheide (d.h. die obenerwähnten maschinellen Entscheide) identifiziert und diese bzw. die Information bei Relevanz ggf. den neuen Vorgaben angepasst werden. Ferner sollten Bearbeitungen von genetischen und biometrischen Daten, sowie für nicht personenbezogene Zwecke und Kreditwürdigkeit, identifiziert werden und diese auf die neuen Vorgaben hin geprüft und angepasst werden. Ebenso sollten die bestehenden Schulungen und Weisungen angepasst und entsprechende Audits vorgesehen werden.

Wer seinen Betrieb bereits auf die Anforderungen der DSGVO umgestellt hat, der wird somit nicht sehr viel zusätzlichen Aufwand betreiben müssen. Praxisrelevante Abweichungen gibt es im neuen DSG vor allem bei der Informationspflicht (bei den Angaben zum Auslandstransfer geht die Schweiz weiter), bei den Rechten der betroffenen Personen (hier sind die Voraussetzungen und Ausnahmen teilweise unterschiedlich), bei der Meldepflicht für Verletzungen der Datensicherheit (hier muss weniger rasch und nach leicht anderen Kriterien gemeldet werden) und bei der Bestellung eines Datenschutzverantwortlichen bzw. -vertreters (wobei das DSG den allermeisten Unternehmen hier keine Pflichten auferlegt).

Webinar von VISCHER

Wenn Sie weitere Fragen zu all diesen Themen haben, können Sie sich gerne bei uns melden. Wir werden zum neuen DSG auch zwei Webinare veranstalten, wo Fragen gestellt werden können. Die Webinare werden aufgezeichnet und auf unserer Website auch zum Abruf bereitstehen. Eines der Webinare wird auf die Änderungen gegenüber dem bestehenden DSG, das andere auf die Abweichungen zur DSGVO fokussiert sein.

Details und Anmeldung für die Webinare

Kategorien: Data & Privacy

You are currently offline. Some pages or content may fail to load.