iusNet Digitales Recht und Datenrecht

Schulthess Logo

Digitales Recht und Datenrecht > Kommentierung > Bund > Dsg > Revision des Schweizerischen Datenschutzgesetzes (revDSG) – Neuerungen und Vorgehen für Unternehmen

Revision des Schweizerischen Datenschutzgesetzes (revDSG) – Neuerungen und Vorgehen für Unternehmen

Revision des Schweizerischen Datenschutzgesetzes (revDSG) – Neuerungen und Vorgehen für Unternehmen

Kommentierung
DSG

Revision des Schweizerischen Datenschutzgesetzes (revDSG) – Neuerungen und Vorgehen für Unternehmen

Im Rahmen dieser Totalrevision wurden die rechtlichen Grundlagen einer in den letzten Jahren vermehrt in den Fokus der medialen und gesellschaftlichen Diskussion geratenen Thematik neu verhandelt.

Gründe und Ziele der Revision

Das revidierte Datenschutzgesetz ersetzt das geltende Datenschutzrecht des Bundes aus dem Jahre 1992, das seit dem 01. Juli 1993 in Kraft und bereits einmal im Jahr 2004 revidiert worden war (revidierte Bestimmungen in Kraft seit 2008).

Das geltende Datenschutzrecht war aufgrund der seither erfolgten rasanten gesellschaftlichen und technologischen Entwicklungen buchstäblich in die Jahre gekommen, da es die datenschutzrechtlichen Aspekte und Auswirkungen neuerer Entwicklungen wie Social Media, Cloud Computing oder Smartphones nicht mehr adäquat zu regeln vermochte.

Zusätzlich unter Druck geraten war das geltende Schweizer Datenschutzrecht auch durch neuere Datenschutzerlasse, wie der seit dem 25. Mai 2018 anwendbaren europäischen Datenschutzgrundverordnung (DSGVO). Dieser Datenschutzerlass gilt seit dem 20. Juli 2018 für den gesamten Europäischen Wirtschaftsraum (EWR) und damit neben den EU-Mitgliedstaaten auch für Liechtenstein, Island sowie Norwegen. Ohne Angleichung des Schweizer Datenschutzrechts wären  Schweizer Unternehmen künftig Gefahr gelaufen, den Austausch von Personendaten mit Tochterunternehmen, Partnern oder Kunden im EWR mangels angemessenem Datenschutzniveau der Schweiz nicht mehr ohne zusätzliche organisatorische oder technische Schutzmassnahmen durchführen zu dürfen. Die EU-Kommission, die bereits im Mai 2020 turnusgemäss über die Angemessenheit (Äquivalenz) des Schweizer Datenschutzrechts hätte entscheiden müssen, verschob diesen Entscheid seither mehrfach – zuletzt mit unbestimmter Frist. Es kann davon ausgegangen werden, dass das revidierte DSG künftig den europäischen Anforderungen genügen wird und Schweizer Unternehmen nicht gezwungen sind, mit allen ihren Datenaustauschpartnern im EWR jeweils einzeln die Modalitäten des Datenaustauschs vertraglich zu regeln oder gar zu technischen Massnahmen wie der Verschlüsselung sämtlicher zu übertragender Personendaten sowie allfälligen weiteren Massnahmen zur Erreichung eines datenschutzrechtlich zulässigen Austauschs von Personendaten greifen zu müssen.

Im Lichte dieser Vorgaben umfassten die Ziele für die Totalrevision des Datenschutzgesetzes folgende vier zentrale Aspekte:

  • Erhöhung der Transparenz (Information über Datenbearbeitungen) und Stärkung der Rechte der betroffenen Personen
  • Förderung der Prävention zur Verhinderung von Datenschutzverletzungen und der Eigenverantwortung der Datenbearbeiter
  • Stärkung der Datenschutzaufsicht (durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB)
  • Ausbau der Strafbestimmungen

Wichtigste Neuerungen der Revision

Gegenüber dem geltenden Recht hat dies zu folgenden wichtigsten Neuerungen geführt:

Schutz natürlicher Personen (Art. 1, Art. 2 Abs. 1 u. Art. 5 lit. b revDSG):

Künftig werden lediglich noch natürlich Personen geschützt werden, während die juristischen Personen – sei das beispielsweise eine Aktiengesellschaft, eine GmbH oder eine Genossenschaft – sich für ihren Schutz nicht mehr auf das revDSG berufen können. Ihnen verbleibt allerdings der Schutz durch das Firmenrecht sowie weitere bestehende Bestimmungen der Rechtsordnung, beispielsweise durch den Persönlichkeitsschutz des Zivilgesetzbuches (ZGB) oder die Bestimmungen des Bundesgesetzes über den unlauteren Wettbewerb (UWG).

Erweiterung besonders schützenswerte Personendaten (Art. 5 lit. c Ziff. 3 u. 4 revDSG):

Die Auflistung der besonders schützenswerten Personendaten wird um genetische Daten sowie um biometrische Daten erweitert,  wie dies beispielsweise ein Fingerabdruck oder ein Retina-Scan darstellt. Somit gelten auch hier künftig qualifizierte Rechtsfolgen, sei dies bei der Einwilligung, der Datenschutz-Folgenabschätzung oder der Datenbekanntgabe an Dritte.

Profiling und Profiling mit hohem Risiko (Art. 5 lit. f u. g revDSG):

Profiling ist jede Art der automatisierten Bearbeitung von Personendaten, um bestimmte persönliche Aspekte einer natürliche Person zu bewerten. Profiling mit hohem Risiko liegt dann vor, wenn Personendaten automatisiert bearbeitet werden und eine Verknüpfung von Daten die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Bei Profiling mit hohem Risiko muss eine allenfalls erforderliche Einwilligung ausdrücklich erfolgen.

Auftragsbearbeiter (Art. 5 lit. k revDSG):

Ein Auftragsbearbeitungsverhältnis – beispielsweise im Rahmen eines Outsourcings von Unternehmenstätigkeiten wie der Datenhaltung in die Cloud – kann durch Vertrag oder Gesetz begründet werden. Der Auftragsbearbeiter hat die Daten gleich zu bearbeiten wie der Verantwortliche. Der Verantwortliche hat sich dabei zu vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Die Übertragung an einen Unterauftragnehmer bedarf der vorgängigen Genehmigung des Verantwortlichen.

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 7 revDSG):

Der Verantwortliche muss die Datenbearbeitung ab der Planung so gestalten, dass die Datenschutzvorschriften und insbesondere die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Weiter müssen die Voreinstellungen so vorgenommen werden, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck notwendige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Privacy by Default).

Erweiterung Informationspflichten (Art. 19 revDSG):

Betroffenen Personen müssen bei der Beschaffung von Personendaten Mindestanforderungen mitgeteilt werden wie Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck, allfällige Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfänger, denen Personendaten bekannt gegeben werden, sowie bei Bekanntgabe ins Ausland zusätzlich auch der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten.

Ausbau Auskunftspflichten (Art. 25 revDSG): 

Betroffene Personen haben neu Anspruch auf jede Information, welche für sie erforderlich ist, um ihre Rechte nach dem revDSG geltend zu machen. Die Auskunft ist daher nicht auf die abschliessend definierten Mindestinformationen von Art. 19 revDSG beschränkt.

Recht auf Datenherausgabe oder -übertragung (Art. 28 revDSG): 

Mit dem Recht auf Datenherausgabe und Datenübertragung (Datenportabilität) kann die betroffene Person kostenlos vom Verantwortlichen  die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.

Automatisierte Einzelfallentscheidung (Art. 21 revDSG): 

Der Verantwortliche muss die betroffene Person über eine Entscheidung informieren, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Die betroffene Person muss dabei die Möglichkeit haben, ihren Standpunkt darzulegen und kann verlangen, dass die Entscheidung von einer natürlichen Person geprüft wird.

Datenschutz-Folgenabschätzung (Art. 22 revDSG):

Weiter ist der Verantwortliche verpflichtet, eine Datenschutz-Folgenabschätzung  vorzunehmen, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Dabei sind die geplante Bearbeitung, die entstehenden Risiken sowie geeignete Gegenmassnahmen zur Verhinderung oder Minimierung solcher Risiken zu beschreiben.

Meldung von Verletzungen des Datenschutzes (Art. 24 revDSG): 

Bei einer Datenschutzverletzung hat der Verantwortliche dem EDÖB so rasch als möglich Meldung zu erstatten, wenn grosse Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen bestehen. Zudem müssen in der Regel auch die Betroffenen informiert werden, sofern dies zu ihrem Schutz erforderlich ist. Auch der Auftragsbearbeiter muss eine Verletzung der Datensicherheit so rasch als möglich dem Verantwortlichen melden, der dann die weiteren Schritte einzuleiten hat.

Sanktionen (Art. 60 ff. revDSG): 

Natürliche Personen können bei vorsätzlicher Verletzung der Informations- und Auskunftspflichten sowie der Sorgfaltspflichten neu mit Busse bis CHF 250'000 bestraft werden. Ausreichend ist der Eventualvorsatz, weshalb die Strafbarkeit bereits gegeben ist, wenn eine tatsächlich eingetretene Verletzung in Kauf genommen wurde. Dies führt dazu, dass – im Gegensatz zur DSGVO bei der lediglich Unternehmen oder Organisationen im Fokus von Bussen stehen – nach dem revidierten DSG Verantwortliche im Unternehmen wie VR, CEOs, CIOs oder andere Funktionen direkt und persönlich sanktioniert werden. Die Zuständigkeit für das Sanktionswesens liegt dabei bei den kantonalen Staatsanwaltschaften. 

Neben den soeben erwähnten zusätzlichen strafrechtlichen Sanktionen wird der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) weiterhin die Möglichkeit haben, verwaltungsrechtliche Massnahmen (Art. 50 ff. revDSG) auszusprechen. So kann er  beispielsweise die künftige Bearbeitung von bestimmten Personendaten einem Unternehmen untersagen oder dieses zur Löschung spezifischer Datensätze auffordern. Dabei verfügt der EDÖB neu über Verfügungsmacht, während bisher unter dem geltenden Recht lediglich unverbindliche Empfehlungen möglich waren. Diese Verfügungen des EDÖB können vor Bundesverwaltungsgericht angefochten werden. 

Nicht neu hingegen ist die Klage betroffener Personen wegen Verletzung der Persönlichkeitsrechte nach den Art. 28 ff. ZGB, deren Verfahren sich nach der eidgenössischen Zivilprozessordnung (ZPO) richtet und in die Zuständigkeit der Zivilgerichtsbarkeit fällt. 

Weiteres Vorgehen für Unternehmen

Bis zum Inkrafttreten des revidierten DSG ist Unternehmen zu empfehlen, dass sie zunächst eine Bestandesaufnahme ihrer Datenbearbeitungen (Personendaten) durchführen, um anschliessend im Rahmen einer Gap-Analyse den datenschutzrechtlichen Handlungsbedarf festzustellen.

Dieses Vorgehen ist auch dann zu empfehlen, wenn bereits DSGVO-Massnahmen im Unternehmen umgesetzt wurden, da gewisse Unterschiede beim revDSG zu berücksichtigen und entsprechend im Datenschutzmanagementsystem abzubilden sind. Bei diesen Unterschieden handelt es sich nicht um eigentliche «Swiss Finishes», wie im Rahmen der parlamentarischen Beratungen insbesondere diskutierte Verschärfungen im Vergleich zur DSGVO benannt wurden, sondern um durchaus pragmatische, leichte Abweichungen

  • bei den Informationspflichten (Anpassung Datenschutzerklärungen), 
  • beim Auskunftsrecht, 
  • bei den Auftragsdatenbearbeitungsverträgen (ADV), 
  • bei den Data Breach Notifications, 
  • bei den Datenexporten sowie 
  • den Dokumentationspflichten.

Ausgehend vom festgestellten Handlungsbedarf können anschliessend die erforderlichen Umsetzungsmassnahmen bestimmt, priorisiert und im Unternehmen projektspezifisch implementiert werden.

Dabei ist zu beachten, dass Datenschutzcompliance keine Punktlandung darstellt, die es zu einem bestimmten Zeitpunkt zu erreichen gilt, sondern zu einem steten Prozess mit kontinuierlichen Verbesserungen führen soll. Um auch später allenfalls neu hinzukommende oder geänderte Datenbearbeitungen erfassen zu können, ist daher im Unternehmen ein Monitoring- und Reviewprozess aufzusetzen, damit zeitnah auf die neue Situation reagiert werden kann. 

Parallel dazu sind die Mitarbeitenden aller Stufen auf die Datenschutzthematik zu sensibilisieren und zu schulen. Dies mit dem Ziel, dass sie sich die Verantwortlichen nicht einer persönlichen Strafbarkeit aussetzen oder das Unternehmen nicht Gefahr läuft, durch den EDÖB verwaltungsrechtlich sanktioniert zu werden oder einen Reputationsschaden zu erleiden.

iusNet DigR 21.01.2020