Das totalrevidierte Schweizer Datenschutzgesetz (DSG) wurde am 25. September 2020 vom Parlament angenommen. Das Gesetz soll coronabedingt 2022 in Kraft treten. Welche Veränderungen bringt das Gesetz mit sich?
Ziel der Revision war es, das Datenschutzgesetz dem aktuellen Stand der Technologie anzupassen, den Schutz der Personendaten zu erhöhen und die Datenbearbeiter:innen stärker in die Pflicht zu nehmen. Viele Punkte wurden beibehalten, andere präzisiert oder neu geregelt.
Um nicht in unnötigen Umsetzungsstress zu kommen, kann jetzt schon mit der Implementierung begonnen werden. Daher sollte jedes Unternehmen die wichtigsten Änderungen und Neuerungen kennen und umsetzen.
Kein Schutz mehr für juristische Personen
Zuerst fällt auf, dass es keinen Schutz mehr für juristische Personen gibt. Das bisherige schweizerische DSG kannte als einziges weltweit diesen Schutz. Das heißt nicht, dass Firmen zukünftig nicht mehr geschützt sind. Begründet wird die Streichung damit, dass Firmen durch verschiedene andere Gesetze bereits genügend geschützt sind.
Erweiterter räumlicher Geltungsbereich
Bisher galt das schweizerische Datenschutzgesetz nur für Unternehmen mit einer Niederlassung in der Schweiz (Standort-Prinzip).
Somit konnten ausländische Unternehmen beliebig Daten sammeln und bearbeiten, ohne dass sie zur Rechenschaft gezogen werden konnten.
Hier waren dem Gesetzgeber die großen Datenkraken, wie beispielsweise Amazon, Facebook oder Google ein Dorn im Auge.
Neu gilt das Gesetz auch für alle Unternehmen, die Daten von in der Schweiz wohnhaften Personen bearbeiten, unabhängig von ihrem Standort.
Dieses Marktort-Prinzip wir in Artikel 3 geregelt und ist bereits aus der DSGVO bekannt.
Erweiterte Definition besonders schützenswerter Daten
Artikel 5c definiert nun auch genetische und biometrische Daten (Fingerprint, Retina-Scan, etc.) oder die ethische Zugehörigkeit als besonders schützenswert.
Profiling
Artikel 5f und Artikel 5g definieren das Profiling sowie das Profiling mit hohem Risiko. Kann über diese Profile eine Person eindeutig identifiziert, deren Vorlieben und Verhalten bestimmt werden, fallen diese ebenfalls und das Datenschutzgesetz.
Das alte Datenschutzgesetz sprach hier von Persönlichkeitsprofilen, die wenig präzisiert waren. Was auffällt ist, dass für das Profiling keine Einwilligung notwendig ist. Hier weicht das neue Schweizer DSG von der DSGVO ab. Einzig für Profiling mit hohem Risiko ist eine Einwilligung notwendig (Artikel 6).
Erweiterte Informationspflicht und Auskunftsrecht
Die Informationspflicht für den/die Datenbearbeiter:in und die Auskunftspflicht wurde deutlich erweitert. Sie umfasst folgende Punkte:
- Identität und die Kontaktdaten des/der Verantwortlichen
- Die bearbeitenden Daten
- Bearbeitungszweck
- Die Aufbewahrungsdauer
- Herkunft der Personendaten, sofern diese nicht direkt bei der betroffenen Person beschafft wurden
- Eventuell Empfänger:innen oder die Kategorien der Empfänger:innen, deren Personendaten bekanntgegeben werden
Eine Auskunft muss kostenlos und in der Regel innerhalb von 30 Tagen erteilt werden. Geregelt sind die obigen Punkte in Artikel 19 und Artikel 25.
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Artikel 7 Absatz 2 verlangt technische und organisatorische Maßnahmen, um das Risiko von Datenschutzverletzungen zu minimieren (Privacy by Design).
Im nachfolgenden Absatz 3 werden datenschutzfreundliche Voreinstellungen verlangt (Privacy by Default). Das heißt beispielsweise, dass Checkboxen für Zusatzleistungen, wie Newsletter-Abos explizit angewählt werden müssen.
Die bisherige Praxis einzelner Unternehmen alle Zusatzleistungen versteckt darzustellen, in der Hoffnung, dass diese in der Auswahl übersehen werden, ist ab 2022 ein klarer Verstoß gegen Artikel 7.
Die gesetzliche Forderungen nach Privacy by Design und Privacy by Default ist neu für das schweizerische Datenschutzgesetz. Bisher kannten wir diese Regelungen aus der DSGVO.
Meldung von Verletzungen des Datenschutzes
Bei einer Verletzung des Datenschutzes muss der/die Verantwortliche dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so schnell als möglich melden, wenn große Risiken für die betroffenen Personen bestehen. Die Meldepflicht umfasst mindestens die Art der Verletzung und die getroffenen Maßnahmen.
Die Meldepflicht ist in Artikel 24 geregelt und ist neu. Das bisherige Datenschutzgesetz kannte keine Meldepflicht.
Pflicht für Datenbearbeiter mit Sitz im Ausland
Nach Artikel 14 müssen Unternehmen mit Sitz im Ausland eine Vertretung in der Schweiz ernennen, wenn folgende Voraussetzungen erfüllt sind:
- Es werden Leistungen angeboten oder Daten zu Personen gesammelt.
- Es handelt sich um eine umfangreiche und regelmäßige Bearbeitung.
- Die Bearbeitung bringt ein hohes Risiko für die betroffene Person mit sich.
Gerade die Definitionen von „umfangreich“, „regelmäßig“ und „hohem Risiko“ werden vermutlich noch einiges zu diskutieren geben und ein Streitpunkt in verschiedenen Gerichtsprozessen sein.
Artikel 15 definiert die drei Pflichten dieser Vertretung:
- Das Führen des Verzeichnisses der Bearbeitungstätigkeit
- Die Auskunft über Inhalte dieses Verzeichnisses gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) – auf Anfrage.
- Die Auskunft gegenüber einer betroffenen Person, wie sie ihre Rechten ausüben kann – ebenfalls auf Anfrage.
Höhere Bußgelder
Was zuerst auffällt ist, dass die Bußgeldhöhe mit bis zu CHF 250‘000.- deutlich niedriger ausfällt als die der DSGVO. Bestraft werden verantwortliche natürliche Personen. Das Datenschutzgesetz folgt damit dem schweizerischen Grundsatz, dass die Verantwortung immer bei einzelnen Personen liegt. Im Gegensatz dazu bestraft die DSGVO die fehlbaren Unternehmen.
Die Strafbestimmungen und Verjährungsfristen sind detailliert im Kapitel 8, in Artikel 60 bis 66, geregelt. In diesem Kapitel ist eine neue Schweigepflicht für alle Berufe enthalten.
Die 74 Artikel des neuen Datenschutzgesetzes enthalten einige zusätzliche Bestimmungen, Ausnahmeregeln, Rollen- und Prozessbeschreibungen. Gerne unterstützen wir Sie bei Fragen und bei der Umsetzung der Anforderungen an das neue Datenschutzgesetz.
