Das neue Schweizer Datenschutzgesetz – Die wichtigsten Neuerungen für Unternehmen
Autorin Daniela Fábián Masoch
Attorney at Law, Privacy Expert CIPP E/CIPM/FIP and ISMS 27001 Lead Auditor
Daniela Fábián ist Rechtsanwältin, Datenschutzexpertin CIPP/E, CIPM, FIP, ISMS 27001 Lead Auditor und Gründerin von FABIAN PRIVACY LEGAL, einer auf internationales, europäisches und schweizerisches Datenschutzrecht spezialisierten Anwaltskanzlei mit Sitz in Basel. Sie berät und unterstützt multinationale Unternehmen mit einem pragmatischen Ansatz bei der Bewertung, Entwicklung, Umsetzung und Überwachung von Datenschutzstrategien, Governance-Modellen, globalen Datenschutzprogrammen und Datentransferstrategien, einschliesslich BCR.
Das Schweizer Parlament hat am 25. September 2020 das revidierte Datenschutzgesetz (DSG-neu) verabschiedet. [1] Über das Inkrafttreten entscheidet der Bundesrat nach Ablauf der 100-tägigen Referendumsfrist. Dieser Artikel fasst die wichtigsten Neuerungen für Unternehmen zusammen. [2]
[1] Schlussabstimmungstext DSG
[2] Auf die spezifischen Bestimmungen zur Datenbearbeitung durch Bundesorgane wird hier nicht eingegangen.
At a Glance
- Die Grundkonzeption der «Erlaubnis der Datenbearbeitung mit Verbotsvorbehalt» (d.h. Verbot, wenn die Datenbearbeitung zu einer «widerrechtlichen Persönlichkeitsverletzung führt») bleibt bestehen. Eine Einwilligung für die Bearbeitung von Personendaten ist, auch bei Profiling und der Bearbeitung von besonders schützenswerten Daten, nach wie vor grundsätzlich nicht erforderlich. Auch die Grundsätze der Datenbearbeitung bleiben weitgehend unverändert.
- Juristische Personen fallen aus dem Schutzbereich heraus. Nur noch natürliche Personen unterstehen dem Schutz des DSG-neu.
- Der Geltungsbereich des DSG-neu erstreckt sich auf Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden.
- Die Begriffe «Inhaber der Datensammlung», «Persönlichkeitsprofile», und «Datensammlung» wurden gestrichen, dafür die Begriffe «Profiling», «Profiling mit hohem Risiko» und «Verletzung der Datensicherheit» eingeführt. Genetische und biometrische Daten sowie Daten über die Zugehörigkeit zu einer Ethnie gehören neu zu den besonders schützenswerten Daten.
- Die Konzepte «Privacy by Design» und «Privacy by Default» sind, wie auch schon in der EU-Datenschutz-Grundverordnung (DSGVO), nun im Gesetz verankert.
- Für die Datensicherheit sind sowohl der Verantwortliche als auch der Auftragsbearbeiter verantwortlich. Ein risikobasierter Ansatz wird eingeführt.
- Die Datenbearbeitung durch Auftragsbearbeiter bleibt im Wesentlichen gleich. Neu darf der Auftragsbearbeiter einen Unterauftragnehmer für die Bearbeitung der Daten nur nach vorgängiger Genehmigung des Verantwortlichen beiziehen.
- Die Ernennung einer Datenschutzberaterin oder eines Datenschutzberaters bleibt freiwillig. Vorteile einer Ernennung können sich im Zusammenhang mit der Datenschutz-Folgenabschätzung ergeben.
- Neu müssen der Verantwortliche und der Auftragsbearbeiter ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Dieses Verzeichnis muss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nicht gemeldet werden (bisher musste der Inhaber von Datensammlungen seine Sammlungen grundsätzlich beim EDÖB anmelden).
- Unternehmen mit Sitz im Ausland, die Personendaten von Personen in der Schweiz bearbeiten, müssen künftig einen Vertreter in der Schweiz
- Die Voraussetzungen für die Bekanntgabe von Personendaten ins Ausland bleiben im Wesentlichen gleich. Neu stellt der Bundesrat verbindlich fest, ob die Gesetzgebung eines Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
- Die Informationspflicht ist neu auf das Beschaffen jeglicher Personendaten ausgedehnt worden (bisher nur bei der Beschaffung von besonders schützenswerten Daten und Persönlichkeitsprofilen) und umfasst auch automatisierte Einzelentscheidungen.
- Der Verantwortliche muss neu bei Datenbearbeitungen mit voraussichtlich hohem Risiko für die betroffene Person eine Datenschutz-Folgenabschätzung durchführen.
- Der Verantwortliche muss künftig Verletzungen der Datensicherheit dem EDÖB melden.
- Betroffene Personen haben neu ein Recht auf Datenherausgabe oder -übertragung (Datenportabilität).
- Der EDÖB erhält erweiterte Kompetenzen und kann neu eine Reihe von Verwaltungsmassnahmen verfügen.
- Die Strafbestimmungen wurden mit Bussen bis zu 250 000 Franken für private Personen (also nicht Unternehmen!) erheblich verschärft, allerdings nur für Verstösse in bestimmten Bereichen, insbesondere der Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten sowie von Sorgfaltspflichten betreffend Anforderungen an die Datenbekanntgabe ins Ausland, Beiziehung eines Auftragsbearbeiters und für Nichteinhaltung der Mindestanforderungen an die Datensicherheit. Bussen bedingen eine vorsätzliche Handlung und werden in den meisten Fällen nur auf Antrag verhängt.