10/2020 – Fachartikel Swiss Infosec AG
Eckpunkte zur Revision des schweizerischen Datenschutzgesetzes
1 Ausgangslage
Am 25. September 2020 haben National- und Ständerat dem Entwurf zur Totalrevision des Datenschutzgesetzes (DSG) zugestimmt. Vom Fall eines erfolgreichen Referendums abgesehen, bei dem das Volk die Vorlage verwerfen würde, steht der Inkraftsetzung des neuen Schweizer Datenschutzgesetzes somit nichts mehr im Weg. Das dürfte frühestens Ende 2021 der Fall sein. Eine Übergangsfrist ist nicht mehr vorgesehen, das neue Datenschutzgesetz würde somit mit Inkrafttreten sofort gelten.
Das schweizerische Datenschutzrecht soll der Europäischen Datenschutzgrundverordnung (DSGVO) angeglichen werden. Diese gilt seit dem 25. Mai 2018. Noch immer ausstehend und mit Spannung zu erwarten ist die Überprüfung der EU-Kommission, ob aus ihrer Sicht der Datenschutz in der Schweiz noch angemessen ist.
2 Einige der wichtigsten Eckpunkte zum neuen DSG
- Das DSG wird auf Daten juristische Personen nicht mehr anwendbar sein und beschränkt sich somit auf den Schutz der Daten natürlicher Personen.
- Die Führung eines Verzeichnisses der Datenbearbeitungen wird für Unternehmen obligatorisch sein, die mindestens 250 Mitarbeitende beschäftigen. Für Unternehmen mit weniger Angestellten und geringen Risiken wird der Bundesrat ermächtigt Ausnahmeregelungen zu erlassen.
- Privacy by Design und Privacy by Default werden gesetzlich verankert.
- Eine weitreichende Informationspflicht über Datenbearbeitungen mit gewissen Ausnahmen (aber nicht nur generell bei unverhältnismässigem Aufwand) wird eingeführt.
- Neu hinzukommt die Durchführung einer proaktiven Datenschutz-Folgenabschätzung für Bearbeitungen, die ein hohes Risiko bergen (insbesondere bei Verwendung neuer Technologien).
- Verletzungen der Datensicherheit sind zukünftig dem EDÖB zu melden.
- Es wird ein Recht auf Datenportabilität eingeführt. Jede Person kann demnach verlangen, ihr gewisse sie betreffende Personendaten in einem gängigen elektronischen Format herauszugeben, oder diese Daten einem anderen Unternehmen zu übergeben.
- Gewerkschaftliche Ansichten oder Tätigkeiten und Massnahmen über soziale Hilfe fallen weiterhin in die Kategorie der besonders schützenwerten Personendaten; neu dazu kommen biometrische und genetische Daten, unabhängig davon, ob sie «eine natürliche Person eindeutig identifizieren» oder nicht.
- Bis zuletzt im Parlament heftig umstritten, soll der Begriff «Profiling mit hohem Risiko» doch ins DSG aufgenommen werden. Als Profiling mit hohem Risiko gilt, wenn Daten so verknüpft werden, dass eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person möglich wird (was dem heutigen Persönlichkeitsprofil entspricht).
- Für die Bearbeitung besonders schützenswerter Personendaten und das Profiling mit hohem Risiko muss die Einwilligung ausdrücklich erfolgen, ohne dass die anderen Rechtsfertigungsgründe deswegen irrelevant werden. Ist für das Bearbeiten «normaler» Personendaten eine Einwilligung erforderlich, so hat sie nach angemessener Information freiwillig zu erfolgen.
- Es gelten strafrechtliche Sanktionen in der Höhe von bis maximal CHF 250’000. Mit einer Busse bestraft werden kann neu, wer die Mindestanforderungen an die Datensicherheit nicht einhält. Gleichermassen strafbar ist auch eine unzulässige Auslandsübermittlung, eine nicht den Vorgaben entsprechende Auftragsbearbeitung oder die Verletzung der Informationspflichten. Nach wie vor können nur vorsätzlich handelnde natürliche Personen, namentlich (aber nicht nur) die Führungskräfte eines Unternehmens, juristisch belangt werden.
- Auch für ausländische Unternehmen, die auf dem schweizerischen Markt tätig sind, soll das DSG zukünftig explizit gelten; gewisse ausländische Unternehmen sollen einen Vertreter in der Schweiz benennen.
3 Nützliche Hinweise und Links
Den Schlussabstimmungstext finden Sie hier:
https://www.parlament.ch/centers/eparl/curia/Schlussabstimmungstext.pdf
Alle Beiträge zur Revision des DSG (Geschäfts-Nr. 17.059) finden Sie hier:
https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20170059
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.
Swiss Infosec AG; 30.09.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch