Überblick über das totalrevidierte Datenschutzgesetz
Am 1. September 2023 ist das totalrevidierte Datenschutzgesetz in Kraft getreten. Der Beitrag gibt einen Überblick über die wichtigsten Neuerungen.Autor: lic. iur. Philippe FuchsÜberblick über das totalrevidierte Datenschutzgesetz
Am 1. September 2023 sind die Totalrevision des Datenschutzgesetzes (DSG) und die Ausführungsbestimmungen in der Datenschutzverordnung (DSV) in Kraft getreten. Der nachfolgende Beitrag gibt einen Überblick über die wichtigsten Bestimmungen und datenschutzrechtlichen Neuerungen, wobei der Fokus auf den datenschutzrechtlichen Pflichten von Unternehmen liegt.
Grundsätzlich unverändert geblieben ist das bereits unter dem alten DSG zur Anwendung kommende Konzept, dass die Bearbeitung von Personendaten nicht schon per se eine Persönlichkeitsverletzung darstellt (vgl. Art. 30 Abs. 1 und 2 DSG). Damit verfolgt das DSG ein anderes Konzept als die europäische Datenschutz-Grundverordnung (DSGVO), welche für sämtliche Datenbearbeitungen eine spezifische Rechtsgrundlage erfordert (vgl. Art. 6 Abs. 1 DSGVO).
Auftragsdatenbearbeitung (Art. 9 DSG)
Der Verantwortliche kann die Bearbeitung von Personendaten (vertraglich) an einen Auftragsbearbeiter (d.h. einen Dienstleister, z.B. IT-Dienstleister oder Payroll-Provider) übertragen. Dabei hat er sich zu vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Auftragsbearbeiter sind zwar keine «Dritten» (z.B. im Sinne von Art. 30 Abs. 2 lit. c DSG), jedoch «Empfänger» im Sinne der Informationspflicht gemäss Art. 19 Abs. 2 lit. c DSG und müssen daher gegenüber der betroffenen Person offengelegt werden (zumindest die Kategorien der Auftragsbearbeiter). Der Auftragsbearbeiter darf die Personendaten nur so bearbeiten, wie es der Verantwortliche selbst tun darf. Ausserdem darf er weitere Unter-Auftragsbearbeiter nur mit vorgängiger Genehmigung des Verantwortlichen beiziehen.
Bekanntgabe ins Ausland (Art. 16 ff. DSG)
Als «Bekanntgabe» wird das Übermitteln oder Zugänglichmachen von Personendaten verstanden. Es genügt also, wenn jemand aus dem Ausland – z.B. eine ausländische Gruppengesellschaft – auf Daten in der Schweiz zugreifen kann. Auch wenn sich der Server, auf welchem die Daten gespeichert sind, im Ausland befindet, ist dies bereits eine Bekanntgabe ins Ausland im Sinne von Art. 16 DSG. Unproblematisch ist die Bekanntgabe von Personendaten in ein Land, welches einen angemessenen Datenschutz gewährleistet (grundsätzlich trifft dies auf EU- und EWR-Länder zu). Sofern das Land keinen angemessenen Datenschutz aufweist, müssen zusätzliche Sicherheiten (z.B. Standardvertragsklauseln, US Data Privacy Framework etc.) eingeführt werden. Dies ist z.B. der Fall bei Bekanntgaben von Personendaten in die USA, nach Indien oder China.
Datenschutzrechtliche Pflichten des Verantwortlichen
Die Revision des DSG hat zahlreiche neue Pflichten für Verantwortliche eingeführt. Als Vorbild diente dabei die DSGVO – Schweizer Unternehmen, welche in den Anwendungsbereich der DSGVO fallen und deren Pflichten bereits umgesetzt haben, sehen sich nur mit sehr wenig Anpassungsbedarf konfrontiert. Die verschiedenen Pflichten, welche ein Unternehmen (als Verantwortlicher) einhalten muss, werden im Folgenden näher dargestellt.
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 7 DSG)
Datenbearbeitungen müssen technisch und organisatorisch so ausgestaltet werden, dass die Datenschutzvorschriften eingehalten werden (insbesondere die Bearbeitungsgrundsätze gemäss Art. 6 DSG). Dabei ist dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko für die betroffene Person Rechnung zu tragen. Datenschutz durch Technik wird auch «Privacy by Design» genannt.
Der Verantwortliche muss darüber hinaus mittels geeigneter Voreinstellungen («Privacy by Default») sicherstellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
Führung eines Bearbeitungsverzeichnisses (Art. 12 DSG)
Unternehmen müssen ein Verzeichnis der Datenbearbeitungstätigkeiten mit den vorgeschriebenen Angaben führen. Unternehmen, die am 1. Januar eines Jahres weniger als 250 Mitarbeitende beschäftigen, sind von dieser Pflicht befreit, sofern sie nicht in grossem Umfang besonders schützenswerte Personendaten bearbeiten oder Profiling mit hohem Risiko betreiben. Nach eigener Aussage wird der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) grosses Gewicht auf dieses Verzeichnis legen.
Informationspflicht (Art. 19 DSG)
Die Informationspflicht ist eine der zentralen Pflichten, um einen angemessenen Datenschutz zu gewährleisten. Der Verantwortliche hat die betroffene Person (z.B. Kunden, Mitarbeiter, Bewerber, Webseitenbesucher etc.) angemessen über die Beschaffung von Personendaten zu informieren. Die Information erfolgt in der Regel durch eine Datenschutzerklärung (z.B. auf der Webseite, durch Abgabe an die Kunden oder die Mitarbeiter etc.). Die Informationspflicht gilt auch, falls die Daten nicht bei der betroffenen Person selbst, sondern bei Dritten beschafft werden.
Die Information nach Art. 19 DSG unterliegt keinen speziellen Formerfordernissen. Jedoch verlangt Art. 13 DSV, dass die betroffene Person in präziser, transparenter, verständlicher und leicht zugänglicher Form zu informieren ist.
Die Informationspflicht wurde im Zuge der Revision deutlich ausgebaut. Unter dem alten Recht musste die betroffene Person nur im Falle der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen informiert werden. Seit dem 1. September 2023 unterliegen jegliche Bearbeitungen von Personendaten der Informationspflicht gemäss Art. 19 DSG.
Datenschutz-Folgenabschätzung (Art. 22 DSG)
Sofern eine geplante Datenbearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Person mit sich bringen kann, hat der Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung (DSFA) zu erstellen. Das hohe Risiko ergibt sich, insbesondere bei der Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Die DSFA dient der Sicherstellung und dem Nachweis der Einhaltung der Datenschutzvorschriften durch den Verantwortlichen. Im Rahmen einer DSFA müssen die geplanten Bearbeitungen beschrieben, die Risiken für die Persönlichkeit der betroffenen Person bewertet und die Massnahem zum Schutz der Persönlichkeit aufgezeigt werden. Ergibt sich aus der DSFA, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit der betroffenen Person zur Folge hat, so holt der Verantwortliche vorgängig die Stellungnahme des EDÖB ein.
Meldungen von Verletzungen der Datensicherheit (Art. 24 DSG)
Verletzungen der Datensicherheit (z.B. Hacker-Angriffe oder das Liegenlassen eines Laptops mit Personendaten im Zug), die voraussichtlich zu einem hohen Risiko für die Persönlichkeit der betroffenen Person führen, sind so rasch als möglich dem EDÖB zu melden. Während die Meldung gemäss Art. 33 DSGVO innert 72 Stunden erfolgen muss, gibt das DSG keine spezifische Frist vor. Es empfiehlt sich jedoch auch in der Schweiz, die Meldung an den EDÖB innert spätestens 72 Stunden vorzunehmen. Ausserdem informiert der Verantwortliche die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
Konsequenzen bei Verletzung der Datenschutzvorschriften
Verletzungen der Datenschutzvorschriften können Persönlichkeitsverletzungen darstellen und somit zivilrechtliche Konsequenzen (Unterlassung, Beseitigung und Schadenersatz) zur Folge haben. Ausserdem können Verletzungen neu auch erhebliche strafrechtliche Konsequenzen nach sich ziehen (Busse bis zu CHF 250'000; vgl. Art. 60 ff. DSG). Die strafrechtlichen Konsequenzen sind grundsätzlich von natürlichen Personen zu tragen (i.d.R. die Geschäftsleitung oder der Verwaltungsrat). Dazu muss eine (eventual-) vorsätzliche Tatbegehung vorliegen, d.h. mindestens ein in Kauf nehmen der tatsächlich eingetretenen Datenschutzverletzung. Unter gewissen Umständen (Busse < CHF 50’000 und Ermittlung der verantwortlichen Person wäre unverhältnismässig) kann die Busse auf das Unternehmen überwälzt werden.
Fazit
Mit der Revision des DSG hat der Datenschutz in der Schweiz erheblich an Stellenwert gewonnen. Insbesondere jene Schweizer Unternehmen, die bisher nicht in den Anwendungsbereich der DSGVO gefallen sind, sehen sich einem erheblichen Anpassungsbedarf ausgesetzt. Aufgrund der erheblichen strafrechtlichen Konsequenzen bei Verletzungen der gesetzlichen Datenschutzbestimmungen stellt die datenschutzrechtliche Compliance ein zentrales Element im Pflichtenheft der Unternehmen dar. Die Leitungs- und Aufsichtsorgane von Schweizer Gesellschaften tun daher gut daran, die datenschutzrechtliche Compliance auf ihre Agenda zu setzen und die notwendigen Vorkehrungen (wie z.B. die Implementierung von Datenschutzrichtlinien oder die Schulung von Mitarbeitern) zu treffen.