Die jüngsten Entwicklungen im Schweizer Datenschutzgesetz

in Advisory, 23.01.2017

Nach der Revision des Europäischen Datenschutzrechts wurde gespannt der Vorentwurf für die Revision des  Schweizer Datenschutzgesetzes (DSG) erwartet. Auf was für eine Stossrichtung lässt der veröffentlichte Vorentwurf schliessen, und was könnte das für Unternehmen in Zukunft bedeuten?

Am 1. April 2015 informierte der Bundesrat über das Vorhaben, bis Ende August 2016 einen Entwurf für das revidierte Schweizer DSG vorzulegen. Mit der Veröffentlichung des Vorentwurfs des DSG Ende Dezember 2016 wird nun auch der öffentliche Meinungsbildungsprozess gestartet – der Weg bis zur eigentlichen Inkraftsetzung ist aber noch lang.

Gestärkter Datenschutz und erhöhte Transparenz

Der Vorentwurf verdeutlicht, dass eine Grundlage geschaffen werden soll, die dem Datenschutzniveau der neuen EU-Datenschutzgrundverordnung entspricht. Der Vorentwurf DSG orientiert sich stark an europäischen Datenschutzgrundsätzen, wie z.B. erhöhte Transparenz, Stärkung des Datenschutzes und der Kontrollorgane, Anpassung an die fortschreitende technische Entwicklung und das Recht auf Vergessen.

Welche wichtigen Veränderungen und Stossrichtung enthält der aktuelle Vorentwurf konkret?

  • Der Geltungsbereich des Vorentwurfs-DSG (VE-DSG) hat sich der internationalen Datenschutzgesetzgebung angepasst und schützt nun ausschliesslich natürliche Personen. Es wird also, im Gegensatz zum heutigen Recht, vollkommen auf den Schutz juristischer Personen verzichtet. Dies bedeutet jedoch nicht, dass Unternehmen aus der Verantwortung genommen werden, sondern vielmehr, dass diese nicht mehr als Datensubjekt angesehen werden und somit kein eigenes Klagerecht mehr haben.
  • Die neuen, stark geänderten Strafbestimmungen sehen im Gegensatz zum aktuellen Recht empfindliche Bussen von bis zu CHF 500‘000.- für Datenschutzverletzungen vor. Das Datenschutzrecht der EU, das Bussen von bis zu 4% des Jahresumsatzes oder 20 Mio. Euro vorsieht, ist in dieser Hinsicht dennoch deutlich strenger. Die hohen Bussen dürften bei zahlreichen Unternehmen zur Überlegung führen, wo Daten zukünftig gespeichert bzw. bearbeitet werden sollen, wobei durch den weiten geographischen Anwendungsbereich des EU Datenschutzrechts hier wohl enge Grenzen gesetzt sind.
  • Neu wäre auch die Pflicht zur Erstellung einer Datenschutz-Folgeabschätzung, also eine Risikobeurteilung der Auswirkungen auf die Privatsphäre. Aufgrund dieser Folgeabschätzung sollen Unternehmen frühzeitig angemessene Massnahmen definieren, um so die Datenschutz-Risiken für die betroffenen Personen zu minimieren.
  • Verletzungen des Datenschutzes sind im Entwurf einer obligatorischen Meldung unterstellt. Diese Meldung muss dem Datenschutzbeauftragten gemacht werden, vorausgesetzt, der Verstoss stellt ein Risiko für die Persönlichkeitsrechte der betroffenen Person dar.
  • Das Konzept der Verantwortung der datenbearbeitenden Organisationen (betrifft sowohl den Datenverantwortlichen wie auch den Datenverarbeiter) ist nun in einer verschärften Art und Weise anzutreffen. Wo früher nur der Dateninhaber in die Haftung genommen wurde, sind dies heute sämtliche Privatpersonen, Regierungsorgane und juristischen Personen.
  • Unternehmen werden mit dieser Revision mehr Freiheiten gegeben, ihre nun verschärfte Verantwortung für Personendaten umzusetzen. Diese Umsetzung soll auf dem Konzept der Selbstregulierung geschehen. Dieses Konzept der Eigenverantwortung basiert auf „best-practice“-Empfehlungen des Eidgenössischen Datenschutzbeauftragten (EDöB), bei welchen aber auch weitere Interessengruppen zu Rate gezogen werden.
  • Auch im weiteren Kontext soll die Rolle des EDöB gestärkt werden, indem dieser nun auch mit der Kompetenz ausgestattet ist, Verfügungen nach etwaigen Untersuchungen zu erlassen.
  • Die wichtigsten Neuerungen für Einzelpersonen selbst sind einerseits die ausgeweiteten Informationsrechte, die zu mehr Transparenz in der Datenverarbeitung führen sollen, sowie auch die besseren Kontrollrechte durch die betroffenen Personen selbst.
  • Bei einer automatisierten Datenverarbeitung ist vorgesehen, dass die betroffene Person darüber informiert werden muss, wenn eine automatisierte Einzelentscheidung erfolgt. Dies ist dann der Fall, wenn ohne menschlichen Einfluss eine Datenauswertung vorgenommen wird, um eine Entscheidung zu treffen, welche eine rechtliche Auswirkung auf die betroffene Person hat – beispielsweise betreffend Kreditwürdigkeit. Vor dem Hintergrund der voranschreitenden Digitalisierung und Automatisierung dürfte eine solche Regelung erhebliche Auswirkungen auf derartige Geschäftsmodelle haben.
  • Personen sollen zudem ein gestärktes Auskunftsrecht und das Recht der Löschung der eigenen Daten zugestanden werden –  das sogenannte „Recht auf Vergessen werden“.
  • Das „Recht auf Vergessen werden“ soll jedoch nicht mehr nur für lebende Personen gelten, sondern neu auch für die Daten einer verstorbenen Person. Das Recht auf Privatsphäre einer verstorbenen Person im VE-DSG stellt sogar eine Vorreiterrolle dar, da weder das heutige DSG, noch die Datenschutz-Grundverordnung der EU ein solches enthalten.

Unternehmensinterner Datenschutzbeauftragter

Überraschenderweise fehlt im Vorentwurf die Regelung eines unternehmensinternen Datenschutzbeauftragten. Es ist unklar, weshalb diese keine Erwähnung fand, denn das EU-Recht sieht eine solche Funktion in Unternehmen unter gewissen Umständen ausdrücklich vor. Auch ist keine Erläuterung für das Fehlen zu finden. Das Fehlen einer derartigen Regelung könnte unter Umständen geltende internationale Anforderungen an die Schweiz (z.B. aus dem Schengener Abkommen) verletzen, was wirtschaftliche Nachteile für die Schweiz zur Folge haben könnte.

Strengere Anforderungen für Unternehmen: Was sind ihre nächsten Schritte?

Der Vorentwurf des DSG lässt erkennen, dass sich auch in der Schweiz Unternehmen zukünftig neuen und strengeren Anforderungen bezüglich Datenschutz stellen müssen. Derartige Anforderungen können weite Teile eines Unternehmens, dessen Prozesse, Systeme und Vorgehensweisen betreffen. Der Umsetzungsaufwand könnte sehr hoch ausfallen. Hierbei müssen Unternehmen in einem ersten Schritt zunächst verstehen, welche Arten von Personendaten sie halten und wo diese Daten hinfliessen. Auch der Datenklassifizierung – also der Analyse, der auf diese Daten anwendbaren Normen – kommt dabei eine grosse Bedeutung zu. In einem zweiten Schritt müssen Massnahmen definiert werden, um allfällige Lücken betreffend Datenschutz und damit zusammenhängenden Themen, wie z.B. internationale Datentransfers oder automatisierte Datenverarbeitung, zu füllen.

 

 

Weitere Informationen:

 


2 Comments

  1. Roman Ruprecht

    Ein sehr guter Artikel zum Thema DB Sicherheit. DB Sicherheit ist ein großes Thema weltweit, aber in der Schweiz wird dies seit Jahren verdrängt und das “Risiko” in kauf genommen. Wie lange dies noch so Anhält ist schwer zu sagen.

  2. Marianne Fuerst van der Quast

    Eben zu Beginn dieser Woche stellte ich fest, dass eine schweizer Airline auch nach der Loeschung eines Accounts, was bestaetigt wurde, diese Daten dann trotzdem anonymisiert weiter verwendet, was von diesem Unternehmen im Nachhinein per E-mail mitgeteilt wurde. Es ist also zu vermuten, dass es hier um BigData geht, heisst diese Airline schlaegt mit unrechtmaessigem Verhalten Kapital heraus. Nebst der Verletzung des DSG wird auch das Recht auf persoenliche Daten uebergangen. Das darf nicht sein.

Leave a Reply

Your email address will not be published.