Gemäss dem Bundesamt für Justizsoll das neue Datenschutzgesetzt am 1. September 2023 in Kraft treten. Der dafür notwendige Entscheid des Bundesrats muss allerdings noch erfolgen.
(a) Verantwortlicher und Auftragsbearbeiter
Das revDSG führt die Begriffe «Verantwortlicher» und «Auftragsbearbeiter» ein. Es handelt sich dabei um die wichtigsten Rollen, auf welchen das revDSG beruht.
Unter dem Verantwortlichen versteht das revDSG, wer allein oder zusammen mit anderen «über den Zweck und die Mittel der Bearbeitung entscheidet». Im bisherigen Datenschutzgesetz wurde vom «Inhaber der Datensammlung» gesprochen. Es handelt sich damit um diejenige Person, welche die datenschutzrechtlichen Parameter einer Datenbearbeitung festlegt.
Als Auftragsbearbeiter gilt, wer eine Datenbearbeitung lediglich nach Weisung ausführt, auch wenn er gewisse Entscheidungen diesbezüglich selbst treffen kann.
(b) Personendaten
Der Begriff «Personendaten» wird von der DSGVO übernommen. Dabei handelt es sich gemäss Art. 5 revDSG um «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen».
© Kein Schutz mehr von Personendaten juristischer Personen
Das revDSG verzichtet auf den Schutz der Daten von juristischen Personen, da dieser von nur geringer praktischer Bedeutung ist. Damit wird ein zentraler Unterschied zum europäischen Recht beseitigt. Das revDSG ist somit nur noch auf die Bearbeitung von Personendaten natürlicher Personen anwendbar. Damit hat eine juristische Person kein Auskunftsrecht mehr. Juristische Personen sind aber nach wie vor durch Art. 28 ZGB geschützt.
Ausserdem soll damit die Bekanntgabe von Daten an Empfänger in ausländischen Staaten, deren Gesetzgebung keinen Schutz von Daten juristischer Personen vorsieht, erleichtert werden.
(d) Profiling
Das bisherige Recht kannte den Begriff des «Persönlichkeitsprofils», für welchen dieselben Regelungen galten, wie für besonders schützenswerte Personendaten. Neu wird der Begriff des «Profiling» eingeführt und die Legaldefinition der DSGVO übernommen. Beim Profiling handelt es sich um «jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen».[1]
Wichtig ist, dass die Interpretation automatisiert zu erfolgen hat, d.h. nicht manuell vorgenommen wird.
[1] vgl. Art. 5 lit. f revDSG.
Die Aufzählung der besonders schützenswerten Personendaten wird im revDSG mit der expliziten Nennung der «genetischen Daten» und der «biometrischen Daten» ergänzt. Dabei werden unter genetischen Daten sämtliche Informationen über das Erbgut einer Person verstanden, die durch eine genetische Untersuchung gewonnen werden können. Bei biometrischen Daten handelt es sich um Daten, welche durch ein spezifisches technisches Verfahren zu den physischen, physiologischen oder verhaltenstypischen Merkmalen eines Individuums gewonnen werden und die eine eindeutige Identifizierung der betreffenden Person ermöglichen oder bestätigen (bspw. ein Fingerabdruck, Gesichtsbild mit Iris Scan etc.). Die Aufnahme dieser zusätzlichen besonders schützenswerten Daten im revDSG erfolgte zwecks Angleichung an die DSGVO.
Das revDSG hat keinen neuen Standard für Einwilligungen eingeführt. Entsprechend wird sich materiell nichts ändern. Das revDSG geht damit weniger weit als die DSGVO.
Nach Art. 6 Abs. 7 revDSG muss die Einwilligung ausdrücklich erfolgen für:
Wichtig ist, dass je mehr Risiken eine Datenverarbeitung für die betroffene Person birgt, umso höher sind die Anforderungen an die Gültigkeit der Einwilligung.
Die Informationspflicht wird im revDSG ausgebaut. Dies bedeutet, dass Unternehmen eine Datenschutzerklärung haben müssen, aufgrund welcher sie gewisse Pflichtinformationen über die von ihnen durchgeführten Datenbeschaffungen den betroffenen Personen zugänglich machen müssen. Dies geschieht normalerweise auf der eigenen Webseite mit Links auf entsprechende Informationsbroschüren oder mittels spezifischer Verträge.
Gemäss Art. 14 DSG besteht eine Informationspflicht lediglich im Hinblick auf die Beschaffung bzw. Bearbeitung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen. Das revDSG statuiert bei jeder Beschaffung von Personendaten eine Informationspflicht. Somit entsteht eine Informationspflicht sowohl bei der direkten als auch bei der indirekten Beschaffung von Personendaten (d.h. wenn die Daten bei Drittpersonen erhoben werden).
Die von einer Datenbearbeitung betroffenen Personen sollen wissen, was mit ihren Daten geschieht. Das revDSG führt eine zweistufige Informationspflicht ein.
Proaktive Informationspflicht
Die für die Datenverarbeitung verantwortlichen Personen haben von sich aus, m.a.W. proaktiv über eine Datenverarbeitung zu informieren.
Nach geltendem Recht bestand diese Pflicht lediglich bei der Beschaffung von besonderes schützenswerten Personendaten und Persönlichkeitsprofilen. Neu wird diese Pflicht generell – mit einigen wenigen Ausnahmen — für die Beschaffung von Personendaten eingeführt. Dieser Pflicht wird normalerweise mittels einer Datenschutzerklärung («Privacy Statement») nachgekommen. Damit wird die Information für sämtliche Datenverarbeitungen der verantwortlichen Person in einem einzigen Dokument erteilt. Gemäss Entwurf der Verordnung des revDSG (VrevDSG) ist die Datenschutzerklärung in «präziser, verständlicher und leicht zugänglicher» Form zu erlassen.[1] In der Datenschutzerklärung sind insbesondere diejenigen Informationen bekannt zu geben, die erforderlich sind, damit die betroffene Person ihre Rechte nach dem Datenschutzgesetz geltend machen kann und womit eine transparente Datenbearbeitung gewährleistet ist. Folgende Informationen sind mindestens mitzuteilen:
Im Gegensatz zur europäischen Gesetzgebung verzichtet das revDSG auf die Angabe eines Rechtfertigungsgrundes, d.h. gemäss revDSG bedarf es keinerlei Rechtfertigung, um Personendaten zu bearbeiten, es sei denn, die Bearbeitung verletzt die Persönlichkeit der betroffenen Person.[2] Das revDSG statuiert, dass die Persönlichkeit der betroffenen Person dann verletzt ist, wenn die Datenbearbeitung nicht an die datenschutzrechtlichen Grundsätze hält. Als besonderes wichtige datenschutzrechtliche Grundsätze gelten dabei bspw. die Erkennbarkeit des Zwecks im Moment der Datenbeschaffung und der Zweckbindung der zukünftigen Bearbeitung. Dies bedeutet, dass Personendaten ausschliesslich im Einklang mit dem bei der Datenbeschaffung angegebenen Zweck bearbeitet werden dürfen.
Informationen auf Anfrage
Auf ein Auskunftsbegehren sind einer betroffenen Person gemäss Art. 25 Abs. 2 revDSG diejenigen Informationen zu liefern, «die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.»
[1] vgl. Art. 13 E‑VrevDSG.
[2] Art. 30 f. revDSG.
Das Auskunftsrecht im revDSG ergänzt die Informationspflicht. Das Auskunftsrecht führt dazu, dass die betroffene Person zusätzliche Informationen zu denjenigen, die im Rahmen der Datenschutzerklärung offengelegt werden, erhält. Auf ein Auskunftsbegehren sind einer betroffenen Person gemäss Art. 25 Abs. 2 revDSG diejenigen Informationen zu liefern, «die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.» Damit kann jede natürliche Person verlangen, dass ihr der Verantwortliche offenlegt, ob er Personendaten von ihr bearbeitet und wenn ja, welche. Auf Verlangen der natürlichen Person sind folgende Informationen offenzulegen:
Die Auskunftsbegehren kann abgelehnt, zumindest eingeschränkt oder aufgeschoben werden, wenn das Gesuch der natürlichen Person «offensichtlich» unbegründet oder querulatorisch ist.[1] Offensichtlich unbegründet sind Auskunftsbegehren dann, wenn sie nicht der Geltendmachung von Datenschutzrechten oder der datenschutzrechtlich motivierten Schaffung von Transparenz dienen.
[1] Art. 26 Abs. 1 lit. c revDSG
Art. 7 revDSG führt die Prinzipen (i) «Privacy by Design» (Datenschutz durch Technik) und (ii) «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) ein, welche heute bereits als «best practice» gelten.
Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden können.[1] Dies bedeutet, dass Personendaten durch Technik standardmässig pseudonymisiert oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind oder dass sie regelmässig gelöscht werden. Ebenfalls gilt, dass nur solche Personendaten erhoben werden, welche zwingend für den Verwendungszweck benötigt werden und weitere Personendaten nur, wenn dies aktiv angewählt und damit autorisiert wird.
[1] Art. 7 revDSG
Die Grundsätze für Datenexporte bleiben im revDSG unverändert. Dies bedeutet, dass Datenexporte in Länder mit angemessenen Datenschutzgesetzen weiterhin zulässig sind. Datenexporte in einen Drittstaat bedürfen entweder der Rechtfertigung (z.B. Einwilligung, Vertragserfüllung, überwiegende öffentliche Interessen, Durchsetzung von Rechtsansprüchen) oder anderer Massnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus.
Das revDSG bringt allerdings eine bedeutende Neuerung mit sich:
Im Hinblick auf die Einführung des revDSG sind Unternehmen gefordert, folgende Massnahmen zu ergreifen:
Überprüfung der Organisation: Unternehmen sollten einen Datenschutzbeauftragten ernennen. Es ist wichtig, die interne Zuständigkeit für den Datenschutz zu regeln.
Aktualisierung der Dokumentation: Es gilt die Datenschutzerklärungen auf die neuen Vorgaben hin zu überprüfen, anzupassen und gegebenenfalls neu zu erstellen, falls solche noch nicht vorhanden sind. Datenschutzerklärungen müssen so ausgestaltet sein, dass Mitarbeiter, Geschäftspartner und die Öffentlichkeit über die Datenverarbeitung informiert werden. Dies ist ein zentraler Aspekt der Datenschutz-Compliance.
Etwas aufwendiger ist die interne Prüfung, ob alle Fälle abgedeckt sind, über die das Unternehmen Personendaten beschafft. Nur mit diesen Angaben kann dann jedoch auch das neu vorgeschriebene Verzeichnis der Datenbearbeitungen erstellt werden.
Implementierung geeigneter Prozesse: Unternehmen müssen einen Prozess einführen zur Erfassung, Meldung und Bearbeitung von Verletzungen der Datensicherheit, wozu auch unbeabsichtigte Datenverluste und Fehlversendungen von Personendaten zählen,. Dabei gilt es zu beachten, dass mindesten eine Person im Unternehmen weiss, was in der konkreten Situation zu tun ist oder wie sie herausfindet, was zu tun ist bei Eintritt einer solchen Verletzung.
Überprüfung von Massnahmen zur Datensicherheit: Unternehmen müssen dafür sorgen, dass Personendaten angemessenen geschützt sind. Die getroffenen organisatorischen und technischen Massnahmen sind regelmässig zu überprüfen und gegebenenfalls zu aktualisieren.
Der Inhalt dieses Dokuments stellt keine Rechts- oder Steuerauskunft dar und darf nicht als solche verwendet werden. Sollten Sie einen auf ihre Umstände bezogene Beratung wünschen, wenden Sie sich bitte an eine der oben aufgeführten Personen bei AVELALAW AG.
Wir freuen uns auf Ihre Kontaktaufnahme!