Das totalrevidierte Datenschutzgesetz der Schweiz

schedule
2022-03-14 | 12:42h
update
2024-08-07 | 11:28h
person
www.avelalaw.com
domain
www.avelalaw.com
Das totalrevidierte Datenschutzgesetz der Schweiz
Das total­re­v­i­dierte Daten­schutzge­setz der SchweizDaten­schutz: Eine Über­sicht zum neuen Gesetz 

Gemäss dem Bun­de­samt für Jus­tiz­soll das neue Daten­schutzge­set­zt am 1. Sep­tem­ber 2023 in Kraft treten. Der dafür notwendi­ge Entscheid des Bun­desrats muss allerd­ings noch erfolgen.

Die Änderungen auf einen Blick

  • Das rev­i­dierte Daten­schutzge­setz (revDSG) bringt neue Infor­ma­tions- und Doku­men­ta­tion­spflicht­en. Sobald Per­so­n­en­dat­en erhoben wer­den, müssen die davon betrof­fe­nen Per­so­n­en über fol­gende Punk­te informiert werden:
    1. Iden­tität und Kon­tak­t­dat­en des Datenverarbeiters;
    2. Zweck der Verarbeitung;
    3. alle Empfänger denen Per­so­n­en­dat­en mit­geteilt wer­den bekan­nt gegeben werden.
  • Juris­tis­che Per­so­n­en wer­den durch das Daten­schutzge­setz nicht mehr geschützt.
  • Die Liste der streng ver­traulichen Per­so­n­en­dat­en wird im revDSG erweit­ert und umfasst neu auch (i) genetis­che Dat­en und (ii) bio­metrische Daten.
  • Die automa­tisierte Ver­ar­beitung von Per­so­n­en­dat­en, um bes­timmte Aspek­te ein­er natür­lichen Per­son zu beurteilen (sog. Pro­fil­ing) wird im revDSG aus der europäis­chen Geset­zge­bung (DSG­VO) über­nom­men.
  • Für die Daten­ver­ar­beitung wird in der Regel eine Vere­in­barung erforder­lich sein.
  • Die Daten­ver­ar­beitung muss so gestal­tet sein, dass Daten­schutzvorschriften und Ver­ar­beitungs­grund­sätze zu allen Zeit­en beachtet und einge­hal­ten wer­den kön­nen (Daten­schutz durch Tech­nike­in­stel­lun­gen). Die Stan­dard­e­in­stel­lun­gen müssen so gestal­tet sein, dass die Ver­ar­beitung von Per­so­n­en­dat­en auf das für den Ver­wen­dungszweck benötigte Min­i­mum beschränkt wird.
  • Das revDSG führt eine Meldepflicht bei Daten­ver­lus­ten und son­sti­gen Sicher­heitspan­nen ein. Dies­bezüglich muss ein entsprechen­der Prozess einge­führt werden.
  • Das revDSG ist nicht strenger als die europäis­che Geset­zge­bung (DSG­VO), aber auch nicht iden­tisch. Hier gilt es, die Unter­schiede zu erken­nen und Dif­feren­zen zu prüfen.

Ausgangslage

Es ist vorge­se­hen, dass das neue Daten­schutzrecht auf den 1. Sep­tem­ber 2023 in Kraft geset­zt wird. Der dafür notwendi­ge Bun­desrat­sentscheid ste­ht noch aus. Die neue Geset­zge­bung soll ins­beson­dere den Entwick­lun­gen auf Ebene des Europarates und der Europäis­chen Union Rech­nung tra­gen. Dies bedeutet, dass das rev­i­dierte Daten­schutzge­setz mass­ge­blich von der Daten­schutz-Grund­verord­nung der Europäis­chen Union (DSG­VO) bee­in­flusst wurde. Das revDSG bezweckt den Schutz der Per­sön­lichkeit und der Grun­drechte von natür­lichen Per­so­n­en, die sich in der Schweiz befind­en und deren Dat­en durch Pri­vate oder vom Staat bear­beit­et wer­den. Das unter bish­erigem Recht beste­hende Regelungskonzept wird durch die Revi­sion nicht verän­dert. Weit­er­hin gilt, dass für die Bear­beitung von Per­so­n­en­dat­en wed­er eine Ein­willi­gung noch die Angabe eines Recht­fer­ti­gungs­grund erforder­lich ist. Ein Recht­fer­ti­gungs­grund ist nur dann notwendig, wenn entwed­er die Bear­beitungs­grund­sätze des revDSG nicht einge­hal­ten wer­den, die betrof­fene Per­son der Bear­beitung wider­sprochen hat oder einem Drit­ten beson­ders schützenswerte Per­so­n­en­dat­en mit­geteilt wer­den sollen. Dies ist der wichtig­ste Unter­schied zur DSG­VO, wo Per­so­n­en­dat­en erst dann bear­beit­et wer­den dür­fen, wenn eine angemessene «Rechts­grund­lage» beste­ht. Das revDSG bezweckt die Verbesserung der Trans­parenz der Bear­beitung von Dat­en und stärkt die Kon­trollmöglichkeit­en der betrof­fe­nen Per­so­n­en über ihre Dat­en. Ausser­dem soll das Ver­ant­wor­tungs­be­wusst­sein der für die Bear­beitung ver­ant­wortlichen Per­so­n­en erhöht wer­den, die Bekan­nt­gabe von Dat­en ins Aus­land erle­ichtert und die Entwick­lung neuer Wirtschaft­szweige im Bere­ich der Dig­i­tal­isierung der Gesellschaft gefördert wer­den. Die neuen Infor­ma­tions- und Meldepflicht­en des revDSG verpflicht­en Organ­i­sa­tio­nen inskün­ftig, betrof­fe­nen Indi­viduen über die Bear­beitung ihrer Per­so­n­en­dat­en zu informieren. Das revDSG ken­nt keine wesentlichen Über­gangs­fris­ten. Auf­grund dessen emp­fiehlt es sich, sich bere­its heute mit den neuen Anforderun­gen auseinanderzusetzen. 

Geltungsbereich

Das revDSG ist auf Sachver­halte anwend­bar, die sich auf die Schweiz auswirken. Dem­nach ist die neue Geset­zge­bung auch auf Unternehmen mit Sitz im Aus­land anwend­bar, die Dat­en in der Schweiz bearbeiten. 

Neue und erweiterte Begriffe

(a) Ver­ant­wortlich­er und Auftragsbearbeiter

Das revDSG führt die Begriffe «Ver­ant­wortlich­er» und «Auf­trags­bear­beit­er» ein. Es han­delt sich dabei um die wichtig­sten Rollen, auf welchen das revDSG beruht.

Unter dem Ver­ant­wortlichen ver­ste­ht das revDSG, wer allein oder zusam­men mit anderen «über den Zweck und die Mit­tel der Bear­beitung entschei­det». Im bish­eri­gen Daten­schutzge­setz wurde vom «Inhab­er der Daten­samm­lung» gesprochen. Es han­delt sich damit um diejenige Per­son, welche die daten­schutzrechtlichen Para­me­ter ein­er Daten­bear­beitung festlegt.

Als Auf­trags­bear­beit­er gilt, wer eine Daten­bear­beitung lediglich nach Weisung aus­führt, auch wenn er gewisse Entschei­dun­gen dies­bezüglich selb­st tre­f­fen kann.

(b) Per­so­n­en­dat­en

Der Begriff «Per­so­n­en­dat­en» wird von der DSG­VO über­nom­men. Dabei han­delt es sich gemäss Art. 5 revDSG um «alle Angaben, die sich auf eine bes­timmte oder bes­timm­bare natür­liche Per­son beziehen».

© Kein Schutz mehr von Per­so­n­en­dat­en juris­tis­ch­er Personen

Das revDSG verzichtet auf den Schutz der Dat­en von juris­tis­chen Per­so­n­en, da dieser von nur geringer prak­tis­ch­er Bedeu­tung ist. Damit wird ein zen­traler Unter­schied zum europäis­chen Recht beseit­igt. Das revDSG ist somit nur noch auf die Bear­beitung von Per­so­n­en­dat­en natür­lich­er Per­so­n­en anwend­bar. Damit hat eine juris­tis­che Per­son kein Auskun­ft­srecht mehr. Juris­tis­che Per­so­n­en sind aber nach wie vor durch Art. 28 ZGB geschützt.

Ausser­dem soll damit die Bekan­nt­gabe von Dat­en an Empfänger in aus­ländis­chen Staat­en, deren Geset­zge­bung keinen Schutz von Dat­en juris­tis­ch­er Per­so­n­en vor­sieht, erle­ichtert werden.

(d) Pro­fil­ing

Das bish­erige Recht kan­nte den Begriff des «Per­sön­lichkeit­spro­fils», für welchen diesel­ben Regelun­gen gal­ten, wie für beson­ders schützenswerte Per­so­n­en­dat­en. Neu wird der Begriff des «Pro­fil­ing» einge­führt und die Legalde­f­i­n­i­tion der DSG­VO über­nom­men. Beim Pro­fil­ing han­delt es sich um «jede Art der automa­tisierten Bear­beitung von Per­so­n­en­dat­en, die darin beste­ht, dass diese Dat­en ver­wen­det wer­den, um bes­timmte per­sön­liche Aspek­te, die sich auf eine natür­liche Per­son beziehen, zu bew­erten, ins­beson­dere um Aspek­te bezüglich Arbeit­sleis­tung, wirtschaftlich­er Lage, Gesund­heit, per­sön­lich­er Vor­lieben, Inter­essen, Zuver­läs­sigkeit, Ver­hal­ten, Aufen­thalt­sort oder Ortswech­sel dieser natür­lichen Per­son zu analysieren oder vorherzusagen».[1]

Wichtig ist, dass die Inter­pre­ta­tion automa­tisiert zu erfol­gen hat, d.h. nicht manuell vorgenom­men wird.

[1] vgl. Art. 5 lit. f revDSG.

(e) Pro­fil­ing mit hohem Risiko
Art. 5 lit. g revDSG führt den Begriff des «Pro­fil­ing mit hohem Risiko», ein, welch­er definiert ist als «Pro­fil­ing, das ein hohes Risiko für die Per­sön­lichkeit oder die Grun­drechte der betrof­fe­nen Per­son mit sich bringt, indem es zu ein­er Verknüp­fung von Dat­en führt, die eine Beurteilung wesentlich­er Aspek­te der Per­sön­lichkeit ein­er natür­lichen Per­son erlaubt». Es han­delt sich dabei eigentlich um den aus dem bish­eri­gen DSG stam­menden Begriff des «Per­sön­lichkeit­spro­fils».
(f) Ergänzung der Def­i­n­i­tion beson­ders schützenswerte Personendaten

Die Aufzäh­lung der beson­ders schützenswerten Per­so­n­en­dat­en wird im revDSG mit der expliziten Nen­nung der «genetis­chen Dat­en» und der «bio­metrischen Dat­en» ergänzt. Dabei wer­den unter genetis­chen Dat­en sämtliche Infor­ma­tio­nen über das Erbgut ein­er Per­son ver­standen, die durch eine genetis­che Unter­suchung gewon­nen wer­den kön­nen. Bei bio­metrischen Dat­en han­delt es sich um Dat­en, welche durch ein spez­i­fis­ches tech­nis­ches Ver­fahren zu den physis­chen, phys­i­ol­o­gis­chen oder ver­hal­tenstyp­is­chen Merk­malen eines Indi­vidu­ums gewon­nen wer­den und die eine ein­deutige Iden­ti­fizierung der betr­e­f­fend­en Per­son ermöglichen oder bestäti­gen (bspw. ein Fin­ger­ab­druck, Gesichts­bild mit Iris Scan etc.). Die Auf­nahme dieser zusät­zlichen beson­ders schützenswerten Dat­en im revDSG erfol­gte zwecks Angle­ichung an die DSGVO.

Einwilligung

Das revDSG hat keinen neuen Stan­dard für Ein­willi­gun­gen einge­führt. Entsprechend wird sich materiell nichts ändern. Das revDSG geht damit weniger weit als die DSGVO.

Nach Art. 6 Abs. 7 revDSG muss die Ein­willi­gung aus­drück­lich erfol­gen für:

  1. die Bear­beitung von beson­ders schützenswerten Personendaten;
  2. ein Pro­fil­ing mit hohem Risiko durch eine pri­vate Per­son; oder
  3. ein Pro­fil­ing durch ein Bundesorgan.


Wichtig ist, dass je mehr Risiken eine Daten­ver­ar­beitung für die betrof­fene Per­son birgt, umso höher sind die Anforderun­gen an die Gültigkeit der Einwilligung.

Zweckbindung

Das revDSG führt neu das Konzept der «Vere­in­barkeit» eines Bear­beitungszwecks ein. Art. 6 Abs. 3 revDSG sta­tu­iert, dass Per­so­n­en­dat­en nur für einen bes­timmten Zweck beschafft wer­den dür­fen. Ausser­dem dür­fen sie nur so bear­beit­et wer­den, dass dies mit dem Zweck vere­in­bar ist.

Keine Übernahme des Verbotsprinzips

Grund­sät­zlich erlaubt das revDSG die Bear­beitung von Per­so­n­en­dat­en, sofern sie daten­schutzkon­form, d.h. unter Ein­hal­tung der all­ge­meinen Bear­beitungs­grund­sätze erfol­gt. Als Unter­schied zur DSG­VO gilt damit das Ver­bot­sprinzip nicht, d.h. es muss nicht für jede Bear­beitung ein Recht­fer­ti­gungs­grund (wie bspw. die Ein­willi­gung, Gesetz etc.) vorliegen. 

Pflichten des Datenbearbeiters

(a) Ein­hal­tung der Bearbeitungsgrundsätze
Die in Art. 6 DSG genan­nten Bear­beitungs­grund­sätze wur­den im Rah­men der Revi­sion nur wenig umfor­muliert. Wie erwäh­nt ist auch unter dem revDSG keine Recht­fer­ti­gung für eine Daten­bear­beitung erforder­lich, falls die Bear­beitungs­grund­sätze einge­hal­ten wer­den bzw. soweit keine beson­ders schützenswerten Per­so­n­en­dat­en von Drit­ten offen­bart werden.
(b) Ver­stärk­te Informationspflichten

Die Infor­ma­tion­spflicht wird im revDSG aus­ge­baut. Dies bedeutet, dass Unternehmen eine Daten­schutzerk­lärung haben müssen, auf­grund welch­er sie gewisse Pflicht­in­for­ma­tio­nen über die von ihnen durchge­führten Datenbeschaf­fun­gen den betrof­fe­nen Per­so­n­en zugänglich machen müssen. Dies geschieht nor­maler­weise auf der eige­nen Web­seite mit Links auf entsprechende Infor­ma­tions­broschüren oder mit­tels spez­i­fis­ch­er Verträge.

Gemäss Art. 14 DSG beste­ht eine Infor­ma­tion­spflicht lediglich im Hin­blick auf die Beschaf­fung bzw. Bear­beitung von beson­ders schützenswerten Per­so­n­en­dat­en und Per­sön­lichkeit­spro­filen. Das revDSG sta­tu­iert bei jed­er Beschaf­fung von Per­so­n­en­dat­en eine Infor­ma­tion­spflicht. Somit entste­ht eine Infor­ma­tion­spflicht sowohl bei der direk­ten als auch bei der indi­rek­ten Beschaf­fung von Per­so­n­en­dat­en (d.h. wenn die Dat­en bei Drittper­so­n­en erhoben werden).

Die von ein­er Daten­bear­beitung betrof­fe­nen Per­so­n­en sollen wis­sen, was mit ihren Dat­en geschieht. Das revDSG führt eine zweistu­fige Infor­ma­tion­spflicht ein.

Proak­tive Informationspflicht

Die für die Daten­ver­ar­beitung ver­ant­wortlichen Per­so­n­en haben von sich aus, m.a.W. proak­tiv über eine Daten­ver­ar­beitung zu informieren.

Nach gel­ten­dem Recht bestand diese Pflicht lediglich bei der Beschaf­fung von beson­deres schützenswerten Per­so­n­en­dat­en und Per­sön­lichkeit­spro­filen. Neu wird diese Pflicht generell – mit eini­gen weni­gen Aus­nah­men — für die Beschaf­fung von Per­so­n­en­dat­en einge­führt. Dieser Pflicht wird nor­maler­weise mit­tels ein­er Daten­schutzerk­lärung («Pri­va­cy State­ment») nachgekom­men. Damit wird die Infor­ma­tion für sämtliche Daten­ver­ar­beitun­gen der ver­ant­wortlichen Per­son in einem einzi­gen Doku­ment erteilt. Gemäss Entwurf der Verord­nung des revDSG (VrevDSG) ist die Daten­schutzerk­lärung in «präzis­er, ver­ständlich­er und leicht zugänglich­er» Form zu erlassen.[1] In der Daten­schutzerk­lärung sind ins­beson­dere diejeni­gen Infor­ma­tio­nen bekan­nt zu geben, die erforder­lich sind, damit die betrof­fene Per­son ihre Rechte nach dem Daten­schutzge­setz gel­tend machen kann und wom­it eine trans­par­ente Daten­bear­beitung gewährleis­tet ist. Fol­gende Infor­ma­tio­nen sind min­destens mitzuteilen:

  1. Die Iden­tität und die Kon­tak­t­dat­en der ver­ant­wortlichen Person;
  2. der Bear­beitungszweck;
  3. gegebe­nen­falls die Empfänger der Dat­en sowie
  4. ob die Dat­en ins Aus­land bekan­nt gegeben wer­den und welche Sicher­heit­en getrof­fen wer­den, falls das Ziel­land nicht über einen angemesse­nen Daten­schutz verfügt.

Im Gegen­satz zur europäis­chen Geset­zge­bung verzichtet das revDSG auf die Angabe eines Recht­fer­ti­gungs­grun­des, d.h. gemäss revDSG bedarf es kein­er­lei Recht­fer­ti­gung, um Per­so­n­en­dat­en zu bear­beit­en, es sei denn, die Bear­beitung ver­let­zt die Per­sön­lichkeit der betrof­fe­nen Per­son.[2] Das revDSG sta­tu­iert, dass die Per­sön­lichkeit der betrof­fe­nen Per­son dann ver­let­zt ist, wenn die Daten­bear­beitung nicht an die daten­schutzrechtlichen Grund­sätze hält. Als beson­deres wichtige daten­schutzrechtliche Grund­sätze gel­ten dabei bspw. die Erkennbarkeit des Zwecks im Moment der Datenbeschaf­fung und der Zweck­bindung der zukün­fti­gen Bear­beitung. Dies bedeutet, dass Per­so­n­en­dat­en auss­chliesslich im Ein­klang mit dem bei der Datenbeschaf­fung angegebe­nen Zweck bear­beit­et wer­den dürfen.

Infor­ma­tio­nen auf Anfrage

Auf ein Auskun­fts­begehren sind ein­er betrof­fe­nen Per­son gemäss Art. 25 Abs. 2 revDSG diejeni­gen Infor­ma­tio­nen zu liefern, «die erforder­lich sind, damit sie ihre Rechte nach diesem Gesetz gel­tend machen kann und eine trans­par­ente Daten­bear­beitung gewährleis­tet ist.»

[1] vgl. Art. 13 E‑VrevDSG.

[2] Art. 30 f. revDSG.

Rechte der betroffenen Personen

(a) Aus­ge­bautes Auskunftsrecht

Das Auskun­ft­srecht im revDSG ergänzt die Infor­ma­tion­spflicht. Das Auskun­ft­srecht führt dazu, dass die betrof­fene Per­son zusät­zliche Infor­ma­tio­nen zu den­jeni­gen, die im Rah­men der Daten­schutzerk­lärung offen­gelegt wer­den, erhält. Auf ein Auskun­fts­begehren sind ein­er betrof­fe­nen Per­son gemäss Art. 25 Abs. 2 revDSG diejeni­gen Infor­ma­tio­nen zu liefern, «die erforder­lich sind, damit sie ihre Rechte nach diesem Gesetz gel­tend machen kann und eine trans­par­ente Daten­bear­beitung gewährleis­tet ist.» Damit kann jede natür­liche Per­son ver­lan­gen, dass ihr der Ver­ant­wortliche offen­legt, ob er Per­so­n­en­dat­en von ihr bear­beit­et und wenn ja, welche. Auf Ver­lan­gen der natür­lichen Per­son sind fol­gende Infor­ma­tio­nen offenzulegen:

  • Die Iden­tität und Kon­tak­t­dat­en des Verantwortlichen;
  • die bear­bei­t­en­den Per­so­n­en­dat­en als solche;
  • der Bear­beitungszweck;
  • die Auf­be­wahrungs­dauer der Per­so­n­en­dat­en oder, falls dies nicht möglich ist, die Kri­te­rien zur Fes­tle­gung dieser Dauer;
  • die ver­füg­baren Angaben über die Herkun­ft der Per­so­n­en­dat­en, soweit sie nicht bei der betrof­fe­nen Per­son beschafft werden;
  • gegebe­nen­falls das Vor­liegen eines rein automa­tisierten Entschei­dung­sprozess­es, sofern dieser eine erhe­blich beein­trächti­gende Rechts­folge nach sich zieht (Einze­lentschei­dung), sowie die Logik, auf der diese Einze­lentschei­dung beruht und die Möglichkeit­en zu deren Überprüfung;
  • gegebe­nen­falls der Empfänger oder die Kat­e­gorien von Empfängern, denen Per­so­n­en­dat­en bekan­nt­gegeben wer­den, sowie die Infor­ma­tio­nen nach Art. 19 Abs. 4 revDSG.

Die Auskun­fts­begehren kann abgelehnt, zumin­d­est eingeschränkt oder aufgeschoben wer­den, wenn das Gesuch der natür­lichen Per­son «offen­sichtlich» unbe­grün­det oder queru­la­torisch ist.[1] Offen­sichtlich unbe­grün­det sind Auskun­fts­begehren dann, wenn sie nicht der Gel­tend­machung von Daten­schutzrecht­en oder der daten­schutzrechtlich motivierten Schaf­fung von Trans­parenz dienen.

[1] Art. 26 Abs. 1 lit. c revDSG

(b) Neues Recht auf Datenportabilität
Das revDSG führt ein Recht der Daten­her­aus­gabe und ‑über­tra­gung ein, welch­es der Regelung der DSG­VO nachge­bildet ist. Die neue Regel greift dort, wo ein Ver­ant­wortlich­er ein­er Daten­bear­beitung zum Abschluss oder zur Abwick­lung eines Ver­trags mit der betrof­fe­nen Per­son, oder gestützt auf eine Ein­willi­gung von ihr, Dat­en automa­tisiert bear­beit­et. Die in diesem Zusam­men­hang von der betrof­fe­nen Per­son erhal­te­nen Per­so­n­en­dat­en, hat der Ver­ant­wortliche jed­erzeit auf Ver­lan­gen hin kosten­los herauszugeben.

Massnahmen zur Sicherstellung des Datenschutzes

(a) Pri­va­cy by Design

Art. 7 revDSG führt die Prinzipen (i) «Pri­va­cy by Design» (Daten­schutz durch Tech­nik) und (ii) «Pri­va­cy by Default» (Daten­schutz durch daten­schutzfre­undliche Vor­e­in­stel­lun­gen) ein, welche heute bere­its als «best prac­tice» gelten.

Der Ver­ant­wortliche ist verpflichtet, die Daten­bear­beitung tech­nisch und organ­isatorisch so auszugestal­ten, dass die Daten­schutzvorschriften einge­hal­ten wer­den kön­nen.[1] Dies bedeutet, dass Per­so­n­en­dat­en durch Tech­nik stan­dard­mäs­sig pseu­do­nymisiert oder anonymisiert wer­den, sobald sie zum Zweck der Bear­beitung nicht mehr erforder­lich sind oder dass sie regelmäs­sig gelöscht wer­den. Eben­falls gilt, dass nur solche Per­so­n­en­dat­en erhoben wer­den, welche zwin­gend für den Ver­wen­dungszweck benötigt wer­den und weit­ere Per­so­n­en­dat­en nur, wenn dies aktiv angewählt und damit autorisiert wird.

[1] Art. 7 revDSG

(b) Pri­va­cy by Default
Die Pflicht zur «Pri­va­cy by Default» wird durch das revDSG neu einge­führt. Sind in einem Ser­vice, in ein­er Soft­ware oder in einem Gerät mehrere Möglichkeit­en vorge­se­hen, wie Per­so­n­en­dat­en bear­beit­et wer­den kön­nen und kann der Benutzer diese Möglichkeit­en über eine entsprechende Ein­stel­lung selb­st anpassen, muss die Stan­dard­e­in­stel­lung, die am wenig­sten weit­ge­hende Ein­stel­lung aufzeigen. 

Datenexporte

Die Grund­sätze für Daten­ex­porte bleiben im revDSG unverän­dert. Dies bedeutet, dass Daten­ex­porte in Län­der mit angemesse­nen Daten­schutzge­set­zen weit­er­hin zuläs­sig sind. Daten­ex­porte in einen Drittstaat bedür­fen entwed­er der Recht­fer­ti­gung (z.B. Ein­willi­gung, Ver­tragser­fül­lung, über­wiegende öffentliche Inter­essen, Durch­set­zung von Recht­sansprüchen) oder ander­er Mass­nah­men zur Gewährleis­tung eines angemesse­nen Datenschutzniveaus.

Das revDSG bringt allerd­ings eine bedeu­tende Neuerung mit sich:

  • Der Bun­desrat ist ermächtigt, nach dem Vor­bild der EU verbindliche Angemessen­heit­sentschei­de über das Daten­schutzniveau ander­er Staat­en zu erlassen. Die bish­erige Liste des Eid­genös­sis­chen Daten­schutz- und Öffentlichkeits­beauf­tragten (EDÖB) von Staat­en, die über einen angemesse­nen Daten­schutz ver­fü­gen, entfällt;
  • Die Noti­fika­tion­spflicht bei der Ver­wen­dung von Stan­dard­klauseln entfällt;
  • Das revDSG erlaubt Daten­ex­porte in Drittstaat­en zur Durch­set­zung von Ansprüchen bei aus­ländis­chen Behör­den (und nicht wie bish­er nur bei aus­ländis­chen Gerichten);
  • Die betrof­fene Per­son müssen darüber informiert wer­den, wohin ihre Dat­en exportiert wer­den und bei Exporten in Län­der ohne angemessenes Schutzniveau auf welchen Recht­fer­ti­gungstatbe­stand sich der Ver­ant­wortliche stützt bzw. welche Schutz­mass­nah­men er getrof­fen hat.

Handlungsbedarf für Unternehmen

Im Hin­blick auf die Ein­führung des revDSG sind Unternehmen gefordert, fol­gende Mass­nah­men zu ergreifen:

Über­prü­fung der Organ­i­sa­tion: Unternehmen soll­ten einen Daten­schutzbeauf­tragten ernen­nen. Es ist wichtig, die interne Zuständigkeit für den Daten­schutz zu regeln.

Aktu­al­isierung der Doku­men­ta­tion: Es gilt die Daten­schutzerk­lärun­gen auf die neuen Vor­gaben hin zu über­prüfen, anzu­passen und gegebe­nen­falls neu zu erstellen, falls solche noch nicht vorhan­den sind. Daten­schutzerk­lärun­gen müssen so aus­gestal­tet sein, dass Mitar­beit­er, Geschäftspart­ner und die Öffentlichkeit über die Daten­ver­ar­beitung informiert wer­den. Dies ist ein zen­traler Aspekt der Datenschutz-Compliance.

Etwas aufwendi­ger ist die interne Prü­fung, ob alle Fälle abgedeckt sind, über die das Unternehmen Per­so­n­en­dat­en beschafft. Nur mit diesen Angaben kann dann jedoch auch das neu vorgeschriebene Verze­ich­nis der Daten­bear­beitun­gen erstellt werden.

Imple­men­tierung geeigneter Prozesse: Unternehmen müssen einen Prozess ein­führen zur Erfas­sung, Mel­dung und Bear­beitung von Ver­let­zun­gen der Daten­sicher­heit, wozu auch unbe­ab­sichtigte Daten­ver­luste und Fehlversendun­gen von Per­so­n­en­dat­en zählen,. Dabei gilt es zu beacht­en, dass min­desten eine Per­son im Unternehmen weiss, was in der konkreten Sit­u­a­tion zu tun ist oder wie sie her­aus­find­et, was zu tun ist bei Ein­tritt ein­er solchen Verletzung.

Über­prü­fung von Mass­nah­men zur Daten­sicher­heit: Unternehmen müssen dafür sor­gen, dass Per­so­n­en­dat­en angemesse­nen geschützt sind. Die getrof­fe­nen organ­isatorischen und tech­nis­chen Mass­nah­men sind regelmäs­sig zu über­prüfen und gegebe­nen­falls zu aktualisieren.

AvelaLaw AG: L‑QIF Experten der ersten Stunde

AVE­LALAW AG ZÜRICH ist eine auf das Finanz­mark­trecht (mit beson­derem Schw­er­punkt auf das Asset Man­age­ment sowie Schweiz­er und aus­ländis­che kollek­tive Kap­i­ta­lan­la­gen) spezial­isierte Beratungs­fir­ma mit Sitz in Zürich. AVE­LALAW deckt das gesamte Spek­trum der Rechts­ber­atung, der Com­pli­ance und des Risiko­man­age­ments für ihre Klien­ten ab. Zu den Klien­ten von AVE­LALAW zählen Ver­mö­gensver­wal­ter, Fonds­man­ag­er, Fond­sleitun­gen, Anlage­ber­ater, Banken, Ver­sicherun­gen und son­stige Finanz­di­en­stleis­ter aus dem In- und Aus­land. Wir berat­en Sie gerne in deutsch­er, englis­ch­er, spanis­ch­er und ital­ienis­ch­er Sprache.

 

Der Inhalt dieses Doku­ments stellt keine Rechts- oder Steuer­auskun­ft dar und darf nicht als solche ver­wen­det wer­den. Soll­ten Sie einen auf ihre Umstände bezo­gene Beratung wün­schen, wen­den Sie sich bitte an eine der oben aufge­führten Per­so­n­en bei AVE­LALAW AG.

 

Wir freuen uns auf Ihre Kontaktaufnahme!

Your Contact
Imprint
Responsible for the content:
www.avelalaw.com
Privacy & Terms of Use:
www.avelalaw.com
Mobile website via:
WordPress AMP Plugin
Last AMPHTML update:
28.11.2024 - 02:46:37
Privacy-Data & cookie usage: