Das neue Datenschutzgesetz (DSG) der Schweiz

Nur noch natürliche Personen unterstehen dem Schutz des neuen DSG. Dies steht im Einklang mit den Bestimmungen der DSGVO und den meisten nationalen Datenschutzgesetzen der EU-Mitgliedstaaten.

Private Unternehmen können einen externen oder internen Datenschutzberater ernennen. Zu den Aufgaben gehören die allgemeine Beratung und Schulung des Unternehmens in Fragen des Datenschutzes sowie die Mitwirkung beim Erlass und der Anwendung von Datenschutzvorschriften.

Datenschutzberater sind vom Verantwortlichen fachlich unabhängig und weisungsungebunden. Sie fungieren als innerbetriebliche Anlaufstelle und erste Ansprechperson für den EDÖB.

Bundesorgane sind gesetzlich dazu verpflichtet, einen Datenschutzberater zu bestellen.

Die Informationspflicht ist nun auf die Bearbeitung jeglicher Personendaten ausgedehnt worden. Bisher bestand die Pflicht nur bei der Bearbeitung besonders schützenswerter Daten und der Erstellung von Persönlichkeitsprofilen.

Der Verantwortliche muss den Betroffenen grundsätzlich darüber informieren, wenn eine Entscheidung ausschliesslich auf einer automatisierten Bearbeitung beruht und diese Entscheidung rechtliche Auswirkungen für den Betroffenen hat. Zudem kann der Betroffene verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.

Eine Einwilligung für die Bearbeitung von Personendaten ist beim Profiling nach wie vor grundsätzlich nicht erforderlich. Allerdings führt das neue DSG den Begriff „Profiling mit hohem Risiko“ ein. Damit ist diejenige Art von Profiling gemeint, bei dem es zu einer Verknüpfung von Daten kommt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Bei dieser Art von Profiling muss eine ausdrückliche Einwilligung des Betroffenen eingeholt werden.

Das Recht einer betroffenen Person über die Bearbeitung Ihrer Personendaten Auskunft zu erhalten, wird im neuen DSG ausgeweitet. Die Liste an Mindestinformationen, die vom Verantwortlichen herausgegeben werden müssen, wurde erweitert und enthält beispielsweise die Aufbewahrungsdauer der bearbeiteten Personendaten.

Konkret sind einer betroffenen Person grundsätzlich alle Informationen zur Verfügung zu stellen, welche erforderlich sind, damit sie die ihr nach dem neuen DSG zustehenden Rechte geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.

Mit dem Recht auf Datenübertragbarkeit erhalten Betroffene zudem ein neues Recht und können kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.

Das neue DSG verlangt von Verantwortlichen und Auftragsbearbeitern ein Verzeichnis der Bearbeitungstätigkeiten zu führen, welches jede Datenbearbeitung dokumentiert. Die bisherige Meldepflicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) entfällt jedoch (bislang musste der Inhaber von Datensammlungen seine Sammlungen grundsätzlich beim EDÖB anmelden). Das neue DSG enthält eine Auflistung der Informationen, die dieses Verzeichnis enthalten muss.

Tipp: Nutzen Sie unsere kostenlosen Vorlagen für ein Verzeichnis der Bearbeitungstätigkeiten für Verantwortliche und Auftragsbearbeiter.

Das neue DSG ersetzt den Begriff „Dritter“ mit „Auftragsbearbeiter“, welches der Funktion des Auftragsverarbeiters in der DSGVO entspricht. Es ist weiterhin möglich, die Bearbeitung von Personendaten an einen Auftragsbearbeiter auszulagern, sofern die Daten so verarbeitet werden, wie der Verantwortliche es selbst tun dürfte, und der Bearbeitung keine gesetzliche oder vertragliche Geheimhaltungspflicht der Übertragung entgegensteht.

Ein Vertrag zur Auftragsbearbeitung ist notwendig, sobald eine bestimme Datenbearbeitung durch einen Auftragsbearbeiter durchgeführt wird und es keine gesetzliche Grundlage für die Auftragsbearbeitung gibt.

Neu ist, dass der Auftragsbearbeiter sich die Zustimmung des Verantwortlichen einholen muss, bevor er einen Unterauftragsbearbeiter einsetzt.

Tipp: Lesen Sie unsere umfassende Anleitung zur Auftragsbearbeitung!

In Anlehnung an die DSGVO muss der Verantwortliche vor der Bearbeitung von Personendaten eine DSFA erstellen, sofern die Verarbeitung voraussichtlich zu einem hohen Risiko für die betroffene Person führt. Mit der Datenschutz-Folgenabschätzung sollen Unternehmen die Risiken und Folgen evaluieren, die für Betroffene (z. B. Mitarbeiter) aus Datenbearbeitungen folgen können.

Wird eine DSFA nicht oder nur unzureichend durchgeführt, drohen dem Unternehmen ein Bussgeld und / oder ein Verbot der Datenbearbeitung.

Die Konzepte Privacy by Design und Privacy by Default sind im neuen DSG verankert. Demnach hat der Verantwortliche seine Datenbearbeitung so zu gestalten,

• dass die Datenschutzvorschriften und die Grundsätze der Datenbearbeitung eingehalten werden und
• dass mittels geeigneter technischer Voreinstellung die Bearbeitung von Personendaten auf ein Minimum reduziert wird.

Unter dem neuen DSG stehen Verantwortliche und Auftragsbearbeiter in der Pflicht, durch geeignete technische und organisatorische Massnahmen (TOM) eine dem Risiko angemessene Datensicherheit zu gewährleisten. Der Risikobegriff wird im DSG neu eingeführt und bildet den Massstab für die Wahl der technischen und organisatorischen Massnahmen für die Sicherheit der Bearbeitung.

Laut dem neuen DSG müssen Datenpannen zukünftig gemeldet werden. Demnach müssen in der Schweiz diejenigen Vorfälle dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden, die ein hohes Risiko für den Betroffenen darstellen. Massgebend ist dabei unter anderem das Ausmass der Gefährdung der betroffenen Person.

Eine Frist für die Meldung gibt es nicht, jedoch muss ein meldepflichtiger Vorfall ab Kenntnisnahme „so rasch wie möglich“ gemeldet werden. Ein Auftragsbearbeiter unterliegt zwar nicht der Meldepflicht, muss aber so schnell wie möglich den Verantwortlichen über den Vorfall in Kenntnis setzen.

Verantwortliche, die nicht in der Schweiz ansässig sind, aber Personendaten von Betroffenen bearbeiten, die sich in der Schweiz aufhalten, müssen einen Vertreter in der Schweiz benennen, wenn eine der drei Situationen zutrifft:

• Die Bearbeitung steht im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Schweiz oder mit der Überwachung des Verhaltens von Menschen in der Schweiz.
• Die Bearbeitung von Personendaten ist umfangreich und findet regelmässig statt.
• Die Bearbeitung führt wahrscheinlich zu einem hohen Risiko für die Privatsphäre der betroffenen Person.

Die neuen Pflichten sind vergleichbar mit der Pflicht zur Benennung eines EU-Vertreters gemäss DSGVO und dient ebenfalls als Anlaufstelle für Betroffene und die Schweizer Aufsichtsbehörden. Der Verantwortliche muss den Namen und die Adresse des Vertreters veröffentlichen.

Der EDÖB, die oberste Schweizer Datenschutzbehörde, hat unter dem neuen DSG erweiterte Aufgaben und Kompetenzen. Er kann demnach nicht nur Massnahmen empfehlen, sondern verfügt unter auch über Verwaltungsmassnahmen, z.B. Anordnung einer Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland.

Im Unterschied zu Datenschutzbehörden in der EU kann der EDÖB jedoch keine Bussgelder verhängen.

Die Strafbestimmungen wurden immens verstärkt, wenngleich sie mit den unter der DSGVO möglichen Bussgeldern kaum vergleichbar sind. Die Zuständigkeit liegt dabei bei den kantonalen Staatsanwaltschaften. Private Personen stehen im Fokus.

Demnach können natürliche Personen mit Geldbussen bis zu 250.000 Franken bestraft werden, wenn sie gegen die Informations- oder Auskunftspflichten verstossen oder ihre Sorgfaltspflichten verletzen, z.B. Daten ins Ausland übermitteln, ohne die gesetzlichen Anforderungen zu erfüllen. Auch Personen, die dem EDÖB vorsätzlich im Rahmen einer Untersuchung die Mitwirkung verweigern, machen sich strafbar.

Werden Verfügungen des EDÖB oder einer Rechtsmittelinstanz nicht befolgt, drohen Geldbussen bis zu 250.000 Franken.

Verstösse gegen zentrale, neu im Gesetz verankerte Pflichten, wie beispielsweise das Führen eines Bearbeitungsverzeichnisses oder die Meldung von Datenschutzverstössen, werden jedoch nicht im Bussgeldkatalog gelistet.