Im Herbst 2020 hat das Eidgenössische Parlament das langerwartete totalrevidierte Bundesgesetz über den Datenschutz endlich verabschiedet. Die Arbeiten der Bundesverwaltung konzentrieren sich in diesem Jahr nun auf die Erstellung der dazugehörenden Verordnungen, so dass voraussichtlich im zweiten Halbjahr 2022 das neue Gesetz in Kraft gesetzt werden kann. Dieses wird ab dann für die Privatwirtschaft und die Bundesverwaltung bindend, womit die Bearbeitung von personenbezogene Daten den neuen Vorschriften angepasst werden muss. Wir beginnen die mehrteilige Blogserie mit den wichtigsten Neuerungen und Einschätzungen des revidierten Datenschutzgesetzes.
Dass das bestehende Datenschutzgesetz (DSG), datiert auf 1992, nicht zeitgemäss ist, ist kein Geheimnis. Es ist also nicht verwunderlich, dass es den veränderten (und auch gestiegenen) Anforderungen in Bereichen wie Social Media, Cloud Computing oder Internet of Things (IoT) nicht Rechnung trägt. Das neue Gesetz soll nicht nur diese Bereiche abdecken, sondern auch die Rechte der Betroffenen deutlich stärken. Hier verfolgt es einen risikobasierten Ansatz, um die Risiken der Privatsphäre möglichst früh erheben zu können. Dadurch sollen Massnahmen bezüglich Datenschutzanforderungen bereits in der Planung bzw. im Design getroffen werden.
Insofern deckt das revidierte DSG auch die seit Mai 2018 in Kraft gesetzte Datenschutzgrundverordnung (DSGVO/GDPR) ab, was natürlich denjenigen Unternehmen entgegenkommt, welche ohnehin bereits die Anforderungen der DSGVO berücksichtigen mussten. Doch welche Neuerungen kommen auf Unternehmen, welche vom revidierten DSG betroffen sind, im nächsten Jahr konkret zu?
Der verlängerte Arm des EDÖB
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB erhält mit dem revidierten DSG neu die Möglichkeit, von Amtes wegen Verstösse gegen den Datenschutz zu untersuchen. Er wird Verfügungen erstellen können um Datenbearbeitungen anzupassen, einzuschränken oder ganz zu unterlassen und diese im Rahmen des Verwaltungsverfahrensgesetzes durchsetzen. Weiter werden die Dienstleistungen des EDÖB wie beispielsweise Stellungnahmen zu Datenschutz-Folgenabschätzungen (DSFA), Verhaltenskodizes oder allgemeine Leistungen wie Beratungen für Private neu gebührenpflichtig. Die Höhe der Gebühren wird in der Verordnung geregelt.
Neue Grundsätze
Das Gesetz gilt neu nur noch für den Persönlichkeitsschutz von natürlichen Personen und nicht mehr wie im aktuellen DSG von juristischen. Diese Bestimmung stimmt mit der DSGVO überein. Die Liste der besonders schützenswerten Personendaten wird zudem um genetische Daten erweitert. Weiter gelten neu auch biometrische Daten als besonders schützenswert, insofern mit diesen Daten die betroffenen Personen eindeutig identifiziert werden können.
Risikobasierter Ansatz
Wie bereits erwähnt, bedient sich das revidierte DSG eines risikobasierten Ansatzes. Dazu gehört auch die Anforderung eines Konzepts (Privacy by Design, Privacy by Default), welches die Datenschutzanforderungen bereits in der Planungsphase berücksichtigt und durch technische wie auch organisatorische Massnahmen entgegentritt. Dies ist jedoch nicht neu. Bereits im bestehenden DSG wurde der Schutz durch angemessene technische und organisatorische Massnahmen gefordert. Weiter müssen datenschutzfreundliche Grundeinstellungen (Privacy by Default) bestimmt und implementiert werden, ohne dass sich die Nutzer zuerst durch seitenlange allgemeine Bestimmungen pflügen müssen. Dies bedingt natürlich Anpassungen von bestehenden Formularen, Einwilligungsverfahren und Applikationen mit datenschutzfreundlichen Techniken.
Verantwortliche für den Datenschutz
Weiter können Unternehmen nun freiwillig eine verantwortliche Person für den Datenschutz (Data Protection Officer, DPO) ernennen, welche einerseits als interne Ansprechperson für Datenschutzfragen, andererseits auch als Schnittstelle (bzw. erste Ansprechperson) zu den Behörden und dem EDÖB dient. Zu erwähnen ist, dass DPOs im Gegensatz zur DSGVO für Privatunternehmen nicht verpflichtend sind. Wichtig ist jedoch, dass DPOs fachlich unabhängig sein sollten. Dies ermöglicht es den Unternehmen, Datenschutz-Folgenabschätzungen, bei welchen das hohe Risiko nicht minimiert werden konnte, nicht vom EDÖB, sondern durch eine interne oder externe für den Datenschutz verantwortliche Person überprüfen zu lassen.
Datenschutz-Folgenabschätzungen (DSFA)
Wenn wir gerade beim Thema Datenschutz-Folgenabschätzungen sind: Nach Artikel 22 des revidierten DSG müssen nun auch Private, nicht wie bis anhin nur Bundesorgane, bei hohem Risiko für die Grundrechte oder die Persönlichkeit der Betroffenen eine DSFA durchführen. Diese muss vor der beabsichtigten Bearbeitung der Daten erfolgen. Ein hohes Risiko ist dann gegeben, wenn beispielsweise besonders schützenswerte Personendaten nach Art 5 des revidierten DSG in grossem Umfang bearbeitet werden oder wenn aus der Datenbearbeitung ein Profiling* mit hohem Risiko für die Betroffenen resultiert.
Neu ist gemäss EDÖB auch eine Risikoabschätzung beim Transfer von personenbezogenen Daten in die USA durchzuführen. Dies als Folge des Urteils vom Europäischen Gerichtshof im Fall «Max Schrems II», in welchem der Privacy Shield für ungültig erklärt wurde. Wir werten hier die genannte «Risikoabschätzung» als DSFA. Mehr dazu erfahren Sie demnächst in dieser Blogserie.
Wenn nach der DSFA weiterhin ein hohes Risiko besteht, muss die verantwortliche Person nach Artikel 23 die geplante Art der Bearbeitung vorgängig beim EDÖB zur Prüfung vorlegen. Als Ausnahme gilt, wie bereits erläutert, wenn ein oder eine unabhängige DPO eingesetzt wird. Letztendlich muss die DSFA spezifisch auf die Datenbearbeitung eingehen und die daraus auftretenden Risiken behandeln. Ansonsten können zu allgemein gehaltene DSFAs in Zukunft vom EDÖB beanstandet werden.
Zertifizierungen und Verhaltenskodizes
Eine weitere Ausnahme zur Durchführung einer DSFA gibt es, wenn die Bearbeitung, das Datenschutz-Managementsystem oder die Produkte (Hardware & Software) nach Artikel 13 zertifiziert sind oder ein branchenüblicher Verhaltenskodex implementiert wurde, welcher auf einer bereits durchgeführten DSFA beruht.
Das revidierte DSG setzt auf Selbstregulierung durch die Branchenverbände. Dies hat den Vorteil, dass sich Unternehmen auf einen Standard einigen und so von erarbeiteten Unterlagen und Vorgaben profitieren können, ohne selbst für jede Bearbeitung eigene DSFAs durchführen zu müssen. Jedoch sollen Unternehmen freiwillig ihre Verhaltenskodizes dem EDÖB zur Stellungnahme vorlegen können.
Weiter können zukünftig Datenschutz-Managementsysteme, Dienstleistungen und Produkte hinsichtlich Einhaltung der Datenschutz-Governance zertifiziert werden. Ob dies auch die datenschutzkonforme Datenbearbeitung einschliesst, ist noch offen. Auch hier kann von einer DSFA abgesehen werden, wenn eine anerkannte Zertifizierung vorliegt. Die Anerkennung und die weiteren Bestimmungen werden zu einem späteren Zeitpunkt in der Verordnung geregelt.
Verzeichnis der Bearbeitungstätigkeiten
Bei Unternehmen mit mehr als 250 Mitarbeitenden müssen nach Artikel 12 des revidierten DSG sowohl die Verantwortlichen als auch die Auftragsbearbeiter je ein aktuelles Verzeichnis sämtlicher Datenbearbeitungen führen, wobei dies dem EDÖB nicht gemeldet werden muss. Bereits im Rahmen der DSGVO-Konformität erstellte Verzeichnisse können mit ein paar wenigen Anpassungen, wie dem Aufführen von Exportländern oder Datenschutzgarantien, übernommen werden.
Bekanntgabe ins Ausland
Personendaten dürfen gemäss Artikel 16 weiterhin ins Ausland übermittelt werden, sofern die Gesetze des Empfängerlandes einen angemessenen Schutz gewährleisten. Welche Länder welchen Schutz gewährleisten, wird vom EDÖB in einer Liste publiziert. Auch wenn das Exportland keinen angemessenen Schutz vorweist oder nicht in der Liste geführt ist, können Daten weitergegeben werden, wenn völkerrechtliche Verträge, Datenschutzklauseln oder unternehmensinterne Datenschutzvorschriften (Bindig Corporate Rules, BCR) vorliegen. Diese Datenschutzklauseln, BCRs und andere Garantien müssen dem EDÖB vorgängig mitgeteilt und genehmigt werden, sofern sie nicht unter der DSGVO anerkannt wurden.
Eine Datenbekanntgabe gilt im Übrigen auch für Fernzugriffe, selbst wenn der Server in der Schweiz steht. So müssen Unternehmen auch Artikel 16 beachten, wenn sie Personendaten von Zweigniederlassungen im Ausland zugänglich machen.
Betroffenenrechte
Wie zu Beginn des Artikels erläutert, stärkt das revidierte DSG neu die Betroffenenrechte. So wurde das Auskunftsrecht ausgebaut, wodurch den Betroffenen auf Anfrage die in Artikel 25 (Absatz 2) spezifizierten Informationen mitgeteilt werden müssen. Darunter gehören auch die aktuell gehaltenen Kontaktdaten inkl. Identität des oder der Verantwortlichen für die Datenbearbeitung im Unternehmen.
Weiter müssen Verantwortliche grundsätzlich bei jeder beabsichtigten Beschaffung von Personendaten die betroffene Person vorgängig informieren; sogar, wenn die Daten nicht selber beschafft werden. Die Information beinhaltet im Minimum den Bearbeitungszweck, die vorgesehenen Empfänger der Daten und – besonders wichtig – welche Garantien zur Sicherstellung des Datenschutzes getroffen werden.
Jede Person hat somit die Möglichkeit, ihre personenbezogenen Daten in einem gängigen elektronischen Format zu verlangen oder einem Dritten übertragen zu lassen. Die Herausgabe bzw. die Übertragung muss grundsätzlich kostenlos sein, ausser, die Verantwortlichen können einen unverhältnismässigen Aufwand geltend machen.
Meldepflichten
Im neuen DSG müssen Datenschutzverletzungen, bei welchen von einem hohen Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen ausgegangen werden kann, so rasch wie möglich dem EDÖB gemeldet werden. Zusätzlich müssen Verantwortliche eine Einschätzung der Risiken und der Auswirkungen abgeben sowie festlegen, ob und inwiefern die Betroffenen informiert werden müssen.
Sanktionen
Das revidierte DSG sieht neu Bussen für Privatpersonen von bis zu CHF 250'000.– vor, wobei «nur» der Vorsatz und die Unterlassung strafbar sind, gemäss Artikel 60, nicht jedoch Fahrlässigkeit. Auf Antrag können die Missachtung der Betroffenenrechte, die Verletzung der Sorgfaltspflichten sowie die Verletzung von Meldepflichten verfolgt werden. Diese Sanktionen sind im Unterschied zur DSGVO einiges schwächer, denn diese richtet sich zum einen gegen juristische Personen, zum anderen können Bussen eine Höhe von bis zu 20 Millionen Euros bzw. 4 % des globalen Jahresumsatzes betragen.
Datenschutz als zunehmende Herausforderung
Sie sehen: In den nächsten zwei Jahren wird einiges auf Unternehmen zukommen. Um Sie Schritt für Schritt darauf vorzubereiten, werden wir in den kommenden Wochen weitere Blogposts rund um das revidierte DSG publizieren. Aber wie überall gilt: Es ist nie zu früh, sich mit den Herausforderungen bekannt zu machen. Sollten Sie bereits heute Fragen haben oder Unterstützung bei der Umstellung resp. Implementation benötigen, sind wir gerne für Sie da.
Übrigens: Weitere Tipps und Informationen rund um die Neuerungen und Vorgehensweisen zur Einführung können Sie bereits heute in einem früheren Blogartikel nachlesen.
*Profiling: Jegliche Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten.
