Das neue Schweizer Bundesgesetz über den Datenschutz

Das derzeitige Schweizer Bundesgesetz über den Datenschutz ist aus dem Jahr 1993. Durch die Einführung der Datenschutzgrundverordnung (DSGVO) in der EU bzw. in den EWR-Staaten im Jahr 2018 kam die Schweiz in Zugzwang, ihr nationales Datenschutzrecht zu überarbeiten. Denn mit dem derzeitigen Schweizer Gesetz ist die Gleichwertigkeit des Datenschutzniveaus mit dem in der EU nicht mehr gegeben, so dass der Angemessenheitsbeschluss der EU-Kommission aus dem Jahre 2000 auf der Kippe stand. Für europäische Firmen, die in der Schweiz tätig sind, würde eine Nicht-Anerkennung zu einem großen Problem werden, sofern die Schweiz als Drittland eingestuft werden würde. Ohne bestehenden Angemessenheitsbeschluss müsste der Datenverkehr zwischen der Schweiz und dem EU/EWR mit den sog. Standardvertragsklauseln (Art. 46 DSGVO) abgesichert werden.

Aufgrund dessen hat die Schweiz ihr Datenschutzrecht grundlegend überarbeitet. Das neue Schweizer Bundesgesetz über den Datenschutz (DSG) wird sich an die DSGVO anpassen mit dem Ziel, wieder einen positiven Angemessenheitsbeschluss der EU-Kommission zu erhalten.

Die wichtigsten Neuerungen haben wir für Sie hier zusammengefasst:

Der Geltungsbereich wird unter dem neuen DSG ausgeweitet und erstreckt sich nun auch auf Datenverarbeitungen, die sich in der Schweiz auswirken, obwohl sie im Ausland veranlasst werden.

So unterstehen nur noch natürliche Personen (keine juristischen Personen mehr) dem Schutz des neuen DSG. Dies steht im Einklang mit den Bestimmungen der DSGVO und den meisten nationalen Datenschutzgesetzen der EU-Mitgliedstaaten.

Darüber hinaus sind die Informationspflichten für Verantwortliche erweitert worden. Bisher bestand die Pflicht nur bei der Verarbeitung besonders schützenswerter Daten und bei der Erstellung von Persönlichkeitsprofilen. Nunmehr ist die Informationspflicht auf die Verarbeitung jeglicher personenbezogenen Daten ausgedehnt worden und entspricht den Pflichten der Art. 13 und 14 DSGVO.

Der Verantwortliche muss den Betroffenen von nun an grundsätzlich darüber informieren, wenn eine Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruht und diese rechtliche Auswirkungen für den Betroffenen hat. Zudem kann der Betroffene verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.

Ein Profiling ist nach dem neuen Datenschutzgesetz nach wie vor grundsätzlich ohne Einwilligung möglich. Allerdings führt das neue DSG den Begriff „Profiling mit hohem Risiko“ ein. Damit ist diejenige Art von Profiling gemeint, bei dem es zu einer Verknüpfung von Daten kommt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Bei dieser Art von Profiling muss eine ausdrückliche Einwilligung des Betroffenen eingeholt werden.

Bei dem Thema der Betroffenenrechte hat man sich auch an der DSGVO orientiert, denn das neue Schweizer Bundesgesetz über den Datenschutz gibt Betroffenen die Möglichkeit, Auskunft über jegliche für sie erforderliche Information zu erhalten. Demnach ist die Auskunft nicht mehr auf abschließend definierte Mindestinformationen beschränkt. Mit dem Recht auf Datenübertragbarkeit erhalten Betroffene zudem ein neues Recht und können kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.

Nach dem neuen DSG ist der Verantwortliche und auch der Auftragsverarbeiter verpflichtet jede Datenbearbeitung zu dokumentieren. Dies ist mit der Führung eines Verzeichnisses aller Verarbeitungstätigkeiten (VVT) in der DSGVO gleichzustellen. Die Informationen, die ein Verzeichnis der Bearbeitungstätigkeiten enthalten muss, sind im neuen DSG definiert.

Es ist weiterhin möglich, die Verarbeitung personenbezogener Daten an einen Auftragsverarbeiter auszulagern, sofern die Daten so verarbeitet werden, wie der Verantwortliche es selbst tun dürfte, und der Verarbeitung keine gesetzliche oder vertragliche Geheimhaltungspflicht der Übertragung entgegensteht.

Ein Vertrag zur Auftragsbearbeitung ist weiterhin nicht zwingend, jedoch muss der Verantwortliche sich vorab vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Neu ist, dass der Auftragsbearbeiter sich die Zustimmung des Verantwortlichen einholen muss, bevor er einen Unterauftragsbearbeiter einsetzt.

In Anlehnung an die DSGVO muss der Verantwortliche, sofern die Verarbeitung voraussichtlich zu einem hohen Risiko für die betroffene Person führt, vor der Verarbeitung personenbezogener Daten eine Datenschutz-Folgenabschätzung (DSFA) erstellen. Die Anforderungen, wann und wie solch eine DSFA zu erfolgen hat, sind denen der DSGVO weitgehend ähnlich.

Dies betrifft auch die Thematik Privacy by Design und Privacy by Default. Mithin hat der Verantwortliche seine Datenverarbeitung nicht nur so zu gestalten, dass die Datenschutzvorschriften und die Grundsätze der Datenverarbeitung eingehalten werden, sondern auch so, dass mittels geeigneter technischer Voreinstellung die Verarbeitung personenbezogener Daten auf ein Minimum reduziert wird.

Auch in der Schweiz müssen Verantwortliche und Auftragsbearbeiter durch geeignete technische und organisatorische Maßnahmen (TOM) eine dem Risiko angemessene Datensicherheit gewährleisten.

Zukünftig müssen Datenpannen wie auch unter der DSGVO gemeldet werden, und zwar dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Allerdings betrifft diese Meldepflicht nur solche Datenpannen, die ein hohes Risiko für den Betroffenen darstellen. Maßgeblich ist dabei unter anderem das Ausmaß der Gefährdung der betroffenen Person. Ein meldepflichtiger Vorfall muss ab Kenntnisnahme „so rasch wie möglich“ gemeldet werden. Ein sogenannter Auftragsbearbeiter unterliegt (ebenso wie bei Anwendung der DSGVO) nicht der Meldepflicht, sondern er muss so schnell wie möglich den Verantwortlichen über den Vorfall in Kenntnis setzen.

Die Strafbestimmungen wurden immens verstärkt. Demnach können natürliche Personen mit Geldbußen bis zu 250.000 Franken bestraft werden, wenn sie gegen die Informations- oder Auskunftspflichten verstoßen oder ihre Sorgfaltspflichten verletzen. Auch Personen, die dem EÖDB (die Schweizer Datenschutzbehörde) vorsätzlich im Rahmen einer Untersuchung die Mitwirkung verweigern, machen sich strafbar. Werden Verfügungen des EÖDB oder einer Rechtsmittelinstanz nicht befolgt, drohen Geldbußen bis zu 250.000 Franken.

Verstöße gegen neu im Gesetz verankerte Pflichten, wie beispielsweise die Führung eines Verarbeitungsverzeichnisses oder die Meldung von Datenschutzverstößen, werden im Bußgeldkatalog nicht aufgelistet.

 

Zusammenfassend lässt sich sagen, dass sich das neue Schweizer Datenschutzrecht durch die Änderungen an der DSGVO orientiert und sich dieser annähert. Als wichtigste Neuerungen sind die erhöhte Transparenz (Information über Datenverarbeitungen), die Stärkung der Rechte der betroffenen Personen, die Stärkung der Datenschutzbehörde und auch der Ausbau der Strafbestimmungen zu benennen.

Das neue Recht wird aller Voraussicht nach frühestens am 01.01.2022 in Kraft treten.

 

Hinweis: In Bezug auf Datentransfers in die USA ist die Situation ähnlich wie in der EU. Nachdem der EDÖB dem Regime des Swiss-U.S. Privacy Shield die Anerkennung als Grundlage für einen angemessenen Datenschutz für die Datenbekanntgabe von der Schweiz an die USA abgesprochen hat, muss die Datenverarbeitung auf eine neue Grundlage gestellt werden. Auch wenn Schweizer Gerichte das Thema noch nicht behandelt haben, sind Datenexporteure aus der Schweiz vor die gleichen faktischen Herausforderungen gestellt wie Datenexporteure aus der EU. Der EDÖB empfiehlt daher, neben der Verwendung z.B. von Standardvertragsklauseln (SCC) in gewissen Fällen eine vertiefte Risikoanalyse vorzunehmen und ergänzende Vereinbarungen zu schließen.