Der Bundesrat hat im September 2017 den Entwurf eines totalrevidierten Datenschutzgesetzes präsentiert. Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen über die Daten bearbeitet werden. Es gilt für die Bearbeitung von Personendaten.
Personendaten (Daten) sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Briefadressen sind typische Personendaten, ebenso Interessensprofile. Auch E-mail-Adressen sind meist Personendaten, ob in Bezug auf den Domain-Namen-Inhaber, auf den angegebenen Namen oder weil sich eine Adresse über Aktivitäten im Internet leicht einer Person zuordnen lässt. Anonymisierte Daten (z.B. die Daten in einer anonymen Statistik) sind dagegen keine Personendaten und unterliegen deshalb nicht dem Datenschutzgesetz (DSG).
Das Ziel der Revision ist es, das Datenschutzrecht der Schweiz den gesetzlichen Anforderungen der Europäischen Union (EU), der Europäischen Datenschutz-Grundverordnung (DSGVO), anzugleichen. Weiter sollen «Good Practices» gefördert, die Pflichten der für die Datenbearbeitungen verantwortlichen Personen erhöht und die Rechte der von einer Datenbearbeitung betroffenen Personen sowie die Aufsichtskompetenzen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gestärkt werden. Der Entwurf lehnt sich stark an die DSGVO an, die seit dem 25. Mai 2018 anwendbar ist.
Was das neue Datenschutzgesetz für Schweizer Unternehmen konkret bedeutet, welche Massnahmen zu ergreifen sind, und was es besonders zu beachten gilt, wird nachfolgend dargestellt.
Zeitplan der Totalrevision
In der kommenden Herbstsession sollen die letzten Differenzpunkte zwischen National- und Ständerat bereinigt werden. Im Wesentlichen geht es dabei jedoch nur noch um die Frage, was genau unter einem «Profiling mit hohem Risiko» zu verstehen ist. Sollten es die beiden Kammern auch in der dritten Runde des sog. Differenzbereinigungsverfahrens nicht schaffen, eine Einigung zu erzielen, so wäre der nächste Schritt die Einigungskonferenz. Im Anschluss müssen dann noch die relevanten Verordnungen angepasst werden. Sollte eine Partei noch das Referendum ergreifen, wird dies die Aktualisierung weiter verzögern.
Wann genau das neue Datenschutzgesetz in Kraft treten wird, kann daher noch nicht gesagt werden. Es ist allerdings damit zu rechnen, dass dies im Laufe des Jahres 2021 der Fall sein wird. Eine Übergangsfrist ist nicht mehr vorgesehen, das neue Datenschutzgesetz würde somit mit Inkrafttreten sofort gelten.
Was bleibt gleich?
Die Grundprinzipien der Datenbearbeitung werden sich nicht ändern:
Personendaten dürfen nur rechtmässig und nach Treu und Glauben bearbeitet werden. Nicht erlaubt sind zum Beispiel das Erschleichen oder Entwenden von Daten, der Einsatz von E-Mail-Adress-Sammelprogrammen im Internet und das Sammeln von Daten unter falschen Angaben oder mit verdeckten Methoden.
Personendaten dürfen nur zu dem Zweck bearbeitet werden, der von der betroffenen Person erwartet werden muss. Erwartet werden muss, was bei der Beschaffung angegeben wurde, zum Beispiel im Rahmen einer Datenschutzerklärung auf einer Website, welche die Verwendung für «Werbung zu eigenen und fremden Zwecken» vorsieht; auch eine Klausel in «Allgemeine Geschäftsbedingungen» (AGB) kann genügen. Erwartet werden muss auch, was sich aus den Umständen ergibt oder was das Gesetz vorsieht.
Personendaten dürfen nur in verhältnismässiger Weise bearbeitet werden. Die Bearbeitung muss daher auf jene Daten und jene Verwendungen beschränkt sein, die legitim, das heisst erforderlich, zweckmässig und zumutbar sind. So dürfen zum Beispiel auf einem Datenerhebungsformular nicht mehr Angaben verlangt werden, als für den jeweiligen Zweck vernünftigerweise notwendig ist.
Es dürfen nur richtige Personendaten bearbeitet werden. Es müssen deshalb alle angemessenen Massnahmen getroffen werden, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung der Bearbeitung unrichtig oder unvollständig sind. Jede betroffene Person kann deshalb Korrekturen ihrer eigenen fehlerhaften Daten verlangen, und jeder, der Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern.
Rechtfertigungsgründe
Sofern die Bearbeitungsgrundsätze nicht eingehalten werden, verletzt die Bearbeitung die Persönlichkeit der betroffenen Personen. Auch das DSG sieht jedoch mehrere Umstände vor, die eine solche Verletzung der Persönlichkeit rechtfertigen und somit erlauben können:
Der Gesetzgeber kann Situationen vorsehen, in denen es zulässig ist, gegen die Bearbeitungsgrundsätze zu verstossen. Verlangt eine Person von einem Unternehmen zum Beispiel die Vernichtung bestimmter sie betreffender Personendaten, die aber einer Pflicht zur Aufbewahrung unterliegen, so kann das Unternehmen deren Vernichtung mit Hinweis auf die betreffende Bestimmung verweigern.
Eine rechtswidrige Datenbearbeitung kann durch Einwilligung des Verletzten gerechtfertigt werden. Eine Einwilligung kann in beliebiger Form erfolgen. Sie ist sogar stillschweigend zulässig. Eine ausdrückliche Handlung durch den Betroffenen, ein sog. «Opt-in», wie dies nach der DSGVO verlangt wird, ist nach dem neuen DSG jedoch nach wie vor nicht erforderlich.
Eine Einwilligung gilt allerdings nur dann als rechtsgültig, wenn sie nach angemessener Information und freiwillig erfolgt. Eine Einwilligung einer Person, die nicht wissen konnte, worin sie einwilligt oder dies nicht aus freien Stücken getan hat, ist somit rechtlich wertlos.
Das neue DSG zählt einige Fälle auf, in denen ein überwiegendes Interesse des datenbearbeitenden Unternehmens in Betracht fällt. Ein überwiegendes Interesse der bearbeitenden Person fällt zum Beispiel dann in Betracht, wenn Personendaten in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags über ihren Vertragspartner bearbeitet werden.
Was ändert sich ?
Geschützt nach dem neuen DSG sind zukünftig nur noch die Daten natürlicher Personen, nicht mehr auch die Daten juristischer Personen.
Bisher war es so, dass das DSG nur auf Sachverhalte anwendbar war, welche sich in der Schweiz abspielten. Mit der Revision werden nun auch diejenigen Sachverhalte erfasst, die im Ausland veranlasst wurden, sich jedoch in der Schweiz auswirken. Analog dem nach DSGVO geforderten EU-Vertreter, wird mit dem neuen DSG der CH-Vertreter eingeführt. Dies bedeutet, dass ausländische Firmen in bestimmten Fällen in der Schweiz nun einen solchen bezeichnen müssen.
Zu den Pflichten der Vertretung gehört das Führen eines Verzeichnisses der Bearbeitungstätigkeiten des Verantwortlichen. Auf Anfrage teilt sie dem EDÖB die im Verzeichnis enthaltenen Angaben mit und gibt den betroffenen Personen Auskunft darüber, wie sie ihre Rechte ausüben können.
Nebst der Einschränkung des Begriffs der Personendaten auf natürliche Personen wurden auch einige andere Begriffe an das Recht der EU angeglichen. Statt wie bisher vom «Inhaber einer Datensammlung» zu sprechen, ist neu vom «Verantwortlichen» und «Auftragsbearbeiter» die Rede. Verantwortliche sind private Personen oder Bundesorgane, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheiden; Auftragsbearbeiter sind private Personen oder Bundesorgane, die oder das im Auftrag des Verantwortlichen Personendaten bearbeiten.
Ferner wurde der Katalog der besonders schützenswerten Personendaten um «biometrische und genetische Daten» erweitert; letztere unabhängig davon, ob sie «eine natürliche Person eindeutig identifizieren» oder nicht.
Neu wird der Begriff des «Profilings» eingeführt und ersetzt den Begriff des «Persönlichkeitsprofils». Dabei wird (zurzeit) unterschieden zwischen normalem «Profiling» und «Profiling mit hohem Risiko». «Profiling» ist jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Ein «Profiling mit hohem Risiko» ist ein Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.
Nach dem Prinzip «Datenschutz durch Technik» ist der Verantwortliche verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, das heisst, insbesondere die Grundsätze der Datenbearbeitung zu berücksichtigen. Die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie den Risiken, welche die Bearbeitung für die Persönlichkeit und Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.
Nach dem Prinzip der «datenschutzfreundlichen Voreinstellungen» ist der Verantwortliche verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.
Sowohl der Verantwortliche als auch der Auftragsbearbeiter müssen ein Verzeichnis der Bearbeitungstätigkeiten führen, sofern die Mindestschwelle von 250 Mitarbeitenden erreicht wird. Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko mit sich bringt, sind von dieser Pflicht befreit. Da die Erfüllung fast aller Datenschutzpflichten eine gewisse Übersicht über die Datenbearbeitung im Unternehmen bedarf, dürfte sich praktisch gesehen für jede Organisation, unabhängig von einer entsprechenden Pflicht, lohnen ein entsprechendes Verzeichnis zu führen.
Das Verzeichnis des Verantwortlichen muss mindestens die folgenden Angaben enthalten:
-
- die Identität des Verantwortlichen;
- den Bearbeitungszweck;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
- die Kategorien der Empfänger;
- sofern möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer,
- sofern möglich eine allgemeine Beschreibung der Datensicherheitsmassnahmen und
- bei einer Auslandsbekanntgabe die Angabe des Staates sowie der Garantien, welche einen geeigneten Datenschutz gewährleisten.
Demgegenüber muss das Verzeichnis des Auftragsbearbeiters nur die folgenden Angaben enthalten:
-
- die Identität des Auftragsbearbeiters und des Verantwortlichen,
- die Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie
- die Angaben zu den Datensicherheitsmassnahmen und Ausland-Bearbeitungen.
Das Verhältnis zwischen dem für die Datenbearbeitung Verantwortlichen und dem Auftragsbearbeiter muss bereits heute vertraglich geregelt werden. Neu kommt hinzu, dass der Auftragsbearbeiter die Bearbeitung erst mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen darf (sog. «Vetorecht»).
Aus Sicht des Auftragsbearbeiters empfiehlt sich häufig eine vertragliche Regelung wie diejenige, dass der Verantwortliche über den Beizug von (Unter-)Auftragsbearbeitern informiert wird, damit aber gleichzeitig bereits seine Zustimmung angenommen wird, wenn er nicht innert einer bestimmten Frist (z.B. 30 Tage) Einspruch erhebt.
Mit der Revision ändert sich mit Bezug auf die Bekanntgabe von Personendaten ins Ausland gegenüber der heutigen Regelung nicht viel. Zukünftig wird es allerdings der Bundesrat sein, welcher das Datenschutzniveau anderer Staaten und internationaler Organisationen beurteilt. Die «Liste der sicheren Staaten», welche bisher vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) geführt wurde, wird durch eine Liste des Bundesrats ersetzt. Auch ohne Entscheid des Bundesrats soll eine Auslandsbekanntgabe möglich sein, sofern ein geeigneter Datenschutz gewährleistet werden kann (mittels sog. geeigneter Garantien), oder aber auch in gewissen Ausnahmefällen (z.B. die betroffene Person willigt in die Bekanntgabe ein).
Von gewissen Ausnahmen abgesehen werden Verantwortliche verpflichtet sein, betroffene Personen über verschiedene Aspekte der Datenbearbeitung zu informieren. Derzeit beschränken sich solche Informationspflichten weitgehend auf die Beschaffung besonders schützenswerten Personendaten und Persönlichkeitsprofile. Zukünftig werden die Informationen flächendeckend für alle Datenbearbeitungen bereitzustellen sein.
Damit eine betroffene Person ihre Rechte in Bezug auf den Datenschutz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist, müssen ihr bei der Beschaffung die folgenden Informationen mitgeteilt werden:
-
- die Identität und die Kontaktdaten des Verantwortlichen;
- der Bearbeitungszweck;
- die bearbeiteten Daten (falls diese nicht bei der Person direkt beschafft werden);
- gegebenenfalls die Empfänger oder Kategorien von Empfängern, denen Personendaten bekanntgegeben werde und die Länder, in welche die Daten übermittelt werden und auf welcher Rechtsgrundlage (etwaige vertragliche Garantien oder in Anspruch genommene Ausnahmen) dies geschieht.
Zum anderen sind der Person auch alle weiteren Informationen zu liefern, die diese braucht, damit sie ihre Rechte nach dem neuen DSG geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.
Werden die Personendaten nicht bei der betroffenen Person beschafft, müssen ihr die Informationen spätestens einen Monat nach dem Erhalt der Daten mitgeteilt werden; werden die Daten früher bekanntgegeben, spätestens zum Zeitpunkt der Bekanntgabe.
Die bisherigen Rechte der betroffenen Personen Auskunft, Löschung oder Sperrung (Einschränkung) von Personendaten zu verlangen, bleiben erhalten und werden teilweise angepasst. Es wird unter anderem neu in Anlehnung an die DSGVO ein Recht auf Datenportabilität eingeführt, wenn Daten mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages automatisiert bearbeitet werden. Jede Person kann demnach von einem Dienstleister verlangen, sie betreffende und ihm vorgängig bekannt gegebene Personendaten in einem gängigen elektronischen Format herauszugeben, oder diese Daten einem anderen Dienstleister zu übergeben.
Das neue DSG verpflichtet den für die Datenbearbeitung Verantwortlichen, auf Anfrage einer Person hin, neben den bisherigen Angaben (über sie bearbeitete Personendaten, Bearbeitungszweck, Herkunft der Daten, Empfänger), neu auch über Folgendes Auskunft zu erteilen:
-
- Identität und Kontaktdaten des Verantwortlichen;
- Aufbewahrungsdauer der Personendaten oder wenn dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
- Vorliegen einer automatisierten Einzelentscheidung und die Logik, auf der eine solche Entscheidung beruht; und
- bei Auslandsbekanntgaben der jeweilige Staat, wenn nötig die Garantien.
Zudem müssen der betroffenen Person auf Verlangen nebst den vorgenannten Daten alle weiteren Informationen mitgeteilt werden, die für die betroffene Person erforderlich sind, um ihre Rechte nach dem neuen DSG geltend zu machen und eine transparente Datenbearbeitung zu gewährleisten.
Die Auskunft ist grundsätzlich kostenlos und hat in der Regel innerhalb von 30 Tagen zu erfolgen. Neu ist nicht mehr vorgeschrieben, wie die Auskunft zu erfolgen hat, sondern nur, dass die betroffene Person die Informationen erhält.
Neu hat ein Verantwortlicher vorgängig eine sogenannte «Datenschutz-Folgenabschätzung» zu erstellen, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Bei etwas heikleren Vorhaben wie der Einführung neuer Applikationen besteht also eine Pflicht, eine formalisierte Risikoanalyse durchzuführen und zu dokumentieren.
Wann ein hohes Risiko vorliegt, ergibt sich aus verschiedenen Umständen, so insbesondere bei der Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Beispiele eines hohen Risikos können z.B. die umfangreiche Bearbeitung besonders schützenswerter Personendaten oder die systematische umfangreiche Überwachung öffentlicher Bereiche sein.
Obwohl Auftragsbearbeiter nicht verpflichtet sind, eine Datenschutz-Folgenabschätzung durchzuführen, dürften Kunden, die in der Rolle der Verantwortlichen sind, von ihren Dienstleistern entsprechende Nachweise fordern und möglichst viele Pflichten vertraglich an ihre Dienstleister weiterreichen wollen.
Der Verantwortliche muss dem EDÖB (und ggf. den betroffenen Personen) Verletzungen der Datensicherheit, welche voraussichtlich ein hohes Risiko für die betroffenen Personen darstellen, melden.
Eine Verletzung der Datensicherheit liegt gemäss Definition vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Gemäss der Botschaft zur Totalrevision soll der Begriff inhaltlich der DSGVO entsprechen. Der Begriff sollte daher wohl eingeschränkter zu verstehen sein, im Sinne von getroffenen Sicherheitsmassnahmen, welche im konkreten Fall versagt haben oder ungenügend waren.
Die Meldung an den EDÖB muss mindestens die Art der Datensicherheitsverletzung, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen enthalten.
Auftragsbearbeiter sind nach neuem DSG zukünftig ihrerseits gehalten, dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit zu melden. Wo dies noch nicht der Fall ist, dürften auch Verträge um eine entsprechende Pflicht ergänzt werden.
Die Bussen werden mit dem neuen DSG wesentlich erhöht. Wer das neue DSG vorsätzlich verletzt, muss mit einem Bussgeld von bis zu CHF 250’000 rechnen. Im Gegensatz zur DSGVO zielen die Bussen nicht auf die Unternehmen, sondern auf den jeweils verantwortlichen Mitarbeitenden. Immerhin handelt es sich bei den meisten Strafbestimmungen um Antragsdelikte, ein Verstoss wird also nur verfolgt, wenn die betroffene Person einen Strafantrag stellt.
Konkret wird zukünftig gebüsst werden, wer vorsätzlich:
-
- die Datenbearbeitung einem Auftragsbearbeiter überlässt, ohne dass sichergestellt ist, dass dieser die Daten gleich bearbeitet, wie man es selbst tun dürfte, eine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet oder der gewählte Auftragsbearbeiter die erforderliche Datensicherheit nicht gewährleisten kann;
- die noch vom Bundesrat zu konkretisierenden Mindestanforderungen an die Datensicherheit nicht einhält;
- Personendaten unzulässigerweise in unsichere Länder bekannt gibt;
- betroffenen Personen die erforderlichen Informationen nicht zur Verfügung stellt; sowie
- betroffenen Personen falsche oder unvollständige Auskünfte erteilt.
Daneben gibt es noch weitere Tatbestände, welche eine Busse nach sich ziehen können. Diese haben jedoch mit der Umsetzung des revidierten Datenschutzes im Unternehmen nicht direkt zu tun:
-
- Verweigerung der Mitwirkung oder Erteilung falscher Auskünfte im Rahmen einer vom EDÖB eingeleiteten Untersuchung;
- einer vom EDÖB ergangenen Verfügung nicht Folge leisten;
- Offenbarung geheimer Personendaten, von denen man bei der Ausübung des Berufs Kenntnis erlangt hat.
Was ist zu tun?
Da das neue DSG, sobald es in Kraft tritt, ohne Übergangsfrist gilt, sollten sich Unternehmen entsprechend vorbereiten. Es empfiehlt sich, insbesondere die folgenden Punkte zu beherzigen:
-
- Ein Verzeichnis der Bearbeitungstätigkeiten erstellen;
- Auftragsbearbeitungsverträge auf die neuen Vorgaben hin überprüfen und wo nötig anpassen. Sicherstellen, dass alle Auftragsbearbeitungen erfasst sind;
- Auslandbekanntgaben auf die neuen Vorgaben hin überprüfen und gegebenenfalls anpassen. Sicherstellen, dass alle Auslandbekanntgaben erfasst sind;
- Datenschutzerklärungen auf die neuen Vorgaben hin überprüfen und gegebenenfalls anpassen. Sicherstellen, dass alle Fälle, in denen Personendaten beschafft werden, erfasst sind;
- Einen Prozess zur (vollständigen und richtigen) Beantwortung von Anfragen betroffener Personen erstellen oder gegebenenfalls anpassen;
- Einen Prozess zur Durchführung von Datenschutz-Folgenabschätzungen einführen;
- Einen Prozess zur Meldung und Bearbeitung von Verletzungen der Datensicherheit einführen;
- Weisungen für Mitarbeitende erstellen und Mitarbeiterschulungen durchführen.
Weiterführende Links
- Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und Änderung weiterer Erlasse im Datenschutz: www.admin.ch/opc/de/federal-gazette/2017/6941.pdf
- Die Gesetzesfahne der staatspolitischen Kommission des Ständerats finden Sie hier: www.parlament.ch/centers/eparl/curia/2017/20170059/S3-4%20D.pdf
- Der letzte Stand der Differenzbereinigung des Ständerats: www.parlament.ch/centers/eparl/curia/2017/20170059/S3-44%20D.pdf
- Der Verlauf der Debatte von National- und Ständerat: www.parlament.ch/de/ratsbetrieb/amtliches-bulletin/amtliches-bulletin-die-verhandlungen?SubjectId=48963
Michèle Balthasar (Gast-Autorin)
Dr. iur. Michèle Balthasar, Rechtsanwältin, leitet das Kompetenzzentrum für Datenschutz und Informatikrecht der Swiss Infosec AG. Als versierte Datenschutzspezialistin unterstützt sie nationale wie international tätige Unternehmen bei der Lösung von komplexen juristischen und organisatorischen Herausforderungen. Des Weiteren ist Michèle Balthasar externe Datenschutzbeauftragte nach DSGVO (GDPR) und betriebliche Datenschutzverantwortliche (BDSV) nach DSG.