Neues Datenschutzgesetz – auch natürliche Personen strafbar

Das nDSG tritt voraussichtlich Mitte 2022 in Kraft und ist bis dahin noch nicht verbindlich. Vorweg sind keine grossen Anpassungen notwendig, solange die Anforderungen der Europäischen Datenschutzgrundverordnung (EU-DSGVO) eingehalten werden.

Das revidierte Datenschutzgesetz bezweckt die Anpassung des Datenschutzes an die gesellschaftlichen und technologischen Entwicklungen seit der Einführung des geltenden DSG von 1992, wie zum Beispiel Google, Facebook, Smartphone und Cloud-Lösungen. Ebenso wird eine als «Swiss-Finish» bezeichnete Annäherung und Koordinierung mit dem europäischen Datenschutzumfeld (insbesondere der EU-DSGVO) angestrebt. Im globalisierten Umfeld ist zumindest eine Konsolidierung mit dem EU-Recht empfehlenswert, endet doch der Markt nicht mehr an der Landesgrenze. Die meisten (zumindest alle in einem EU-Land tätigen) Unternehmen werden somit auch künftig sowohl die EU-DSGVO als auch das nDSG einhalten müssen.

Zentral bei der Revision des DSG waren die folgenden vier Aspekte:

• Erhöhung der Transparenz (d.h. Information über Datenbearbeitungen) und Stärkung der Rechte der betroffenen Personen
• Förderung der Prävention und der Eigenverantwortung der Datenbearbeiter
• Ausbau der Strafbestimmungen
• Stärkung der Datenschutzaufsicht (durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB)

Neuerungen gegenüber geltendem Recht

Strafrecht: Natürliche Personen können bei vorsätzlicher Verletzung der Informations-, Auskunfts- oder Sorgfaltspflichten neu mit einer Busse bis CHF 250 000 bestraft werden. Eventualvorsatz ist ausreichend und gegeben, wenn eine tatsächlich eingetretene Verletzung in Kauf genommen wurde. Dies führt zu einer direkten Sanktionierung der CEOs, CIOs oder anderer Verantwortlicher. Dadurch werden bei unternehmensinternen Entscheiden andere Anreize gesetzt als bei einer Strafbarkeit des Unternehmens. 

Juristische Personen: Kein Schutz von Daten juristischer Personen (AG, GmbH). Das nDSG gilt künftig lediglich für die Bearbeitung von Personendaten von natürlichen Personen. 

Personendaten: Zu den besonders schützenswerten Personendaten zählen neu auch genetische sowie biometrische Daten (z.B. Fingerabdrücke, Retina-Scan, Gesichtsbilder oder Stimmaufnahmen). Für die Bearbeitung derselben gelten qualifizierte Voraussetzungen (wie beispielsweise eine Einwilligung dazu).

Verantwortliche und Auftragsbearbeiter: Anstelle des Inhabers einer Datensammlung wird neu zwischen Verantwortlichem und Auftragsbearbeiter differenziert. Verantwortliche sind private Personen (oder Bundesorgane), die (gemeinsam) über den Zweck und die Mittel der Bearbeitung entscheiden. Auftragsbearbeiter werden vom Verantwortlichen mit der Bearbeitung der Personendaten beauftragt (z.B. IT-Service-Provider bei der Datenbearbeitung in einer Cloud). Der Auftragsbearbeiter hat die Daten nach den für den Verantwortlichen geltenden Regeln zu bearbeiten. Der Verantwortliche muss sich über die Datensicherheit beim Auftragsbearbeiter vergewissern. Letzterer darf zudem die Bearbeitung nicht ohne Genehmigung des Verantwortlichen einem Dritten übertragen. 

Profiling

Unter Profiling wird jede Art der automatisierten Bearbeitung von Personendaten verstanden, um ein Persönlichkeitsprofil zu erstellen. Profiling mit hohem Risiko liegt vor, wenn Personendaten automatisiert bearbeitet werden und deren Verknüpfung die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Hierfür bedarf es neu einer ausdrücklichen Einwilligung der entsprechenden natürlichen Person.

Datenschutz durch Technik und datenschutzfreundliche Voreinstellung der Datenschutzvorschriften sowie insbesondere die Bearbeitungsgrundsätze sind bei der Datenbearbeitung bereits ab Planung einzuhalten (Privacy by Design). Die Voreinstellungen für die Bearbeitung von Personendaten sind auf das für den Verwendungszweck notwendige Mindestmass zu beschränken (Privacy by Default), ausser die betroffene Person bestimmt etwas anderes.

Ausbau Auskunftspflichten

Neu besteht ein Anspruch auf jede Information. Zudem gelten erweiterte Informationspflichten bzw. Mindestanforderungen. Es muss jederzeit bekanntgegeben werden können, was mit den Daten geschieht (Speicherung und Verarbeitung der Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck, allfällige Empfänger*innen, oder – bei Übermittlung ins Ausland – der Staat).

Datenportabilität

Mit dem Recht auf Datenherausgabe und -übertragung hat der Verantwortliche auf Gesuch des Betroffenen hin die Herausgabe bzw. Übertragung aller Personendaten an einen anderen Verantwortlichen in maschinenlesbarer Form zu vollziehen. 

Sofortige Meldung von Verletzungen des Datenschutzes

Bei Datenschutzverletzungen mit hohen Risiken für die Persönlichkeit oder Grundrechte hat der Verantwortliche dem EDÖB unverzüglich Meldung zu erstatten. Zudem sind die Betroffenen durch den Verantwortlichen zu informieren.

Härtere Konsequenzen

Zusammengefasst bedeutet dies, dass derzeit kein zwingender Handlungsbedarf besteht. Die künftig zwingend zu veröffentlichenden Datenschutzerklärungen können jedoch bereits jetzt vorbereitet werden. War die Datenschutzerklärung bis anhin EU-DSGVO-konform, sind nur wenige Anpassungen notwendig. Klar ist aber: Künftig werden Verstösse gegen das Datenschutzrecht härter geahndet. 

Für weitere Auskünfte stehen Ihnen die Autoren gerne zur Verfügung. Zusätzlich können konkrete Handlungsempfehlungen für Websites online unter www.itds.ch/+nDSG bestellt werden.