Am 1. September 2023 trat das revidierte Bundesgesetz über den Datenschutz (revDSG) (1) in Kraft, welches eine Reihe von bedeutenden Neuerungen und Herausforderungen mit sich bringt. Das neue Gesetz zielt darauf ab, den Datenschutz insbesondere in Bezug auf die Bearbeitung persönlicher Daten zu stärken und Kompatibilität mit den Datenschutzstandards der Europäischen Union (EU) zu garantieren. Nachfolgend fassen wir die wichtigsten Neuerungen zusammen und zeigen auf, wo Handlungsbedarf zur Umsetzung der Neuerung bestehen kann.
Die Notwendigkeit der Totalrevision
Seit dem ersten Bundesgesetz über den Datenschutz aus dem Jahre 1992 ist die Digitalisierung stark vorangeschritten, wodurch sich unsere Welt in den letzten Jahrzehnten grundlegend verändert hat und eine Fülle neuer Möglichkeiten geschaffen wurde. Von der Nutzung sozialer Netzwerke bis zur allgegenwärtigen Präsenz des Internets in unserem täglichen Leben hat die digitale Transformation unsere Gesellschaft, Wirtschaft und Kommunikation tiefgreifend beeinflusst. Die Schweizer Bevölkerung nutzt das Internet und Smartphones immer häufiger und intensiver im Alltag. Vor diesem Hintergrund ist es unverzichtbar geworden, die Datenschutzbestimmungen durch eine Totalrevision den aktuellen Gegebenheiten anzugleichen, um einen angemessenen und an die technologischen und gesellschaftlichen Veränderungen angepassten Datenschutz zu ermöglichen.
Die Revision des Bundesgesetzes über den Datenschutz bringt zahlreiche Angleichungen an die Datenschutzgrundverordnung der EU (DSGVO) mit sich. Diese Angleichungen sollen dazu beitragen, dass der freie Datenverkehr mit der EU weiterhin erhalten werden kann. Würde die EU die Angemessenheit des schweizerischen Datenschutzniveaus nicht mehr anerkennen, bestünde für Schweizer Unternehmen die Gefahr, zukünftig Wettbewerbsnachteile zu erleiden, da der Datenaustausch mit Unternehmen in der EU erschwert werden würde.
«[…] durch die technologischen und gesellschaftlichen Entwicklungen [sind] seit dem Inkrafttreten des DSG neue Bedrohungen für den Datenschutz entstanden […]» (2)
Geltungsbereich des neuen Gesetzes
Das neue Datenschutzgesetz gilt für die Bearbeitung von Personendaten durch Privatpersonen, Unternehmen und Bundesorgane. Eine Ausnahme von der Pflicht zur Wahrung der datenschutzrechtlichen Vorgaben gilt für Privatpersonen, die Personendaten «ausschliesslich zum persönlichen Gebrauch» bearbeiten. Davon erfasst werden jedoch nur Datenbearbeitungen im engeren Privat- oder Familienleben. Nicht mehr dazu gehört in der Regel das Führen einer öffentlich zugänglichen Website, weswegen private Website-Betreiber wie kommerzielle Betreiber das revDSG zu berücksichtigen haben.
Das neue Datenschutzgesetz schützt neu nur noch natürliche Personen, jedoch keine juristischen Personen mehr. Unternehmen haben aber weiterhin die Möglichkeit, den Schutz der Persönlichkeit gemäss Art. 28 ZGB, den Schutz von Geschäfts- und Fabrikationsgeheimnissen gemäss Art. 162 StGB sowie die relevanten Bestimmungen des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG) resp. des Bundesgesetzes über Kartelle und andere Wettbewerbsbeschränkungen (KG) in Anspruch zu nehmen.
Das revDSG gilt schliesslich für Sachverhalte, die sich in der Schweiz auswirken (Auswirkungsprinzip), auch wenn sie im Ausland veranlasst werden. Unter das revidierte Gesetz fallen daher auch ausländische Unternehmen, die im Schweizer Markt tätig sind beziehungsweise deren Datenbearbeitung sich in der Schweiz auswirkt. Umgekehrt gilt die DSGVO der EU auch für Schweizer Unternehmen, die im EU-Raum tätig sind.
Die Bearbeitung von Personendaten
«Personendaten» stellen unter dem revDSG alle Angaben bzw. Daten dar, welche sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Unter «Personendaten» fallen Angaben wie z.B. Name, Geschlecht, Foto, Geburtstag, E-Mail Adresse, IP-Adresse oder Bankkonto, die sich auf Kunden, Mitarbeiter Lieferanten oder andere Anspruchsgruppen beziehen. Der Begriff «Personendaten» ist entsprechend weit gefasst.
Unter «Bearbeitung» wird jeder Umgang mit Personendaten verstanden, worunter insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Personendaten fällt. Eine Bearbeitung von Personendaten liegt zum Beispiel vor, wenn ein Unternehmen Angaben von Mitarbeitern im EDV-System erfasst oder die Ergebnisse eines Qualifikationsgespräches an eine andere Person im Unternehmen weitergegeben wird.
Ferner statuiert das revDSG zusätzliche Regelungen für «besonders schützenswerte Personendaten». So gelten für die Bearbeitung von besonders schützenswerten Personendaten – nebst der Umsetzung von strengeren Sicherheitsvorkehrungen – teilweise auch strengere Anforderungen an die Bearbeitung. Besonders schützenswerte Personendaten stellen gemäss dem revDSG nachfolgende Daten dar, wobei die letzten beiden Kategorien mit der Revision in den Katalog aufgenommen wurden:
– Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten;
– Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie;
– Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen;
– Daten über Massnahmen der sozialen Hilfe;
– genetische Daten;
– biometrische Daten, die eine natürliche Person eindeutig identifizieren.
Wesentliche Neuerungen
Mit der Revision schafft der Gesetzgeber wesentliche Veränderungen für die Bearbeitung von Personendaten. Unter anderem sieht das revDSG weitergehende Informationspflichten, die Pflicht zur Erstellung eines Bearbeitungsverzeichnisses und strengere Sanktionen bei Verletzungen vor. Einige der wesentlichsten Neuerungen werden nachfolgend kurz erläutert.
Durch die Einführung des Grundsatzes «Privacy by Design» (Datenschutz durch Technikgestaltung) werden Entwickler verpflichtet, bereits bei der Gestaltung von Produkten und Dienstleistungen, welche die Sammlung personenbezogener Daten bezwecken, den Schutz der Privatsphäre zu berücksichtigen. Durch die Integration entsprechender Massnahmen in die Struktur dieser Produkte und Dienstleistungen wird der Schutz und Respekt der Privatsphäre von Anfang an gewährleistet. Der ebenfalls neu eingeführte Grundsatz «Privacy by Default» (Datenschutz durch Voreinstellung) stellt sicher, dass beim Vertrieb von Produkten und Dienstleistungen bereits von Anfang an die höchsten Sicherheitsstandards angewendet werden. Alle erforderlichen Massnahmen zum Schutz der Daten und zur Beschränkung der Datennutzung sind standardmässig aktiviert, ohne dass die Nutzerinnen und Nutzer zusätzliche Einstellungen vornehmen müssen.
Mit anderen Worten müssen sämtliche Soft- und Hardwareprodukte sowie Dienstleistungen so konfiguriert sein, dass die Daten geschützt und die Privatsphäre der Nutzerinnen und Nutzer gewahrt wird.
Die Informationspflicht wird erweitert, indem betroffene Personen vor jeder Erfassung von Personendaten informiert werden müssen, nicht mehr nur bei besonders schützenswerten Personendaten. Konkret sollen mindestens die Identität und Kontaktdaten des Verantwortlichen, der Bearbeitungszweck und gegebenenfalls die Empfänger von Personendaten bekanntgegeben werden. Dieser Informationspflicht wird üblicherweise in einer Datenschutzerklärung nachgekommen.
Nach Inkrafttreten des revDSG wird die Führung eines Verzeichnisses der Bearbeitungstätigkeiten obligatorisch. Eine Ausnahme hiervor greift für KMU, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenverarbeitung nur ein geringes Risiko für Verletzungen der Persönlichkeitsrechte der betroffenen Personen darstellt.
Sofern ein hohes Risiko für die Persönlichkeitsrechte oder Grundrechte der betroffenen Personen besteht, sind Datenschutz-Folgenabschätzungen erforderlich. Ist aus einer Folgenabschätzung erkennbar, dass die geplante Bearbeitung von Personendaten trotz der vorgesehenen Massnahmen ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen zur Folge hätte, muss vorgängig eine Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eingeholt werden.
Der neu eingeführte Begriff des «Profiling» umfasst jede Art der automatisierten Bearbeitung von Personendaten, um bestimmte persönliche Aspekte zu bewerten (insbesondere bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlichen Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel). Für diese Art der Datenverarbeitung sieht das revDSG erhöhte Anforderungen wie beispielsweise die ausdrückliche Zustimmung der betroffenen Person vor.
Kommt es zu einer Verletzung der Datensicherheit (z.B. durch unbeabsichtigtes oder widerrechtliches Verlieren, Löschen, Vernichten, Verändern oder das zugänglich machen von Personendaten an Unbefugte), die für die Betroffenen voraussichtlich zu einem hohen Beeinträchtigungsrisiko ihrer Persönlichkeit oder ihrer Grundrechte führt, ist eine unverzügliche Meldung an den EDÖB erforderlich.
Rechtsverstösse
Der EDÖB hat mit dem revDSG erweiterte Kompetenzen zur Durchsetzung der Gesetzesbestimmungen erhalten. Er kann von Amtes wegen oder auf Anzeige eine Untersuchung einleiten. Bei einem Verstoss gegen die Datenschutzvorschriften hat er die Möglichkeit, tiefgreifende Massnahmen anzuordnen, unter anderem z.B. die Anpassung oder Unterbrechung der Datenbearbeitung sowie die Löschung von Daten.
Bei vorsätzlicher Missachtung der gesetzlichen Informations-, Auskunfts-, Mitwirkungs- und Sorgfaltspflichten können private Personen auf Antrag mit Busse bis zu CHF 250'000 bestraft werden. Derselben Strafandrohung unterliegt die vorsätzliche Missachtung einer Verfügung des EDÖB oder eines Entscheides der Rechtsmittelinstanzen. Die Strafverfolgung erfolgt in letzterem Fall jedoch von Amtes wegen. Auch Unternehmen (juristische Personen) können neu mit einer Busse bis zu CHF 50'000 bestraft werden, wenn die Ermittlung der strafbaren natürlichen Person innerhalb des Unternehmens einen unverhältnismässigen Untersuchungsaufwand mit sich bringen würde.
Was muss zur Erfüllung der Datenschutzbestimmungen unternommen werden?
Da das revidierte Datenschutzgesetz per 1. September 2023 in Kraft tritt, müssen Unternehmen und datenbearbeitende natürliche Personen bis spätestens zu diesem Zeitpunkt die Anforderungen des neuen Datenschutzgesetzes umgesetzt haben. Unternehmen, die bereits mit der DSGVO der EU konform sind, werden nur wenige Anpassungen vornehmen müssen. Hingegen sollten Unternehmen, die nur in der Schweiz tätig sind und bisher im Bereich Datenschutz noch nichts unternommen haben, eine Analyse der Vereinbarkeit ihres bisherigen Umgangs mit Personendaten mit den Anforderungen des revDSG vornehmen.Von zentraler Bedeutung wird generell die Datenschutzerklärung zur Wahrung der Informationspflichten durch die datenverarbeitenden Personen sein. Bei Aufschaltung auf der Website sollte eine zentrale Platzierung zur einfachen Auffindbarkeit gewählt werden. Ferner muss der Wortlaut präzise, transparent und deutlich ausformuliert sein. Dabei sind die Bestimmungen des revidierten Gesetzes zu berücksichtigen und in die Datenschutzerklärung zu integrieren. Es ist zu empfehlen, die bestehenden Datenschutzerklärungen im Internet sowie auf Werbe- oder Vertragsdokumenten zu überprüfen und allenfalls an das revDSG anzupassen.
Zusätzlich kann in Betracht gezogen werden, eine Datenschutzberaterin bzw. einen Datenschutzberater zu ernennen. Dies ist zwar freiwillig, kann jedoch gewisse Vorteile mit sich bringen, indem einerseits eine Anlaufstelle für Mitarbeitende, Kunden (bei Ausübung ihrer Betroffenenrechte) und Behörden im Hinblick auf Datenschutzthemen geschaffen wird und andererseits die verpflichtende Konsultation des EDÖB bei Datenschutz-Folgenabschätzungen mit hohem Risiko entfällt. Daneben sollten im Sinne eines Überblicks folgende Massnahmen ergriffen werden, um die Einhaltung des revDSG sicherzustellen (exemplarische, nicht abschliessende Aufzählung):
– Ausarbeitung von internen Richtlinien zur Bearbeitung von Daten;
– Ausarbeitung eines Verzeichnisses der Datenverarbeitungstätigkeiten;
– Einführung von Prozessen zur zeitgerechten Bearbeitung von Betroffenenrechten (z.B. Auskunfts- oder Löschungsanfragen);
– Sicherstellung von Abläufen zur Meldung von Datenschutzverletzungen;
– Einführung von Prozessen zur Datenschutz-Folgenabschätzung, sofern eine Bearbeitung ein hohes Risiko für die Persönlichkeits- und Grundrechte mit sich bringen kann;
– Überprüfung der Verträge mit Auftragsverarbeitern (Dritten), wobei Klauseln in Bezug auf Meldepflichten bei Datenschutzverletzungen und Weitergabe an Unterauftragnehmer in die Verträge eingebaut werden sollten;
– Implementierung und Sicherstellung von Prozessen zur Löschung oder Anonymisierung von Personendaten, sobald sie nicht mehr für die Verarbeitungszwecke erforderlich sind;
– Evaluation allfälliger Übermittlung von Personendaten in andere Länder sowie Gewährleistung, dass dies nur in Länder mit angemessenem Schutzniveau erfolgt (einschliesslich Speicherung in ausländischen Cloud-Systemen);
– Implementierung von geeigneten technischen und organisatorischen Massnahmen, um Datenschutzverletzungen zu vermeiden und die Datensicherheit zu gewährleisten. Beispielsweise sollte der Zugriff auf Personendaten auf diejenigen Personen beschränkt sein, die tatsächlich einen Bedarf dafür haben (z.B. Mitarbeiter, die den Zugriff zur Erfüllung ihrer Aufgaben benötigen).
Unsere Rechtsanwälte stehen Ihnen für sämtliche Fragestellungen im Zusammenhang mit dem revidierten Datenschutzgesetz gerne zur Verfügung.
(1) Ebenfalls tritt die neue Datenschutzverordnung (revDSV) in Kraft.
(2) Botschaft Bundesrat BBl 2017 6941, S. 6954.
