1. Februar 2017
Der Vorentwurf zum neuen Datenschutzgesetz (VE-DSG): Was ist neu?
test test
Der Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes vom 21. Dezember 2016 offenbart: Das neue DSG wird den Erlassen des Europarates (Entwurf der Revisi-on der Datenschutzkonvention des Europarates E-SEV 108) und der Europäischen Union (Richtlinie EU 2016/680, Verordnung EU 2016/679 [Datenschutzgrundverordnung; DSGVO]) ähnlich sein und diese, wo infolge von Staatsverträgen notwendig, übernehmen. Der Gesetzgeber geht davon aus, dass der VE-DSG einen angemessenen Schutz im Sinne der DSGVO garantiert. Der VE-DSG betrifft die grosse Mehrheit der Schweizer Unternehmen, die sich entsprechend sorgfältig vorbereiten und Prozesse erarbeiten sollten, um den verschiedenen erhöhten Anforderungen des VE-DSG gerecht zu werden.
Die Neuerungen im Überblick
- Das Informationsrecht der betroffenen Personen wird verstärkt, bzw. die Informationspflicht des Verantwortlichen verschärft. Neu gilt die Informationspflicht auch bei vollständig automatisierten Einzelentscheidungen, verbunden mit dem Recht der betroffenen Person, ihren Standpunkt zu diesem Entscheid darzulegen.
- Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) soll Empfehlungen der guten Praxis ausarbeiten. Er involviert dabei interessierte Kreise und Branchen. Diese Empfehlungen, deren rechtliche Natur unklar ist, sollen jedoch nicht bindend sein. Nach dem VE-DSG soll ein Unternehmen, das die Empfehlungen einhält, sich DSG-konform verhalten. Allerdings können Unternehmen auch datenschutzkonform sein, wenn sie die Empfehlungen nicht einhalten und die gesetzlichen Anforderungen anderweitig erfüllen.
- Der EDÖB soll eine gestärkte und unabhängigere Stellung erhalten. Neu kann der EDÖB nach Abschluss einer Untersuchung Verfügungen erlassen.
- Die strafrechtlichen Sanktionen sollen im VE-DSG ausgebaut werden. Zahlreiche Datenschutzverstösse werden neu mit Bussen sanktioniert. Der Höchstbetrag der Bussen soll auf CHF 500’000 erhöht werden, womit sie aber immer noch bedeutend tiefer liegen als im Rahmen der DSGVO. Diese sieht (verwaltungsrechtliche) Bussen gegen Unternehmen von bis zu EUR 20 Mio. oder 4% des gesamten weltweit erzielten Jahresumsatzes des zurückliegenden Geschäftsjahrs vor. Die Einführung zusätzlicher strafrechtliche Sanktionen d obliegt gemäss DSGVO den Mitgliedstaaten.
- Die Bearbeitung von Daten durch Auftragsbearbeiter wird stärker reguliert.
Die wichtigsten Pflichten der Verantwortlichen
a. Informationspflicht über die Bearbeitung
Den Verantwortlichen trifft bei der Beschaffung von Personendaten eine umfangreiche Informationspflicht zugunsten der betroffenen Person. So muss der Verantwortliche betroffene Personen über die Beschaffung von Personendaten informieren, selbst wenn die Daten bei Dritten beschafft werden. Die Informationspflicht umfasst unter anderem die Identität und Kontaktdaten des Verantwortlichen, die bearbeiteten Personendaten und den Zweck der Bearbeitung. Werden die Personendaten Dritten bekanntgegeben, so hat der Verantwortliche den betroffenen Personen den Empfänger mitzuteilen. Die Bearbeitung von Personendaten durch einen Auftragsbearbeiter ist der betroffenen Person ebenfalls mitzuteilen, inklusive dessen Identität und Kontaktdaten. Die betroffenen Personen haben ein kostenloses Auskunftsrecht über die Bearbeitung ihrer Daten.
b. Recht auf Gehör bei Entscheiden nach automatisierter Bearbeitung
Erfolgt eine Entscheidung ausschliesslich auf einer automatisierten Datenbearbeitung, die rechtliche Wirkungen oder erhebliche Auswirkungen auf die betroffene Person entfaltet, so muss der Verantwortliche der betroffenen Person die Möglichkeit geben, sich zu diesem Entscheid zu äussern. Es ist unklar, wie diese Anforderung in der Praxis umgesetzt werden kann. Automatisierte Entscheide dürften durch diese Vorgabe jedenfalls mit erheblichem Zusatzaufwand verbunden sein.
c. Durchführung von Datenschutz-Folgenabschätzungen
Unternehmen müssen im Voraus abschätzen, ob eine geplante Datenbearbeitung voraussichtlich ein erhöhtes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Wird dies bejaht, ist eine Datenschutz-Folgenabschätzung durchzuführen. Diese beschreibt die geplante Bearbeitung, die Risiken für die Rechte der betroffenen Personen und die geplanten Massnahmen, um das Risiko einer möglichen Persönlichkeits- oder Grundrechtsverletzung zu verringern. Das Ergebnis der Datenschutz-Folgenabschätzung ist dem EDÖB mitzuteilen, der innerhalb von drei Monaten Einwände erheben kann.
d. Data Breaches sind dem EDÖB zu melden
Unbefugte Datenbearbeitungen oder Datenverluste hat der Verantwortliche grundsätzlich unverzüglich dem EDÖB zu melden. Gleichermassen hat der Auftragsbearbeiter den Verantwortlichen unverzüglich über eine unbefugte Datenbearbeitung zu informieren. Überdies hat eine Information der betroffenen Personen zu erfolgen, wenn es zu deren Schutz notwendig ist oder vom EDÖB verlangt wird.
e. Privacy by Design und Privacy by Default
Der VE-DSG führt die Grundsätze von «Privacy by Design» und «Privacy by Default» ein. Diese verpflichten den Verantwortlichen, angemessene Massnahmen zu treffen, um dem Risiko von Verletzungen der Persönlichkeit vorzubeugen. Zudem sollen standardmässig nur diejenigen Personendaten bearbeitet werden, die für den Verwendungszweck erforderlich sind, was durch entsprechende Voreinstellungen (Defaults) sicherzustellen ist.
f. Dokumentation der Bearbeitung
Weiter obliegt den Verantwortlichen die Pflicht, ihre Datenbearbeitung zu dokumentieren. Sie informieren Empfänger von Personendaten zudem über die Berichtigung, Löschung oder Vernichtung von Daten, Verletzungen des Datenschutzes sowie über Einschränkungen der Bearbeitung.
Verschärfte Sanktionen
Massnahmen für die Missachtung der Regeln des VE-DSG drohen von zwei Seiten: Einerseits werden Unternehmen verstärkt strafrechtlich sanktioniert – der strafrechtliche Teil des VE-DSG ist bedeutend ausgebaut und mit beträchtlich erhöhten Bussen verschärft worden. Andererseits können betroffene Personen zivilrechtliche Klagen zum Schutz ihrer Persönlichkeit anheben). Vor allem die ausgebauten Strafsanktionen werden dazu führen, dass der Datenschutz-Compliance bei schweizerischen Unternehmen künftig (noch) mehr Beachtung geschenkt werden muss.
Fazit
Der Vorentwurf befindet sich derzeit im Vernehmlassungsverfahren (bis 4. April 2017). Es ist davon auszugehen, dass die Vorlage bis zur Inkraftsetzung noch bedeutende Änderungen erfahren wird. Die Rechtskommission von swissICT befasst sich aktuell mit dem VE-DSG hinsichtlich der Punkte, die für die Mitglieder der swissICT von generellem Interesse sind. swissICT plant entsprechend, eine Vernehmlassung zum VE-DSG einzureichen. Unternehmen, auf welche auch die DSGVO anwendbar ist, werden versuchen, mit ähnlichen Prozessen die Voraussetzungen sowohl der DSGVO wie auch des künftigen DSG zu erfüllen. Insgesamt wird die Einhaltung der verschiedenen datenschutzrechtlichen Voraussetzungen mit nicht zu unterschätzendem Aufwand und beträchtlichem zeitlichem Vorlauf verbunden sein. Es lohnt sich daher für betroffene Unternehmen, sich frühzeitig mit den neuen datenschutzrechtlichen Anforderungen auseinanderzusetzen und eine interne oder externe Kompetenzperson in datenschutzrechtlichen Fragen zu etablieren.
Ihre Meinung zum DSG
swissICT plant, eine Stellungnahme im Rahmen der Vernehmlassung zum
neuen Datenschutzgesetz einzureichen. swissICT Mitglieder haben die Möglichkeit, Ihre Überlegungen, Bedenken und Wünsche zum Datenschutzgesetz zu Handen der swissICT-Rechtskommission bis spätestens 17. Februar 2017 mit dem Betreff «DSG» an info@anti-clutterswissict.ch zu schicken. Update vom 1.3.2017: Die Eingaben werden zurzeit ausgewertet. Wir halten Sie auf dem Laufenden.
Carmen De la Cruz und Roland Mathys sind für die Rechtskommission von swissICT aktiv engagiert.
Dieser Text erschien erstmals im swissICT Magazin 01/02 2017.