Öffentliches Recht
Am 31. August 2022 hat der Bundesrat entschieden, dass das totalrevidierte Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutz verordnung (DSV) und der neuen Verordnung über die Datenschutzzertifizierungen (VDSZ) am 1. September 2023 in Kraft treten.[1]
Die Revision der im Jahr 1992 in Kraft getretenen Daten- schutzgesetzgebung war notwendig, um der technologischen Entwicklung und der digitalen Transformation der Gesellschaft gerecht zu werden. Die neuen Bestimmungen stellen insbesondere die Vereinbarkeit mit dem europäischen Recht sicher. In diesem Zusammenhang ist es wichtig, zu wissen, was sich ändert und was es folglich zu tun gilt.
Geltungsbereich/Begrifflichkeiten
Gemäss Art. 1 nDSG[2] bezweckt das Datenschutzgesetz den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden. Personendaten im Sinne des nDSG sind gemäss Art. 5 lit. a nDSG alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Im Gegensatz zum aktuellen DSG werden juristische Personen nicht mehr durch den sachlichen Geltungsbereich des nDSG erfasst.
Sodann wird die bisherige Definition der sog. besonders schützenswerten Personendaten gemäss Art. 5 lit. c nDSG um die genetischen Daten (Ziff. 3) sowie um die biometrischen Daten, die eine natürliche Person eindeutig identifizieren (Ziff. 4), erweitert.
Zudem unterscheidet das nDSG anlaog der Datenschutz-Grundverordnung (DSGVO) und der aktuellen Praxis nun explizit zwischen den Personen des «Verantwortlichen» und des «Auftragsbearbeitenden». An gesetzlich normierten Anforderungen an die Verträge zur Auftragsbearbeitung mangelt es. Folge dessen sind DSGVO-konforme Verträge mit dem nDSG kongruent.
Weiter führt das nDSG die Begrifflichkeiten des sog. Profiling (Art. 5 lit. f nDSG) und des Profiling mit hohem Risiko (Art. 5 lit. g nDSG) ein.
Das nDSG verpflichtet die Verantwortlichen die Bearbeitungsgrundsätze des nDSG (Art. 6 nDSG) bereits ab der Planung entsprechender Datenbearbeitungsvorhaben umzusetzen, indem die Datenbearbeitung technisch und organisatorisch so ausgestaltet werden muss, dass die Datenschutzvorschriften eingehalten werden. Sodann ist der Verantwortliche «Rechtsbrief» November 2022 verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck notwendige Mindestmass beschränkt ist. Diese Massnahmen sollen es ermöglichen, Verletzungen der Datensicherheit von vornherein zu vermeiden.[6]
Im Gegensatz zum aktuell geltenden DSG werden durch das nDSG auch private Verantwortliche zur Erstellung einer vorgängigen Datenschutz-Folgenabschätzung verpflichtet, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann.[7] Ein hohes Risiko besteht gemäss Art. 22 Abs. 2 nDSG insbesondere bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten und wenn systematisch umfangreiche öffentliche Bereiche überwacht werden. Das nDSG sieht Ausnahmen vor, wann von der Erstellung einer Datenschutz-Folgenabschätzung abgesehen werden kann (Art. 22 Abs. 4 und 5 nDSG). Ist aus einer Datenschutz-Folgenabschätzung erkennbar, dass die geplante Bearbeitung trotz den vom Verantwortlichen vorgesehenen Massnahmen ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen zur Folge hätte, muss dieser nach Art. 23 nDSG vorgängig eine Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (hiernach: EDÖB) einholen.
Unabhängig davon, ob eine Datenschutz-Folgenabschätzung aufgrund der Art der Datenbearbeitungen erforderlich ist oder nicht, haben die Verantwortlichen und die Auftrags- bearbeiter gemäss Art. 12 Abs. 2 bzw. Abs. 3 nDSG je ein Verzeichnis ihrer Bearbeitungstätigkeiten zu führen. In Zusammenhang mit dieser Verpflichtung gilt es jedoch die Ausnahmeregelung gemäss Art. 12 Abs. 5 nDSG i.V.m. Art. 24 nDSV zu berücksichtigen, wonach Unternehmen und andere privatrechtliche Organisationen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen von der Pflicht befreit sind, ein Verzeichnis der Bearbeitungstätigkeiten zu führen, ausser es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet oder ein Profiling mit hohem Risiko durchgeführt.
Die Informationspflichten des für die Datenbearbeitung Verantwortlichen werden erweitert. So hat der für die Datenbearbeitung Verantwortliche der betroffenen Person neu mindestens die Identität und die Kontaktdaten des Verantwortlichen, den Bearbeitungszweck und gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekannt gegeben werden, mitzuteilen. Mitzuteilen sind grundsätzlich diejenigen Informationen, die erforderlich sind, damit die betroffene Person ihre Rechte nach der revidierten Datenschutzgesetzgebung geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.[8] Von diesen erweiterten Informations- und Auskunftspflichten sind gemäss Art. 20 nDSG Ausnahmen möglich. Sodann regelt die Datenschutzgesetzgebung neu in Art. 21 nDSG auch die Informationspflicht bei automatisierten Einzelentscheidungen.[9] Bei der Bekanntgabe von Personendaten ins Ausland sind zusätzliche Informations- und Auskunftspflichten zu erfüllen.[10] Weiter führt das nDSG ein der betroffenen Person grundsätzlich zustehendes Recht auf Datenportabilität ein. Jede betroffene Person kann vom Verantwortlichen kostenlos die Herausgabe ihrer Personendaten, die sie ihm bekannt gegeben hat, in einem gängigen elektronischen Format verlangen, wenn der Verantwortliche die Daten automatisiert bearbeitet und die Daten mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages zwischen dem Verantwortlichen und der betroffenen Person bearbeitet werden.[11]
Erstmals führt das nDSG eine Meldepflicht für Verletzungen der Datensicherheit ein. Gemäss Art. 24 Abs. 1 nDSG hat der Verantwortliche dem EDÖB eine Verletzung der Daten- sicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, so rasch als möglich zu melden. Gleichermassen ist ein Auftragsbearbeiter gemäss Art. 24 Abs. 3 nDSG verpflichtet, eine Verletzung der Datensicherheit so rasch als möglich dem Verantwortlichen zu melden. In der Meldung an den EDÖB sind mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen und vorgesehenen Massnahmen zu nennen (Art. 24 Abs. 2 nDSG). Wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt, hat der Verantwortliche zudem die betroffene Person zu informieren (Art. 24 Abs. 4 nDSG).
Gemäss Art. 49 ff. nDSG ist der EDÖB anders als bisher neu befugt, von Amtes wegen oder auf Anzeige hin gegen Bundesorgane oder private Personen Untersuchungen durchzuführen und Beweise zu erheben. Weiter wird dem EDÖB neu Verfügungskompetenz eingeräumt. Die Strafbestimmungen des nDSG sehen im Gegensatz zu den Strafbestimmungen des aktuellen DSG verschärfte Bussen bis zu 250 000 Franken vor.[12]
Bisher waren Bundesorgane und private Personen unter bestimmten Voraussetzungen dazu verpflichtet, Datensammlungen anzumelden. Mit der Totalrevision der Datenschutz- gesetzgebung entfällt diese Pflicht.
Klärung des Handlungsbedarfs: Zu klären gilt es, welche durch den sachlichen Anwendungsbereich der neuen Datenschutzgesetzgebung erfassten Datenbearbeitungen im betreffenden Unternehmen überhaupt erfolgen und welche gesetzlichen Grundlagen diesbezüglich sachlich, örtlich und zeitlich anwendbar sind.
Gerne stehen wir Ihnen für allfällige weitere Auskünfte sowie die Vornahme aller notwendigen Rechtsvorkehren zur Verfügung. Eine Vorlage einer an das nDSG angepassten Datenschutzerklärung wird im Laufe des Jahres 2023 auf unserer Website aufgeschaltet werden (www.lw-p.ch).
Fussnoten
Vgl. Medienmitteilung vom 31. August 2022, Neues Datenschutzrecht ab 1. September 2023 (admin.ch).
BBl 2020 7639 – Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) (admin.ch).
Bearbeiten gemäss Art. 5 lit. d nDSG: Davon erfasst wird jeder Umgang mitaPersonendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.
Datenschutz durch Technik.
Datenschutz durch datenschutzfreundliche Voreinstellungen.
Vgl. zum Ganzen: Art. 7 ff. nDSG.
Vgl. zum Ganzen: Art. 22 nDSG.
Vgl. zum Ganzen: Art. 19 nDSG.
Automatisierte Einzelentscheidungen gemäss Art. 21 Abs. 1 nDSG: Hierbei handelt es sich um eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt.
Vgl. Art. 16 ff. nDSG und Art. 19 Abs. 4 nDSG.
Vgl. Art. 28 nDSG.
Vgl. Art. 60 ff. nDSG.