Neue Anforderungen an Unternehmen durch das revidierte Datenschutzgesetz

Die erste Änderung des neuen Datenschutzgesetzes (nDSG) befindet sich bereits in Artikel 1 in welchem der Zweck des Gesetzes auf den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen einschränkt wird. Juristische Personen fallen nicht mehr unter den Schutz des Datenschutzgesetzes. Dies bedeutet insbesondere für KMUs eine bedeutende Einschränkung ihrer Möglichkeiten, da sie das Instrument des Auskunftsrechts nicht mehr nutzen und Datenschutzverletzungen nicht mehr so einfach gerichtlich ahnden lassen können wie bisher. Eine weitere wichtige Änderung besteht in der Einführung des Auswirkungsprinzips (Art. 3 Abs. 1 nDSG). Damit sind auch Datenbearbeitungen im Ausland vom Datenschutzgesetz umfasst, wenn sie sich auf die Schweiz auswirken.

Ebenso auffällig ist, dass das nDSG von 39 Artikel auf 74 Artikel angewachsen ist. Auch die einzelnen Artikel umfassen heute bedeutend mehr Text als dies im derzeit noch geltenden Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) der Fall ist. Damit hat die Regelungsdichte im neuen Datenschutzgesetz erheblich zugenommen. Dies hat dahingehend auch Vorteile, dass aus dem Gesetz selbst nun besser herausgelesen werden kann, was zu tun und zu unterlassen ist.

Allgemeine Datenschutzgrundsätze

Auch das nDSG unterscheidet zwischen Personendaten und besonders schützenswerten Personendaten, für deren Bearbeitung erhöhte Anforderungen gelten. Neu gehören zu den besonders schützenswerten Daten genetische und biometrische Daten (Art. 5 Bst. c nDSG). Bisher waren solche Daten nur soweit umfasst, wie sie Auskunft über die Gesundheit oder die Zugehörigkeit zu einer Rasse gegeben haben.

Ebenfalls neu eingeführt wurde der Begriff des Profiling (mit und ohne hohem Risiko; Art. 5 Bst. f und g DSG), welcher den früheren Begriff des Persönlichkeitsprofils ersetzt, wobei beide Begriffe nicht ganz deckungsgleich sind.

Neu eingeführt wurde auch der Begriff des Verantwortlichen (Art. 5 Bst. j DSG). Der Verantwortliche ist die (natürliche oder juristische) private Person oder des Bundesorgans, die oder das alleine oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet.

Eine wichtige Neuerung für die Datenbearbeitung ist, dass eine ausdrückliche Einwilligung nicht nur bei der Bearbeitung von besonders schützenswerten Personendaten sondern auch bei einem Profiling mit hohem Risiko durch eine private Person, eingeholt werden muss.

Auch was die Datenbearbeitung anbelangt so wird neu verlangt, dass die Planung und technische Ausgestaltung des Systems hinsichtlich des Stands der Technik, dem Umfang der Bearbeitung und dem mit der Bearbeitung einhergehenden Datenschutzrisiko angemessen ist (Art. 7 Abs. 2 nDSG). Wie dies umzusetzen ist, wird sich erst in der Praxis des EDÖB zeigen. Zudem müssen datenschutzfreundliche Voreinstellungen getroffen werden, so dass sich die Datenbearbeitung auf ein Mindestmass reduziert, wenn die betroffene Person nicht etwas anderes bestimmt. Die Umsetzung einer entsprechenden Norm in der EU ist für Anwender bei den Einstellungen für Cookies auf Webseiten ersichtlich, welche akzeptiert werden müssen und wo man entsprechende Einstellungen tätigen kann.

Auch wurde der Begriff der Datenschutzberaterin oder des -beraters aufgenommen, der den bisher eher missverständlichen Begriff des Datenschutzverantwortlichen ersetzt. Eine Pflicht für Private zur Anmeldung einer Datensammlung besteht nicht mehr. Diese wurde für Privatpersonen vielmehr durch die Pflicht ein Verzeichnis der Bearbeitungstätigkeiten zu führen ersetzt (Art. 12 nDSG). Ebenfalls eingeführt wurden erweiterte Pflichten für private Datenbearbeiter mit Sitz oder Wohnsitz im Ausland (Art. 14 nDSG).

Bei der Bekanntgabe von Personendaten ins Ausland müssen, wenn der Bundesrat kein angemessenes Schutzniveau festgestellt hat, entsprechende Garantien vom Datenbearbeiter gewährleistet und dem EDÖB vorgängig mitgeteilt werden (Art. 16 Abs. 2 Bst. b-e nDSG). Dies bedeutet für Bearbeiter, die Daten in ein Land ohne ausreichendes Schutzniveau transferieren, dass sie Garantien ausarbeiten und dem EDÖB vorgängig vorlegen müssen. Die Ausnahme der Einwilligung im Einzelfall ist nur noch möglich, wenn diese ausdrücklich erfolgt (Art. 17 Abs. 1 Bst. b nDSG).

Pflichten für Datenbearbeiter

Explizit geregelt werden im neuen Datenschutzgesetz verschiedene Pflichten, die ein Datenbearbeiter zu berücksichtigen hat. Die bisher nur für besonders schützenswerte Personendaten und Persönlichkeitsprofile geltenden Informationspflichten bei der Beschaffung von Personendaten wird neu auf sämtliche Personendaten ausgeweitet (Art. 19 Abs. 1 nDSG). Falls die Personendaten nicht bei der betroffenen Person beschafft werden, so sind die Informationspflichten (Art. 19 Abs. 2 bis 4 nDSG) spätestens einen Monat, nachdem der Bearbeiter die Daten erhalten hat, zu erfüllen (Art. 19 Abs. 5 nDSG).

Für automatisierte Einzelentscheidungen wurden ebenfalls besondere Informationspflichten in das nDSG aufgenommen. Zudem haben betroffene Personen die Möglichkeit, dass eine automatisierte Einzelentscheidung durch eine natürliche Person überprüft wird. Dies kann je nach Datenbearbeitung zu einem erheblichen Aufwand beim Datenbearbeiter führen.

Eine wichtige grundlegende Neuerung ist die Datenschutz-Folgeabschätzung (Art. 22 nDSG). Eine solche ist notwendig und vorgängig zu erstellen, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Das nDSG bezieht für die Risikobeurteilung auf der einen Seite die technologische Ausgestaltung sowie die Art, den Umfang, die Umstände und den Zweck der Bearbeitung und auf der anderen Seite die Sensibilität der Daten mit ein. Die eigentlich Risikoabschätzung bleibt aber insgesamt unklar und wird sich wohl erst in der Praxis des EDÖB herausbilden. Eine Datenschutz-Folgeabschätzung wird wohl immer dann notwendig sein, wenn eine Gesamtbeurteilung ein noch von der Praxis zu bestimmendes Schädigungspotenzial ergibt. Falls die Datenschutz-Folgeabschätzung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, ist vom EDÖB eine Stellungnahme einzuholen (Art. 23 nDSG). Damit sind für die Einholung einer Stellungnahme vom EDÖB nur die Risiken für die betroffenen Personen massgeblich. So kann für die Bearbeitung einer grossen Anzahl an weniger sensiblen Personendaten durchaus die Pflicht zu einer Datenschutz-Folgeabschätzung bestehen, die aber nicht notwendigerweise zur Pflicht der Einholung einer Stellungnahme beim EDÖB führt. Zur Sicherheit wird die Einholung einer Stellungnahme im Zweifelsfall dennoch empfohlen.

Neu müssen auch Verletzungen der Datensicherheit dem EDÖB gemeldet werden, wenn diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit und die Grundrechte der betroffenen Person führt (Art. 24 nDSG). Den Datenbearbeiter triff zudem eine Pflicht die betroffenen Personen zu informieren, wenn dies zu ihrem Schutz erforderlich ist oder der EDÖB dies verlangt (Art. 24 Abs. 4 nDSG). Es sind daher Massnahmen zu treffen, dass eine solche Information zeitnah erfolgen kann.

Auch wenn die Formulierung im Gesetz zum Auskunftsrecht leicht geändert wurde, so kann nach wie vor von einem alle bearbeiteten Personendaten umfassenden Auskunftsrecht Personen ausgegangen werden (Art. 25 nDSG). Neu besteht eine Pflicht auf Datenherausgabe oder -übertragung in elektronischer Form (Art. 28 nDSG), wenn Personendaten automatisch erarbeitet werden und diese mit der Einwilligung der betroffenen Person oder in Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages bearbeitet werden. Das Auskunftsrecht ist nach wie vor kostenlos.

Befugnisse des EDÖB

Durch das neue Datenschutzgesetz wird der EDÖB zu einer echten Untersuchungsbehörde, die immer dann tätig wird, wenn genügend Anzeichen vorliegen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstösst (Art. 49 nDSG). Grundsätzlich gilt für den EDÖB die Offizialmaxime, was bedeutet, dass er sämtlichen ihm bekannten Datenschutzverletzungen mit Ausnahme von Bagatellfällen nachgehen muss. Von einer Untersuchung betroffene Datenbearbeiter müssen Auskünfte erteilen und Unterlagen bereitstellen. Es besteht also eine weitreichende Mitwirkungspflicht. Der EDÖB kann auch Zwangsmassnahmen anordnen und Zeugen einvernehmen (Art. 50 nDSG). Neu kann der EDÖB direkt eine Reihe von Massnahmen anordnen, um einen datenschutzkonformen Zustand wieder herzustellen (Art. 51 nDSG). Diese Befugnisse gehen weit über die heute geltenden Möglichkeiten der Empfehlung und der Klage bei Nichtbefolgung der Empfehlung hinaus.

Sanktionen

Die bestehenden Strafbestimmungen werden im nDSG verschärft und sind mit Busse bis zu 250’000 Franken bedroht, wenn gegen die Informationspflichten bei der Beschaffung (Art. 19 nDSG), bei der automatisierten Einzelentscheidung (Art. 21 nDSG) und bei den Auskunftspflichten (Art. 25 – 27 nDSG) verstossen wird (Art. 60 nDSG). Ebenfalls mit Busse bis zu 250’000 Franken bedroht ist die Verletzung von Sorgfaltspflichten (Art. 61 nDSG), die Verletzung der beruflichen Schweigepflicht (Art. 62 nDSG) und die Missachtung von Verfügungen (Art. 63 nDSG).