Datenschutz Neu Definiert – revDSG

Das neue revDSG wird im September 2023 in Kraft treten. Das bedeutet, dass die Unternehmen ihren Bestand an gesammelten Daten überprüfen und neu bewerten müssen.

Am 25. September 2020 hat das Schweizer Parlament das neue Datenschutzgesetz (DSG) – auch bekannt als „revDSG“ – verabschiedet. Diese neuen Vorschriften sollen bereits im September 2023 in Kraft treten. Hinter der Revision des DSG steht das Bestreben, den Datenschutz an die europäische Datenschutzgrundverordnung (DSGVO) anzugleichen. Das vollständig revidierte Datenschutzgesetz wird jedoch in einigen Punkten von der GDPR abweichen. In gewissen Punkten geht das revDSG auch über die GDPR hinaus und sieht eine strengere Regulierung des Datenschutzes vor als sein europäisches Pendant. Für Schweizer Unternehmen bedeutet dies, dass sie sich bis zum 01. September auf die neue Verordnung einstellen müssen. Lesen Sie, welche Änderungen auf die Unternehmen zukommen und wie sie mit dem strengeren Datenschutz umgehen können.

Der Hauptunterschied: Personenbezogene Daten im Mittelpunkt

Mit der Revision des Schweizer DSG werden zwei Ziele verfolgt. Zum einen soll es an die europaweit geltende DSGVO angeglichen werden. Damit soll sichergestellt werden, dass die Europäische Union das Schweizer Datenschutzrecht weiterhin als ausreichend anerkennt und der unkomplizierte Datenaustausch zwischen der EU und der Schweiz auch in Zukunft gewährleistet ist.

Andererseits soll das revDSG auch mit den rasanten Entwicklungen in Technik und Gesellschaft Schritt halten. Dazu gehören Fortschritte in den Bereichen Cloud Computing, Big Data, soziale Netzwerke und das Internet der Dinge (IoT).

Das revDSG zielt ausschließlich auf den Schutz personenbezogener Daten ab – also auf die Privatsphäre natürlicher Personen und nicht auf die von juristischen Personen wie GmbHs und AGs. Einen besonderen Schwerpunkt legt das revDSG auf personenbezogene Daten (PII).

Zu den besonders sensiblen Daten gehören künftig auch genetische und biometrische Daten, die zur eindeutigen Identifizierung einer natürlichen Person genutzt werden können, zum Beispiel mit Hilfe von Fingerabdruck- oder Netzhautscans.

Darüber hinaus werden auch das Profiling sowie das Profiling mit hohem Risiko neuen Regelungen unterworfen sein. Profiling in Bezug auf personenbezogene Daten bedeutet die automatisierte Verarbeitung von Daten zum Zweck der Bewertung bestimmter persönlicher Aspekte einer natürlichen Person. Beim risikoreichen Profiling hingegen werden Daten miteinander verknüpft, um eine Bewertung relevanter Aspekte einer Person zu ermöglichen. In diesem Fall muss die betroffene Person eine eindeutige Willenserklärung abgeben.

Eine weitere Entwicklung ist die Einführung von „Privacy by Design“ und „Privacy by Default“. Bei „Privacy by Design“ muss der für die Verarbeitung Verantwortliche die Datenverarbeitung bereits in der Produktplanungsphase so konfigurieren, dass die Datenschutzbestimmungen und Verarbeitungsgrundsätze eingehalten werden. Datenschutz durch Voreinstellung bedeutet, dass die Datenschutzeinstellungen eines Produkts standardmäßig so konfiguriert sein müssen, dass die Verarbeitung personenbezogener Daten beim Kauf des Produkts oder der Dienstleistung auf ein Mindestmaß beschränkt wird, sofern der Kunde nichts anderes angibt.

Auch die Informationspflicht wird ausgeweitet. Eine Person muss im Voraus informiert werden, wenn ihre Daten bearbeitet oder verarbeitet werden sollen. Dies gilt ab revDSG nicht mehr nur für so genannte besonders schützenswerte Daten. Wenn ein Risiko für die Persönlichkeit oder die Grundrechte einer Person besteht, müssen aussäendem auch Datenschutz-Folgeabschätzungen unternommen werden.

Auch die Auskunftspflicht wird ausgeweitet. Das bedeutet, dass Personen einen Anspruch darauf haben, alle Informationen zu erhalten, die sie benötigen, um ihre Rechte nach dem revDSG geltend zu machen. Ein Mindestmaß an Informationen reicht nicht mehr aus. Damit verbunden ist auch das Recht auf Datenübertragbarkeit. Personen können vom Datenverarbeiter verlangen, dass er ihre Daten herausgibt und sie unentgeltlich an einen Dritten übermittelt.

Meldung und Sanktionen bei Verstößen gegen den Datenschutz

Ein Unternehmen ist verpflichtet, den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDB) unverzüglich zu benachrichtigen, wenn ein Verstoß gegen den Datenschutz vorliegt, z. B. der Diebstahl von Daten durch Cyberkriminelle. Dies ist der Fall, wenn die Integrität und/oder die Grundrechte der Personen, deren Daten kompromittiert wurden, ernsthaft gefährdet sind. Wenn dies zu ihrem Schutz erforderlich ist, müssen auch die betroffenen Personen selbst benachrichtigt werden. Dies kann beispielsweise der Fall sein, wenn Anmeldedaten oder andere sensible Informationen entwendet wurden, wodurch der betroffenen Person möglicherweise ein persönlicher oder finanzieller Schaden entsteht.

Unternehmen, die sich nicht an die neuen Gesetze halten, riskieren erhebliche Geldstrafen. Bei vorsätzlicher Verletzung der Sorgfaltspflicht zum Schutz von Personendaten sowie der Informations- und Auskunftspflichten kann eine Busse von 250’000 Franken verhängt werden. Auch Leichtfertigkeit kann ein hinreichender Grund sein, um sich strafbar zu machen. In diesem Fall haben die für die Verarbeitung Verantwortlichen die Wahrscheinlichkeit eines Verstoßes gegen das Datenschutzrecht implizit anerkannt. Dies deutet darauf hin, dass CEOs und CIOs nach den Regeln des revDSG mit unmittelbaren Sanktionen rechnen müssen, im Gegensatz zur DSGVO, die den Unternehmen mehr Gewicht beimisst. Zuständig ist die zuständige kantonale Staatsanwaltschaft.

Darüber hinaus ist der EDÖB befugt, Verwaltungsmaßnahmen anzukündigen, die in Zukunft eingesetzt werden können, um Unternehmen zu verbieten, personenbezogene Daten zu verändern oder zu verarbeiten, und sie anzuweisen, bestimmte Datensätze zu löschen.

Verfahren für Betriebe

Bevor das neue Datenschutzgesetz (revDSG) in Kraft tritt, sollten Unternehmen eine Bestandsaufnahme ihrer Daten vornehmen, um einen Überblick über ihre personenbezogenen Daten zu erhalten. Außerdem können sie dann entscheiden, ob Maßnahmen zur Einhaltung der Datenschutzbestimmungen erforderlich sind. Je nach Dringlichkeit können dann Schritte unternommen werden, um Vertraulichkeit und Offenheit rechtzeitig vor dem Stichtag zu gewährleisten.

Es ist auch ratsam, ein Berechtigungs- und Datenschutzmanagement einzuführen. Die Unternehmen werden in der Lage sein, den Überblick über die gesammelten Daten und die Empfänger der Datenweitergabe zu behalten. Außerdem können die Unternehmen schnell und einfach feststellen, welche Nutzer beispielsweise ihre Zustimmung zur Datenverarbeitung widerrufen haben. Auf diese Weise werden Unternehmen keine Schwierigkeiten haben, die neuen Compliance-Vorschriften einzuhalten.