Aufrufe
vor 1 Woche

Netzwoche 02/2021

  • Text
  • Mitteilung
  • Microsoft
  • Zudem
  • Datenschutz
  • Digital
  • Huawei
  • Netzmedien
  • Schweiz
  • Schweizer
  • Unternehmen

18 Business Focus Das

18 Business Focus Das ist neu am revidierten Schweizer Datenschutzgesetz Das Parlament hat das totalrevidierte Schweizer Datenschutzgesetz (DSG) am 25. September 2020 angenommen – nach diversen Schwierigkeiten. Das DSG bringt einige Neuerungen mit sich, die bei Missachtung auch Bussen nach sich ziehen können. DER AUTOR Reto Fanger Rechtsanwalt und Gründer Advokatur Fanger Das totalrevidierte Schweizer Datenschutzgesetz (DSG) hat – nach einer problematischen Schwangerschaft und trotz Zangengeburt – mit seiner Annahme durch das Schweizer Parlament am 25. September 2020 ohne weitere Komplikationen und in bester Gesundheit das Licht der Welt erblickt. Nachdem die 100-tägige Referendumsfrist ungenutzt verstrichen ist, wird der Bundesrat nun den Termin des Inkrafttretens des revidierten DSG festlegen. Es ist nicht davon auszugehen, dass das neue Gesetz vor 2022 in Kraft tritt. Grund und Ziele der Revision Das revidierte Datenschutzgesetz ersetzt den zurzeit noch geltenden Vorgängererlass aus dem Jahre 1992. Dieser war aufgrund der seither erfolgten rasanten gesellschaftlichen und technologischen Entwicklung ziemlich in die Jahre gekommen, gibt es doch Google seit 1998 oder Facebook seit 2004, während das erste iPhone 2007 das Licht der Welt erblickte. Zusätzlich unter Druck geraten war das aktuelle Schweizer Datenschutzgesetz auch durch neuere Datenschutzerlasse, wie der seit 25. Mai 2018 anwendbaren EU- Datenschutzgrundverordnung (DSGVO) – mit Geltung seit dem 20. Juli 2018 zudem auf den gesamten Europäischen Wirtschaftsraum (EWR) und damit neben den EU-Mitgliedstaaten auch auf Liechtenstein, Island sowie Norwegen. So mussten die Schweizer Unternehmen befürchten, dass der Datenaustausch von Personendaten mit der EU beziehungsweise dem EWR künftig nicht mehr deren Anforderungen an den Datenschutz genügt hätte (sog. Angemessenheitsbeschluss). Die zuständige EU-Kommission, die bereits im Mai 2020 turnusgemäss wieder über die Angemessenheit der Schweizer Datenschutzgesetzgebung hätte entscheiden müssen, war aber gnädig genug, diesen Entscheid seither mehrfach zu verschieben – zuletzt mit unbestimmter Frist. Somit lässt sich erhoffen, dass das revidierte DSG künftig den europäischen Anforderungen genügen wird und die Schweizer Unternehmen nicht gezwungen sein werden, mit allen ihren Datenaustauschpartnern in der EU beziehungsweise im EWR jeweils einzeln Verträge über diesen Datenaustausch abschliessen zu müssen. Entsprechend diesen Vorgaben waren für das revidierte Datenschutzrecht (revDSG) folgende vier Aspekte zentral: ·· Erhöhung der Transparenz (Information über Datenbearbeitungen) und Stärkung der Rechte der betroffenen Personen ·· Förderung der Prävention und der Eigenverantwortung der Datenbearbeiter ·· Stärkung der Datenschutzaufsicht (durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB) ·· Ausbau der Strafbestimmungen Wichtigste Neuerungen der Revision Gegenüber dem geltenden Recht hat dies zu folgenden wichtigsten Neuerungen geführt: ·· Kein Schutz mehr von Daten juristischer Personen: Künftig werden lediglich noch natürlich Personen geschützt werden, während sich die juristischen Personen (z.B. AG, GmbH etc.) für ihren Schutz nicht mehr auf das revDSG berufen können. Ihnen verbleibt der Schutz durch das Firmenrecht sowie weitere bestehende Bestimmungen der Rechtsordnung (z.B. Persönlichkeitsschutz nach ZGB, UWG). ·· Besonders schützenswerte Personendaten: Die Auflistung der besonders schützenswerten Personendaten wird um genetische Daten sowie um biometrische Daten (z.B. Fingerabdruck oder Retina-Scan) erweitert. Somit gelten auch hier künftig qualifizierte Rechtsfolgen, beispielsweise bei der Einwilligung, der Datenschutz-Folgenabschätzung oder der Datenbekanntgabe an Dritte. ·· Profiling und Profiling mit hohem Risiko: Profiling ist jede Art der automatisierten Bearbeitung von Personendaten, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Profiling mit hohem Risiko liegt dann vor, wenn Personendaten automatisiert bearbeitet werden und eine Verknüpfung von Daten die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Bei Profiling mit hohem Risiko muss eine allenfalls erforderliche Einwilligung ausdrücklich erfolgen. 02 / 2021 www.netzwoche.ch © netzmedien ag

XXXXXXXXXXX XXXXXXXXXXXX 19 Bild: fotomek / AdobeStock ·· Auftragsbearbeiter: Das Auftragsbearbeitungsverhältnis (Outsourcing, z.B. in die Cloud) kann durch Vertrag oder Gesetz begründet werden. Der Auftragsbearbeiter hat die Daten gleich zu bearbeiten wie der Verantwortliche. Der Verantwortliche hat sich dabei zu vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Die Übertragung an einen Unterauftragnehmer bedarf der vorgängigen Genehmigung des Verantwortlichen. ·· Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Der Verantwortliche muss die Datenbearbeitung ab der Planung so gestalten, dass die Datenschutzvorschriften und insbesondere die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Weiter müssen die Voreinstellungen so eingestellt sein, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck notwendige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Privacy by Default). ·· Erweiterung der Informationspflichten: Betroffenen Personen müssen bei der Beschaffung von Personendaten folgende Mindestanforderungen mitgeteilt werden: Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck, etwaige Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekannt gegeben werden sowie bei Bekanntgabe ins Ausland zusätzlich auch der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten. ·· Ausbau der Auskunftspflichten: Betroffene Personen haben neu Anspruch auf jede Information, die für sie erforderlich ist, um ihre Rechte nach dem revDSG geltend zu machen. Die Auskunft ist daher nicht auf die abschliessend definierten Mindestinformationen beschränkt. ·· Recht auf Datenübertragbarkeit: Mit dem Recht auf Datenherausgabe und Datenübertragung (Datenportabilität) kann die betroffene Person kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten beziehungsweise deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen. ·· Automatisierte Einzelfallentscheidung: Der Verantwortliche muss die betroffene Person über eine Entscheidung informieren, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Die betroffene Person muss dabei die Möglichkeit haben, ihren Standpunkt darzulegen und kann verlangen, dass die Entscheidung von einer natürlichen Person geprüft wird. ·· Datenschutz-Folgenabschätzung: Weiter ist der Verantwortliche verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Dabei sind die geplante Bearbeitung, www.netzwoche.ch © netzmedien ag 02 / 2021

Archiv