Aufrufe
vor 1 Woche

Netzwoche 02/2021

  • Text
  • Mitteilung
  • Microsoft
  • Zudem
  • Datenschutz
  • Digital
  • Huawei
  • Netzmedien
  • Schweiz
  • Schweizer
  • Unternehmen

20 Datensätze

20 Datensätze aufgefordert wird. Dabei verfügt der EDÖB neu über Verfügungsmacht, während er bisher nur unverbindliche Empfehlungen aussprechen durfte. Somit kann der EDÖB verbindliche Verfügungen erlassen, die durch betroffene Unternehmen gegebenenfalls vor Bundesverwaltungsgericht angefochten werden müssen. Ebenfalls nicht neu ist die Klage wegen Verletzung der Persönlichkeitsrechte nach den Art. 28 ff. ZGB, die von den Zivilgerichten zu beurteilen ist. Bild: VRD / Fotolia.com Den vollständigen Artikel finden Sie online www.netzwoche.ch die entstehenden Risiken sowie geeignete Massnahmen dagegen zu beschreiben. ·· Meldung von Verletzungen des Datenschutzes: Bei einer Datenschutzverletzung hat der Verantwortliche dem EDÖB so rasch wie möglich Meldung zu erstatten, wenn grosse Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen bestehen. Zudem müssen in der Regel auch die Betroffenen informiert werden, sofern dies zu ihrem Schutz erforderlich ist. Auch der Auftragsbearbeiter muss eine Verletzung der Datensicherheit so rasch als möglich dem Verantwortlichen melden, der dann die weiteren Schritte einzuleiten hat. ·· Sanktionen: Natürliche Personen können bei vorsätzlicher Verletzung der Informations- und Auskunftspflichten sowie der Sorgfaltspflichten neu mit Busse bis 250 000 Franken bestraft werden. Ausreichend ist der Eventualvorsatz, weshalb die Strafbarkeit bereits gegeben ist, wenn eine tatsächlich eingetretene Verletzung in Kauf genommen wurde. Dies führt dazu, dass – im Gegensatz zur DSGVO bei der lediglich Unternehmen oder Organisationen im Fokus stehen – nach dem revidierten DSG Verantwortliche im Unternehmen wie CEOs, CIOs oder andere Funktionen direkt sanktioniert werden können. Die Zuständigkeit liegt dabei bei den kantonalen Staatsanwaltschaften. Neben diesen zusätzlichen strafrechtlichen Sanktionen werden weiterhin verwaltungsrechtliche Massnahmen durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ausgesprochen werden können, indem beispielsweise die künftige Bearbeitung von bestimmten Personendaten einem Unternehmen untersagt werden kann oder es zur Löschung spezifischer Weiteres Vorgehen für Unternehmen Bis zum Inkrafttreten des revidierten DSG ist Unternehmen zu empfehlen, dass sie zunächst eine Bestandsaufnahme ihrer Datenbearbeitungen (Personendaten) durchführen, um anschliessend im Rahmen einer Gap- Analyse den datenschutzrechtlichen Handlungsbedarf festzustellen. Dieses Vorgehen ist zu empfehlen, auch wenn bereits DSGVO-Massnahmen im Unternehmen umgesetzt wurden, da gewisse Unterschiede beim revDSG zu berücksichtigen sind. Bei diesen Unterschieden handelt es sich nicht um eigentliche «Swiss Finishes», mit denen im Rahmen der parlamentarischen Diskussionsbestrebungen insbesondere Verschärfungen im Vergleich zur DSGVO beklagt wurden, sondern um durchaus pragmatische, leichte Abweichungen ·· bei den Informationspflichten (Anpassung Datenschutzerklärungen), ·· beim Auskunftsrecht, ·· bei den Auftrags(daten)bearbeitungsverträgen (ADV), ·· bei den Data Breach Notifications, ·· bei den Datenexporten sowie ·· den Dokumentationspflichten. Ausgehend vom Feststellungsergebnis können anschliessend die erforderlichen Massnahmen bestimmt, priorisiert und im Unternehmen projektspezifisch umgesetzt werden. Dabei ist zu beachten, dass Datenschutzcompliance keine Punktlandung bei 100 Prozent darstellt, die es zum Zeitpunkt XY zu erreichen gilt, sondern zu einem steten Prozess mit kontinuierlichen Verbesserungen führen soll. Um auch später allenfalls neu hinzukommende oder abgeänderte Datenbearbeitungen erfassen zu können, ist daher im Unternehmen ein Monitoring- und Reviewprozess aufzusetzen, damit zeitnah auf die entsprechend geänderte Situation reagiert werden kann. Parallel dazu sind die Mitarbeitenden aller Stufen auf die Datenschutzthematik zu sensibilisieren und zu schulen. Dies mit dem Ziel, dass sie sich nicht einer persönlichen Strafbarkeit aussetzen oder das Unternehmen nicht Gefahr läuft, eine der bereits erwähnten unternehmensspezifischen Sanktionen oder zusätzlich einen Reputationsschaden zu erleiden. 02 / 2021 www.netzwoche.ch © netzmedien ag

Business Nachgefragt 21 « Der Gesetzesentwurf ist eine pragmatische Lösung in Richtung DSGVO » Nach langem Gezänk im Parlament ist sie endlich durch: die Revision des Schweizer Datenschutzgesetzes. Was auf Schweizer Unternehmen zukommt und was das Gesetz von der europäischen Datenschutzverordnung unterscheidet, erklärt Reto Fanger, Rechtsanwalt und Partner bei Swiss Business Protection. Interview: Joël Orizet Das revidierte Datenschutzrecht (DSG) tritt voraussichtlich 2022 in Kraft. Wer hat bis dahin wohl am meisten Nachholbedarf – und warum? Reto Fanger: Den grössten Nachholbedarf haben Unternehmen, die bisher wenig bis keine Datenschutzmassnahmen umgesetzt haben. Das sind in der Regel Unternehmen, nicht der DSGVO unterstehen, beziehungsweise trotz deren Anwendbarkeit bewusst oder unbewusst auf Massnahmen verzichtet haben. « Meiner Meinung nach passt die Erlaubnis mit Verbotsvorbehalt besser zum schweizerischen Rechtssystem. » Reto Fanger, Rechtsanwalt und Partner, Swiss Business Protection Die Gesetzesrevision war eine Zangengeburt, wie Sie in Ihrem Fachbeitrag schreiben. Besonders umstritten war der Punkt bezüglich Profiling. Wie haben Sie diese Debatten erlebt? Die Debatten waren spannend zu verfolgen. Die Abgrenzung zwischen «Profiling» und «Profiling mit hohem Risiko» wird sich künftig in der Praxis herausbilden müssen. Was bedeutet Profiling «mit hohem Risiko» konkret? Das Profiling mit hohem Risiko erlaubt aufgrund einer Datenaggregierung die Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person, nimmt also den bisherigen Begriff des Persönlichkeitsprofils auf. Ist das «normale» Profiling, wie es im DSG nun beschrieben wird, aus Ihrer Sicht unbedenklich? Das Profiling ist die maschinelle Bewertung einer natürlichen Person – somit trifft ein Computer selbstständig einen Wertentscheid, basierend auf einer Analyse oder einer Vorhersage. Es ist vergleichsweise weniger bedenklich, als dabei kein Persönlichkeitsprofil erstellt wird, das zur Beurteilung wesentlicher Aspekte der Persönlichkeit führt. Bezüglich der Anforderungen an die Einwilligung der Nutzerinnen und Nutzer geht das DSG weniger weit als die EU-DSGVO. Sehen Sie das eher als Vorteil für den Wirtschaftsstandort Schweiz oder als Nachteil für die hiesigen Bürgerinnen und Bürger? Das schweizerische Datenschutzrecht hat für die private Bearbeitung von Personendaten bisher keine Einwilligung verlangt, sofern die Bearbeitungsgrundsätze eingehalten werden und ein etwaiger Widerspruch Betroffener beachtet wird (Erlaubnis mit Verbotsvorbehalt). Daran ändert sich auch künftig nichts. Dieses schweizerische Konzept steht im Gegensatz zur DSGVO, wo grundsätzlich jede Datenbearbeitung verboten ist, die nicht durch Einwilligung oder eine andere Rechtsgrundlage legitimiert werden kann (Verbot mit Erlaubnisvorbehalt). Meiner Meinung nach passt die Erlaubnis mit Verbotsvorbehalt besser zum schweizerischen Rechtssystem. Die EU-Kommission muss noch entscheiden, ob sie den Datenschutz in der Schweiz als gleichwertig anerkennt. Wie hoch stehen die Chancen für ein Okay aus Brüssel? Mit dem nun vorliegenden Gesetzesentwurf liegen die Chancen meines Erachtens gut. Es handelt sich um eine pragmatische Lösung in Richtung DSGVO, ohne deren Anforderungen in allen Bereichen vollumfänglich abzudecken. Verlangt ist denn auch nicht die Gleichheit des Datenschutzniveaus, sondern dessen Gleichwertigkeit. Falls der Entscheid über die Datenäquivalenz negativ ausfallen würde: Was wären die Konsequenzen für die Schweiz? Für diesen Fall würde der grenzüberschreitende Datenaustausch mit Europa sehr viel aufwändiger, es bräuchte Standardvertragsklauseln oder einzelvertragliche Regelungen. Der administrative Aufwand der Unternehmen würde massiv steigen. Das Interview finden Sie auch online www.netzwoche.ch www.netzwoche.ch © netzmedien ag 02 / 2021

Archiv