Was ändert sich mit dem revidierten Datenschutzgesetz?

Neuer Geltungsbereich

Das revidierte Datenschutzgesetz beschränkt sich auf den Schutz der Daten natürlicher Personen und schliesst Daten juristischer Personen nicht mehr ein.

Erweiterung der besonders schützenswerten Daten und Aufnahme des Begriffs «Profiling»

Nach dem alten Gesetz sind die religiösen, weltanschaulichen, politischen und gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre, die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe sowie administrative oder strafrechtliche Verfolgungen und Sanktionen, geschützt. Mit dem revidierten Gesetz zählen auch biometrische Daten (Fingerabdruck, Augen-Iris-Scan) sowie Profiling-Daten als besonders schützenswerte Daten. «Profiling» bezeichnet die automatisierte Bearbeitung von Personendaten, um persönliche Aspekte einer natürlichen Person zu analysieren und vorherzusagen.

Berücksichtigung von «Privacy by Design» und «Privacy by Default» im Gesetz

Bei «Privacy by Design» werden von Anfang an datenschutzfreundliche Design- und Architekturprinzipien angewendet, um sicherzustellen, dass die Privatsphäre der Nutzenden geschützt ist. Ziel ist es, Datenschutzrisiken von vornherein zu minimieren. Mit «Privacy by Default» wird sichergestellt, dass bei der Entwicklung von Systemen und Anwendungen datenschutzfreundliche Einstellungen und Funktionen als Standard gelten. So ist die Privatsphäre von Nutzenden von Anfang an geschützt und sie können selbst aktiv entscheiden, ob sie mehr Daten preisgeben möchten.

Ausbau der Informationspflicht

Unternehmen müssen Betroffene vorzeitig über die Beschaffung ihrer Personendaten informieren. Dies gilt nicht mehr nur für «besonders schützenswerte» Daten, sondern für alle Personendaten. So können Betroffene ihre Rechte geltend machen. Das Unternehmen muss der betroffenen Person die Kategorien der bearbeiteten Personendaten mitteilen, sofern die Daten nicht direkt bei der betroffenen Person beschafft werden. Falls Daten ins Ausland übermittelt werden, muss das Unternehmen der betroffenen Person mitteilen, in welchen Staat oder an welches internationale Organ die Daten gesendet wurden. Um diese Informationspflicht zu erfüllen, können die Daten beispielsweise proaktiv und einfach zugänglich über die Unternehmenswebseite bereitgestellt werden.

Dokumentationspflicht

Unternehmen müssen nicht nur die Datensammlung dokumentieren, sondern zusätzlich ein Verzeichnis über die gesamten Datenbearbeitungsprozesse führen, das alle relevanten Informationen zu den bearbeiteten Personendaten enthält. Um dies zu tun, müssen die Identität des Verantwortlichen, der Bearbeitungszweck sowie die Kategorien der betroffenen Personen, die bearbeiteten Personendaten, Empfänger, Aufbewahrungsdauer und Massnahmen zur Gewährleistung der Datensicherheit angegeben werden. Falls die Daten ins Ausland übermittelt werden, müssen zudem der Staat und die Garantien zum Datenschutz angegeben werden.

Meldung bei Datensicherheitsverletzung

Verletzungen der Datensicherheit müssen unter gewissen Umständen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.

Datenschutz-Folgeabschätzung

Unternehmen müssen neu eine schriftliche Datenschutz-Folgenabschätzung erstellen, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen darstellt und kein Ausnahmegrund gegeben ist.

Verschärfung der Sanktionen

Bei Missachtung des Datenschutzrechts drohen Sanktionen und Bussen von bis zu 250 000 Franken. Der EDÖB kann ein Untersuchungsverfahren eröffnen und Verfügungen erlassen. Ausserdem sind auch zivilrechtliche Klagen möglich. Für die Sanktionsumsetzung sind die kantonalen Strafverfolgungsbehörden zuständig.

Wichtig

Bussen und Sanktionen richten sich gegen natürliche Personen (nicht gegen juristische Personen). Dazu zählen Führungspersonen wie CEO, CFO, aber auch Fachkräfte ohne Leitungsfunktion wie Datenschutzbeauftragte. Unternehmen können sich dagegen nicht versichern. Verletzt eine natürliche Person in einem Unternehmen das DSG, werden Sanktionen gegen diese Person ergriffen.

Hier geht es zum offiziellen Datenschutzgesetz: admin.ch