Recht

Revision Datenschutzgesetz

Anpassung an die EU-Datenschutz-Grundverordnung

Die Revision des Datenschutzgesetzes ist beschlossen und wird möglicherweise noch in diesem Jahr in Kraft treten. Damit wird das Datenschutzrecht dem EU-Recht angepasst. Der Beitrag führt auf, welche Änderungen damit verbunden sind.
PDF Kaufen

Am 25. September 2020 wurde eine umfassende Revision des Datenschutzgesetzes von National- und Ständerat beschlossen. Man hat das Datenschutzrecht den neuen Entwicklungen und dem EU-Recht angepasst, wo seit Mai 2018 die Datenschutz-Grundverordnung (EU 2016/679) gilt. Der Bundesrat bestimmt das Inkrafttreten, der Zeitpunkt ist noch ungewiss, möglicherweise schon 2021. 

Grundlegende Regeln

Die Totalrevision des DSG soll der Schweiz ermöglichen, das revidierte Datenschutzübereinkommen SEV 108 des Europarats zu ratifizieren sowie die Richtlinie (EU) 680/2016 über den Datenschutz im Bereich der Strafverfolgung zu übernehmen, wozu sie aufgrund des Schengen-Abkommens verpflichtet ist. Die Ratifizierung des revidierten Übereinkommens SEV 108 ist wichtig da­für, dass die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung möglich bleibt.

Wie nach altem Recht gelten grundlegende Regeln (DSG Art. 6):

  • Personendaten müssen rechtmässig, verhältnismässig und nach Treu und Glauben bearbeitet werden.
  • Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden. Die Daten werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
  • Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern und alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind.
  • Die Verantwortlichen sind verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden. Die Massnahmen müssen dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko entsprechen.

Pflichten der Verantwortlichen

Als Verantwortliche gelten private Personen oder Bundesorgane, die allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung ent­scheiden (DSG Art. 5). Die Verantwortlichen können einen Datenschutzberater er­nennen (DSG Art. 10). Dieser ist Anlaufstelle für die betroffenen Personen und für die Behörden, die in der Schweiz für den Datenschutz zuständig sind. Er organisiert die Schulung und Beratung der Verantwortlichen in Fragen des Datenschutzes und unterstützt die Verantwortlichen bei der Anwendung der Datenschutzvorschriften.

Die Verantwortlichen und Auftragsbearbeiter führen ein Verzeichnis ihrer Bearbeitungstätigkeiten (DSG Art. 12). Dieses enthält unter anderem Angaben über die Identität des Verantwortlichen, den Bearbeitungszweck und Kategorien betroffener Personen und Empfänger der Daten. Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Angestellte beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.

Bei einer Bearbeitung durch Auftrags­bearbeiter muss der Verantwortliche darauf achten, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten (DSG Art. 9). Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.

Berufs-, Branchen- und Wirtschaftsverbände, die nach ihren Statuten zur Wahrung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind, sowie Bundesorgane können dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einen Verhaltenskodex vorlegen (DSB Art. 11). Einen Verhaltenskodex in Bezug auf Datenschutz haben bisher verschiedene Unternehmen. Ziel des Verhaltenskodex ist es, für alle Mitarbeiter verbindliche Verhaltensstandards in Bezug auf Datenschutz festzulegen.

Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft, die vorsätzlich bestimmte Sorgfaltspflichten oder die berufliche Schweigepflicht verletzen (DSG Art. 61 und 62). Für die Verfolgung und die Beurteilung strafbarer Handlungen sind die Kantone zuständig (Art. 65 DSG).

Daten im Ausland

Private Verantwortliche mit Sitz oder Wohnsitz im Ausland bezeichnen eine Vertretung in der Schweiz, wenn sie Personendaten von Personen in der Schweiz bearbeiten und die Bearbeitung im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz steht und die Bearbeitung umfangreich und regelmässig ist (DSG Art. 14). 

Personendaten dürfen ins Ausland bekannt gegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet (DSG Art. 16). Ausnahmeregelungen gibt es, z.B. wenn die betroffene Person ausdrücklich in die Bekanntgabe der Daten ins Ausland einwilligt oder diese in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht (DSG Art. 17). Werden Personendaten zur Information der Öffentlichkeit mittels automatisierter Informations- und Kommunikationsdienste allgemein zugänglich gemacht, so gilt dies nicht als Bekanntgabe ins Ausland, auch wenn die Daten vom Ausland aus zugänglich sind (DSG Art. 18). 

Wichtig: Der EuGH hat mit seinem Urteil vom 16. Juli 2020 den Privacy-Shield-Beschluss 2016/1250 für ungenügend und deshalb für ungültig erklärt. Privacy Shield war ein Übereinkommen zum Datenschutz zwischen der Europäischen Union und den USA. Darin wurde der Schutz personenbezogener Daten festgeschrieben, die aus einem Mitgliedstaat der Europäischen Union in die USA übertragen werden.

Informationsrecht präzisiert

Das Informationsrecht und das Auskunftsrecht wurden präzisiert (DSG Art. 19–21, Art. 25–29). Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden, und erhält die Informationen, mit denen sie ihre Rechte nach DSG geltend machen kann, sodass eine transparente Datenbearbeitung gewährleistet ist (DSG Art. 25). Personendaten über die Gesundheit können der betroffenen Person mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden. Niemand kann im Voraus auf das Auskunftsrecht verzichten. Der Verantwortliche muss kostenlos Auskunft er­teilen. Der Bundesrat kann Ausnahmen vorsehen, namentlich wenn der Aufwand unverhältnismäs­sig ist. 

Weiter haben betroffene Personen folgende Rechte:

  • Der Verantwortliche teilt den betroffenen Personen bei der Beschaffung die Informationen mit, die sie brauchen, um ihre Rechte nach DSG geltend zu machen (DSG Art. 19), also mindestens die Identität und die Kontaktdaten des Verantwortlichen, den Bearbeitungszweck und wenn nötig die Empfänger der Daten. Werden die Daten nicht bei der betroffenen Person beschafft, muss man die Betroffenen über die Kategorien der bearbeiteten Personendaten informieren. 
  • Der Verantwortliche informiert die betroffene Person über eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt (automatisierte Einzelentscheidung). Die betroffene Person muss die Möglichkeit haben, auf Antrag ihren Standpunkt darzulegen. Die betroffene Person kann verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird (DSG Art. 21). 
  • Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt (DSG Art. 24).

Jede Person kann vom Verantwortlichen die Personendaten, die sie ihm bekannt gegeben hat, in einem gängigen elek­tronischen Format verlangen, wenn der Verantwortliche die Daten automatisiert bearbeitet und die Daten mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit einem Vertrag bearbeitet werden (DSG Art. 28). Man kann zudem vom Verantwortlichen verlangen, dass er Personendaten einem anderen Verantwortlichen überträgt, sofern dies keinen unverhältnismässigen Aufwand erfordert. Der Verantwortliche muss die Personendaten kostenlos herausgeben oder übertragen. 

Der Verantwortliche kann die Auskunft oder auch die Herausgabe der Daten verweigern, einschränken oder auf­schieben, (DSG Art. 26, Art. 29), vor allem wenn:

  • ein Gesetz im formellen Sinn dies vorsieht, namentlich um ein Berufsgeheimnis zu schützen
  • dies aufgrund überwiegender Interessen Dritter erforderlich ist
  • das Auskunftsgesuch offensichtlich unbegründet ist, namentlich wenn es einen datenschutzwidrigen Zweck verfolgt oder offensichtlich querulatorisch ist.

Persönlichkeitsverletzungen

Wer Personendaten bearbeitet, darf die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen (DSG Art. 30). Das wäre dann der Fall, wenn Grundsätze des DSG nicht beachtet werden, Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden oder Dritten besonders schützenswerte Personendaten bekannt gegeben werden. Eine Persönlichkeitsverletzung gilt als widerrechtlich, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist (DSG Art. 31).

Ein überwiegendes Interesse des Verantwortlichen besteht gegenüber volljährigen Personen, wenn der Verantwortliche die Personendaten über einen Vertragspartner in unmittelbarem Zusammenhang mit einem Vertrag bearbeitet und/oder mit einer Person in wirtschaftlichem Wettbewerb steht. 

Personendaten zur Prüfung der Kreditwürdigkeit darf man sammeln, sofern es sich nicht um besonders schützenswerte Personendaten oder ein Profiling mit hohem Risiko handelt und die Daten nicht älter als zehn Jahre sind. Diese Daten darf man Dritten nur bekannt geben, wenn diese sie für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen.

Die betroffene Person kann verlangen, dass unrichtige Personendaten berichtigt werden (DSG Art. 32), ausser wenn eine gesetzliche Vorschrift die Änderung verbietet. Für Klagen zum Schutz der Persönlichkeit gelten die Artikel 28, 28a sowie 28g–28l ZGB. 

Die klagende Partei kann insbesondere verlangen, dass:

  • eine bestimmte Datenbearbeitung verboten wird
  • eine bestimmte Bekanntgabe von Personendaten an Dritte untersagt wird
  • Personendaten gelöscht oder vernichtet werden.

Folgenabschätzung ist Pflicht

Die Unternehmen müssen eine Datenschutz-Folgenabschätzung vornehmen, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann (DSG Art. 22). Das hohe Risiko ergibt sich zum Beispiel bei Ver­wendung neuer Technologien, bei der umfang­reichen Bearbeitung besonders schützenswerter Personendaten oder wenn systematisch umfangreiche öffentliche Be­reiche überwacht werden. 

Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen sowie die Massnahmen zum Schutz der Per­sönlichkeit und der Grundrechte.

Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind oder wenn sie ein zertifiziertes System (DSG Art. 13) verwenden oder
einen Verhaltenskodex befolgen. 

Die Datenschutz-Folgenabschätzung, abgekürzt DSFA, sollte folgende Elemente enthalten. Dabei kann man sich an Ar­-tikel 35 der Datenschutz-Grundverordnung der EU orientieren:

  • Systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschliesslich der von dem Verantwortlichen verfolgten berechtigten Interessen
  • Bewertung der Notwendigkeit und Verhältnismässigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
  • Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die zur Bewältigung der Risiken geplanten Abhilfemassnahmen 
  • Der Verantwortliche holt wenn nötig den Standpunkt der betroffenen Per­sonen oder ihrer Vertreter zu der be­absichtigten Verarbeitung ein. 
  • Bei Änderungen von Verarbeitungsvorgängen führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäss der DSFA durchgeführt wird.

Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz Sicherheitsmassnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so muss der Verantwortliche vorher die Stellungnahme des EDÖB einholen (DSG Art. 23).

Porträt