So machen Sie ihr Unternehmen fit für den Datenschutz

Der Hintergrund

Nach jahrelangen Debatten ist nun sicher, dass die neuen Bestimmungen des DSG bald greifen werden. Auch wenn das DSG sein bisheriges Konstrukt weiterhin behält, wurden viele Bestimmungen erneuert und erweitert. Das betrifft insbesondere Themenpunkte, die den Austausch von personenbezogenen Daten betreffen. Einige Bestimmungen wurden dabei inhaltlich stark an die europäische DSGVO angelehnt. 

Mit den Neuerungen sollen primär die Persönlichkeits- und Grundrechte natürlicher Personen in stärkerem Masse geschützt werden. Zudem wurden mit übergreifenden Rechtsbestimmungen Weichen gestellt, die den Geschäftsverkehr zwischen Firmen aus der Schweiz und der EU zu gewissen Teilen vereinheitlichen und vereinfachen könnten. Hierbei gibt es jedoch umfangreiche Spezifikationen und Ausnahmen zu beachten. 

Wir möchten mit dem folgenden Text ein wenig Licht ins Dunkel der neuen Gesetzeslage bringen und Ihnen einige der wichtigsten Änderungen innerhalb des DSG-neu erläutern, die Sie kennen sollten. Bitte beachten Sie jedoch, dass bei grenzüberschreitenden Geschäftstätigkeiten mit EU-Ländern ferner auch die DSGVO selbst Anwendung finden kann. Das sollten Sie im Einzelfall immer überprüfen.

Geltungsbereiche des DSG

Auswirkungsprinzip

Für Unternehmen mit Sitz im Ausland bedeutet das Auswirkungsprinzip, dass sie sich an die Bestimmungen des DSG zu halten haben, wenn es sich um grenzüberschreitende Geschäftstätigkeiten und gleichzeitig um Personendaten von in der Schweiz ansässigen Personen handelt. Im Grunde ist die Regelung ähnlich der DSGVO: Diese ist zu beachten, wenn personenbezogene Daten einer in der EU wohnhaften Person auf jegliche Weise verarbeitet werden. 

Privatrechtliche Fälle regelt weiterhin das Bundesgesetz, strafrechtliche Fälle das Strafgesetzbuch. 

Datenschutzbeauftragter

In einigen Fällen kann es zukünftig für Firmen im Ausland notwendig sein, eine für den Datenschutz beauftragte Person in der Schweiz zu bestimmen. Diese nimmt die Aufgabe eines übergreifenden Ansprechpartners für betroffene Personen sowie den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wahr.

Datenschutz privater Personen 

Besonders schützenswerte Personendaten 

Zum besonderen Schutz von Privatpersonen wurde der Begriff «besonders schützenswerte Personendaten» weiter ausformuliert. Bereits in besonderem Masse schützenswerte Angaben waren und sind auch weiterhin:

• gesundheitsrelevante oder anderweitige, intime Informationen
• Angaben zur Herkunft  
• Daten über persönliche Weltanschauung, Religion, Politik, Gewerkschaftszugehörigkeiten etc. 
• Informationen über die Inanspruchnahme von Sozialhilfe
• polizeiliche und strafrechtlich relevante Angaben 

Neu hinzugekommen sind:

• biometrische Daten, die eine Person eindeutig identifizieren 
• genetische Daten
• Daten über die Zugehörigkeit zu einer Ethnie

Profiling

Der Begriff Profiling, der bislang nur innerhalb der DSGVO Anwendung fand, wurde nun auch in das DSG integriert. Zudem wurde der Begriff definiert. Laut DSG ist Profiling jede Art von automatisierter Bearbeitung von Daten natürlicher Personen, die sich direkt auf persönliche Aspekte der Person beziehen und diese Punkte analysieren oder vorhersagen. Entsprechende Daten können sein: 

• Gesundheitszustand
• wirtschaftliche Lage
• Arbeitsleistungen
• Interessen 
• persönliche Vorlieben
• Details zu Charaktereigenschaften (Verhalten, Zuverlässigkeit)
• Aufenthaltsort oder Ortswechsel

Darüber hinaus wurde die Definition «Profiling mit hohem Risiko» eingeführt. Damit ist im Wesentlichen die Verknüpfung von persönlichen Daten gemeint, aus deren Ergebnis die Wesenszüge einer Person abgeleitet werden können. 

So viel zu den rechtlichen Definitionen. Wie die tatsächlichen Verarbeitungsgrundlagen und Konsequenzen in der täglichen Praxis aussehen werden, wird sich erst mit deren fortlaufender Umsetzung zeigen. Bisweilen wird wohl die Verarbeitung solcher Daten erlaubt sein, wenn dies keine ausdrückliche Verletzung von Persönlichkeitsrechten darstellt. Ist dies der Fall, muss die Person eine vorherige, ausdrückliche Einwilligung aussprechen. Andernfalls muss ein nachvollziehbarer Grund genannt werden, welcher die Verarbeitung der Daten rechtfertigt. 

Der Inhalt dieser Bestimmungen lässt also noch einige Fragen offen. Hier gilt es, dass Sie sich als Unternehmer mit der tieferen Bedeutung noch näher beschäftigen und im Zweifelsfall einen Fachexperten zurate ziehen müssen.

Privacy-By-Default & Privacy-By-Design

Innerhalb dieser Gesetzesvorgabe sind Massnahmen verankert, die systemrelevante Datenschutzeinstellungen betreffen. Insbesondere sind das Voreinstellungen, die entsprechend überarbeitet werden müssen. Ferner dürfen auch nur Personendaten verarbeitet werden, diese für den Zweck wirklich relevant sind.

Data Breach Notification

Kommt es zu Datenverlusten, sind Sie von nun an in der Pflicht, diese beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) postwendend anzuzeigen. Sollten Grund- oder Persönlichkeitsrechte verletzt worden sein, müssen die Betroffenen ebenfalls benachrichtigt werden.

Datenschutz juristischer Personen

Das DSG ist zukünftig nur noch auf natürliche Personen anwendbar. Die bisherige Anwendung auf juristische Personen wurde gestrichen. 

Datenschutz-Folgeabschätzung

Für besonders risikoreiche Datenverarbeitungen müssen Sie zukünftig relevante Datenschutz-Folgeabschätzungen durchführen. Hierbei evaluieren Sie die Risiken, die für Personen im Rahmen der Datenverarbeitung entstehen könnten. Ferner müssen Sie die Massnahmen ausformulieren, die Sie Folge dessen zu unternehmen beabsichtigen, um das Risiko zu minimieren.

Informationspflicht

Die allgemeinen Pflichtangaben wurden ebenfalls erweitert. Bei der Weitergabe von Daten zählen hier mitunter: 

• Identität des Verantwortlichen 
• Kontaktdaten des Verantwortlichen
• Bearbeitungszweck
• Empfänger oder Empfängerkategorie 
• Kategorien der Daten, die bearbeitet werden (bei Daten, die nicht direkt von der Person selbst erhoben wurden)  
• ggf. ein Hinweis darauf, dass persönliche Daten automatisch erhoben werden könnten

Weitergabe von Daten ins Ausland

Eine Datenweitergabe von Personendaten ins Ausland ist in der Regel nur noch zulässig, wenn ein ausreichender Datenschutz im Zielland nachgewiesen werden kann. Diesbezügliche Entscheide trifft der Bundesrat, wobei auch Ausnahmen gelten. Das ist beispielsweise der Fall, wenn eine ausdrückliche Einwilligung der Person vorliegt oder wenn es sich um die Weitergabe von Daten im Rahmen der Vertragserfüllung handelt. Die Voraussetzungen sollten Sie hierbei immer im Einzelfall prüfen. 

Auf der sicheren Seite mit professioneller Hilfe 

Eine Übergangszeit nach der Gesetzesverabschiedung ist bisher nicht geplant. Gleichzeitig ist mit den Konsequenzen bei Nichteinhaltung nicht zu spassen. Es soll genau kontrolliert werden und hohe Geldbussen können die Folge von Verstössen sein. Es ist also wichtig, dass Sie vorausschauend handeln und Ihr Unternehmen zügig für die kommenden Datenschutzbestimmungen wappnen. 

Sich jetzt einen kompetenten Fachanwalt zur Unterstützung an Ihre Seite zu holen, kann Gold wert sein. Er hat, wie kein anderer, den Überblick über die Vielzahl der neuen Gesetzesentwürfe, die Sie selbst als erfahrener Unternehmer nur schwer in vollem Umfang erfassen können. GetYourLaywer hilft Ihnen, den für Ihr Unternehmen passenden Anwalt zu finden.