Das neue Datenschutzgesetz (revDSG) wird am 1. September 2023 in Kraft treten
Das Bundesamt für Justiz (BJ) hat soeben in einer auf seiner Website veröffentlichten Mitteilung mitgeteilt, dass es vorgesehen ist, das neue Datenschutzrecht auf den 1. September 2023 in Kraft zu setzen. Der dafür notwendige Entscheid des Bundesrates muss noch erfolgen.
Dieses Dokument soll in Anlehnung und teilweiser Übernahme der Ausführungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EBÖB)[1] über einige der wichtigsten Eckpunkte des neuen Datenschutzgesetzes (revDSG) und die Dokumentationspflichten informieren.
- Verantwortlicher und Auftragsbearbeiter. Diese Begriffe sind neu und definieren die Rollen, auf denen das neue DSG aufbaut. [2] Als Verantwortlicher gilt, wer allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet. Auftragsbearbeiter ist, wer im Auftrag des Verantwortlichen Personendaten bearbeitet.
- Nur noch Daten von natürlichen Personen. Das revidierte DSG bezweckt ausschliesslich den Schutz der Persönlichkeit von natürlichen Personen, über welche Personendaten bearbeitet werden. Personendaten umfassen alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Daten von juristischen Personen werden vom neuen DSG nicht mehr erfasst. Unternehmen können sich nach wie vor auf den Persönlichkeitsschutz durch Art. 28 des Schweizerischen Zivilgesetzbuchs (ZGB), den Schutz des Geschäfts- und Fabrikationsgeheimnis nach Art. 162 des Schweizerischen Strafgesetzbuchs (StGB) sowie die einschlägigen Bestimmungen der Bundesgesetze gegen den unlauteren Wettbewerb (UWG) und über Kartelle und andere Wettbewerbsbeschränkungen (KG) berufen.
- Besonders schützenswerte Personendaten. Die bisherige Definition der besonders schützenswerten Personendaten wird um «genetische und biometrische Daten, die eine natürliche Person eindeutig identifizieren» erweitert.
- Zulässigkeit von Datenbearbeitungen. Der Grundsatz, wonach im privaten Bereich für die Bearbeitung von Personendaten grundsätzlich weder eine Einwilligung noch sonst ein Rechtfertigungsgrund erforderlich ist, gilt weiterhin. Ein Rechtfertigungsgrund ist nur nötig, wenn entweder die Bearbeitungsgrundsätze (Art. 6 und 8 revDSG) nicht eingehalten werden, die betroffene Person der Bearbeitung widersprochen hat (Art. 30 Abs. 2 Bst. b revDSG) oder einem Dritten besonders schützenswerte Personendaten mitgeteilt werden sollen (Art. 30 Abs. 2 Bst. c revDSG).[3]
- Privacy by Design und by Default. Die Grundsätze «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) werden gesetzlich verankert.
- Datenschutz-Folgenabschätzung. Wenn eine beabsichtigte Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, müssen gemäss Art. 22 revDSG neu auch private Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung erstellen.
- Verzeichnis der Bearbeitungstätigkeiten. Neu müssen Unternehmen, die mindestens 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, ein Verzeichnis sämtlicher Datenbearbeitungen führen. Für Unternehmen mit weniger Mitarbeitenden und geringen Risiken wird der Bundesrat in der Verordnung Ausnahmen vorsehen.
- Bekanntgabe von Personendaten ins Ausland. Art. 16 revDSG hält fest, dass Daten ins Ausland bekanntgegeben werden dürfen, wenn neu der Bundesrat festgestellt hat, dass die Gesetzgebung des Drittstaates einen angemessenen Schutz gewährleistet. Er wird zu diesem Zweck eine Liste publizieren, die nach dem bisherigen Recht vom EDÖB geführt wurde. Figuriert der betreffende Exportstaat nicht auf der Liste des Bundesrates, dürfen Daten wie nach bisherigem Recht trotzdem dorthin geleitet werden, wenn ein geeigneter Datenschutz auf andere Weise gewährleistet wird.
- Ausgebaute Informationspflichten. Die Informationspflichten für Unternehmen werden ausgebaut. Für die Form der Mitteilung der Informationen enthält das revDSG keine Formvorschrift. Die Information wird in der Regel in der Form einer Datenschutzerklärung erfolgen, die auf der Homepage des Unternehmens abgerufen werden kann.
- Auskunftsrecht der betroffenen Personen. Das Recht einer betroffenen Person, Auskunft darüber zu verlangen, ob Personendaten über sie bearbeitet werden, wurde im neuen DSG ausgebaut.
- Meldepflicht bei Verletzungen der Datensicherheit. Verletzungen der Datensicherheit, die für die Betroffenen zu einem hohen Beeinträchtigungsrisiko ihrer Persönlichkeit oder ihrer Grundrechte führen, sind zukünftig dem EDÖB zu melden.
- Recht auf Datenportabilität. Eine betroffene Person hat neu die Möglichkeit, ihre Personendaten, welche sie einem privaten Verantwortlichen bekanntgegeben hat, in einem gängigen elektronischen Format heraus zu verlangen oder einem Dritten übertragen zu lassen.
- Strafrechtliche Sanktionen. Im neuen DSG werden Bussen für private Personen bis zu CHF 250’000 angedroht (Art. 60 revDSG). Strafbar sind vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit. Nur auf Antrag bestraft werden die Missachtung von Informations-, Auskunfts- und Meldepflichten sowie die Verletzung von Sorgfaltspflichten und der beruflichen Schweigepflicht.
[1] Das neue Datenschutzgesetz aus Sicht des EDÖB, abrufbar unter <https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#-1884461268> (besucht am 13.01.2022)
[2] David Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020, Rz. 13
[3] David Rosenthal, op. cit., Rz. 7
Fussnoten1Fussnote