Ab dem 1. September 2023 tritt in der Schweiz das totalrevidierte Datenschutzgesetz (revDSG) in Kraft, das einen wichtigen Schritt für den Datenschutz darstellt. Es konzentriert sich auf den Schutz von Personendaten, indem es den Geltungsbereich auf Daten natürlicher Personen beschränkt und neue Datenkategorien wie „genetische Daten“ und „biometrische Daten“ einführt. Unternehmen müssen sich auf bedeutende Veränderungen einstellen, wie die Anpassung von Datenschutzerklärungen, die Führung von Bearbeitungsverzeichnissen und die Schulung der Mitarbeiter, um den verschärften Anforderungen gerecht zu werden. Mit dieser umfassenden Revision setzt die Schweiz einen wichtigen Schritt hin zu einem zeitgemässen Datenschutz und stärkt ihre Position als verlässlicher Partner für den freien Datenverkehr in der digitalen Welt.

1. Warum ist eine Totalrevision des Datenschutzrechts in der Schweiz notwendig?

In der Schweiz treten das totalrevidierte Datenschutzgesetz (revDSG) vom 25. September 2020 und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) vom 31. August 2022 und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ) vom 31. August 2022 am 1. September 2023 in Kraft. Das erste Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992. Heute ist eine vollständige Überarbeitung des Datenschutzgesetzes notwendig, um der Bevölkerung einen angemessenen und an die technologischen und gesellschaftlichen Veränderungen unserer Zeit angepassten Datenschutz zu garantieren. Dabei werden insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt.

Die Kompatibilität des Schweizer Rechts mit dem EU-Recht, insbesondere mit der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO) steht ebenfalls im Hintergrund. Die Revision die schweizerische Datenschutzgesetzgebung soll insgesamt den Anforderungen der Verordnung (EU) 2016/679 annähern. Das revDSG soll bewirken, dass der freie Datenverkehr mit der Europäischen Union erhalten werden kann, sodass die Schweizer Unternehmen nicht an Wettbewerbsfähigkeit einbüssen. Zudem soll die Totalrevision der Schweiz erlauben, das revidierte Datenschutzübereinkommen SEV 108 des Europarats zu ratifizieren sowie die Schengen-relevante Richtlinie (EU) 2016/680 über den Datenschutz in Strafsachen umzusetzen. Diese Annäherung und die Ratifizierung des revidierten Übereinkommens SEV 108 sind zentral, damit die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung auch künftig ohne weitere Hürden möglich bleibt.

Das revDSG führt wesentliche Veränderungen für Unternehmen ein.

2. Was wird der Geltungsbereich?

Das revDSG hat aus der DSGVO das Marktortprinzip übernommen (Art. 3 Abs. 1, Art. 14 und Art. 15 revDSG). Das revDSG gilt damit für Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden (Art. 3 Abs. 1 revDSG).

Dazu ist das revDSG neu nicht mehr auf die Bearbeitung von Daten juristischer Personen (bspw. Aktiengesellschaften, Vereine) anwendbar. Nur noch die Daten natürlicher Personen sind künftig betroffen. Das revDSG ist mithin nur noch auf die Bearbeitung von Personendaten natürlicher Personen anwendbar.

3. Werden die Datenkategorien geändert?

Das revDSG führt neue Datenkategorien ein. So wurde die Kategorie der besonders schützenswerten Personendaten um «genetische Daten» (Art. 5 lit. c Ziff. 3 revDSG) und «biometrische Daten, die eine natürliche Person eindeutig identifizieren» (Art. 5 lit. c Ziff. 4 revDSG), ergänzt. Diese Datenkategorien finden sich auch in der DSGVO.

4. Wird das Verbotsprinzip der EU übernommen?

Das revDSG geht weiterhin davon aus, dass die Bearbeitung von Personendaten grundsätzlich erlaubt ist, sofern sie datenschutzkonform, das heisst insbesondere unter Einhaltung der allgemeinen Bearbeitungsgrundsätze (bspw. Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Erkennbarkeit, Zweckgebundenheit) erfolgt. Im Unterschied zur DSGVO gilt mithin das Verbotsprinzip nicht und es muss nicht für jede Bearbeitung ein Rechtfertigungsgrund (bspw. Einwilligung, Gesetz etc.) genannt werden.

5. Welche Pflichten des Datenbearbeiters werden eingeführt?

a) Werden die Bearbeitungsgrundsätze eingehalten?

Die Bearbeitungsgrundsätze (Art. 6 revDSG) wurden im Rahmen der Revision ein wenig umformuliert, entsprechen jedoch inhaltlich der jetzigen Regelung (siehe insb. Art. 4 DSG). Die Bearbeitungsgrundsätze sind damit weiterhin dieselben wie unter EU-Recht (bspw. Zweckbindung, Transparenz, Datenrichtigkeit). Im Gegensatz zum EU-Recht ist jedoch, löschen: wie erwähnt (siehe Abschnitt 1 oben), auch unter dem revDSG kein Rechtsgrund bzw. keine Rechtfertigung für eine Datenbearbeitung erforderlich, falls die Bearbeitungsgrundsätze eingehalten werden bzw. soweit keine besonders schützenswerten Personendaten von Dritten offenbart werden. Hinsichtlich der Rechtfertigungsgründe ist darauf hinzuweisen, dass diese unter dem revDSG, insbesondere mit Bezug auf die Prüfung der Kreditwürdigkeit einer betroffenen Person und das Forschungsprivileg, strenger geregelt sind als unter bisherigem Recht (siehe Art. 31 revDSG im Vergleich zu Art. 13 DSG)

b) Wie müssen die Bearbeitungen inventarisiert werden?

Ein Verzeichnis der Bearbeitungstätigkeiten (Bearbeitungsverzeichnis) wird obligatorisch (Art. 12 revDSG). Die Verordnung über den Datenschutz (Art. 24 DSV) sieht jedoch eine Ausnahme für KMU vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt. Es ist allerdings nicht strafbar, die Führung eines Bearbeitungsverzeichnisses zu unterlassen.

c) Wie soll man mit Risiken umgehen?

• «Privacy by Design» und «Privacy by Default»: Die beiden aus der DSGVO bekannten Prinzipien «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) werden in Artikel 7 revDSG eingeführt. „Privacy by Design“ bedeutet für die Entwickler, den Schutz und den Respekt der Privatsphäre der Nutzerinnen und Nutzer in die Struktur der Produkte oder Dienstleistungen einzubauen, welche personenbezogene Daten sammeln werden. Der Grundsatz „Privacy by Default“ stellt sicher, dass schon beim Inverkehrbringen des Produktes oder der Dienstleistung die höchste Sicherheitsstufe vorhanden ist, indem standardmässig, also ohne Eingreifen der Nutzer, alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. Anders gesagt, müssen sämtliche Software, Hardware sowie die Dienstleistungen so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer gewahrt wird. Verlangt wird beispielsweise, dass Applikationen so ausgestaltet werden, dass Personendaten durch Technik standardmässig pseudonymisiert, anonymisiert oder regelmässig gelöscht werden. Ebenfalls sollen nur solche Personendaten erhoben werden, welche zwingend für den Verwendungszweck benötigt werden und weitere Personendaten nur, wenn dies aktiv angewählt oder autorisiert wird.
• Datenschutz-Folgenabschätzung: Nach Artikel 22 revDSG müssen neu auch private Verantwortliche (bspw. Privatspitäler) eine vorgängige Datenschutz-Folgenabschätzung vornehmen und dokumentieren, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Ein hohes Risiko kann sich insbesondere aus der Verwendung neuer Technologien (bspw. künstliche Intelligenz), aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung ergeben (Art. 22 Abs. 2 revDSG). Insbesondere Profiling mit hohem Risiko oder die umfangreiche Bearbeitung besonders schützenswerter Personendaten begründet ein solch hohes Risiko.
• Meldepflicht bei Datenschutzverletzungen: Mit dem revidierten Recht wird neu eine Meldepflicht bei Verletzung der Datensicherheit eingeführt (Art. 24 revDSG). Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.

d) Wurden die Informationspflichten verstärkt?

Das revDSG enthält im Vergleich zum heutigen DSG verstärkte Informationspflichten des Verantwortlichen. Die Wichtigkeit der Einhaltung der erhöhten Transparenzvorschriften wird dabei dadurch untermauert, dass die Verletzung der Informationspflicht unter dem revDSG mit einer Busse von bis zu CHF 250 000 bestraft werden kann (Art. 60 revDSG). Gemäss Artikel 19 revDSG wird neu grundsätzlich bei jeder Beschaffung von Personendaten eine Informationspflicht bestehen. Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden. Neben der erörterten allgemeinen Informationspflicht wird zusätzlich auch eine spezielle Informationspflicht bei automatisierten Einzelentscheidungen eingeführt (Art. 21 revDSG).

Die verstärkten Informationspflichten setzen praktischerweise eine revDSG-konforme Datenschutzerklärung voraus. In diesem Rahmen sind die heute bestehenden Datenschutzerklärungen zu überprüfen und nötigenfalls bis zum Inkrafttreten des revidierten Rechts zu überarbeiten.

6. Welche Rechte werden die betroffenen Personen haben?

a) Welche Mindestinformationen müssen mitgeteilt werden?

Das Auskunftsrecht (Art. 8 DSG) wird mit der Revision inhaltlich ausgebaut, indem ein Katalog von Mindestinformationen aufgestellt wird, die der betroffenen Person in jedem Fall auf Wunsch mitgeteilt werden müssen (Art. 25 Abs. 2 revDSG). Die Verletzung von Artikel 25 revDSG kann mit einer Busse von bis zu CHF 250 000 bestraft werden (Art. 60 revDSG).

b) Wird Datenportabilität durchgeführt?

Artikel 28 revDSG verleiht Datensubjekten mit Bezug auf Personendaten, welche diese dem Verantwortlichen bekanntgegeben haben und vom Verantwortlichen automatisiert bearbeitet wurden, neu ein Recht auf Datenherausgabe und -übertragung. Die Herausgabe hat grundsätzlich kostenlos (Art. 28 Abs. 3 revDSG) und in einem gängigen elektronischen Format (Art. 28 Abs. 1 revDSG) zu erfolgen.

7. Werden die Geldstrafen höher sein?

Die Maximalbusse, welche bei einem vorsätzlichen Verstoss gegen das DSG droht, wurde im Rahmen der Revision erheblich erhöht und auf CHF 250’000.- angesetzt (bisher CHF 10’000.-).

8. Gibt es ein Handlungsbedarf?

Unternehmen sollten eine Lückenanalyse (Gap-Analyse) vornehmen und so den Handlungsbedarf eruieren. Insbesondere ist zu prüfen, ob bestehende Datenschutzerklärungen angepasst respektive neu aufgesetzt werden müssen und ob mit allen Auftragsbearbeitern schriftliche Verträge bestehen. Sodann sind bestehende Verzeichnisse der Bearbeitungstätigkeiten zu ergänzen oder neu zu erstellen. Dabei ist sicherzustellen, dass alle Informationen gesammelt zur Verfügung stehen, welche dann auch eine gesetzeskonforme Wahrnehmung der Informations- und Auskunftspflichten erlaubt.

Die Mitarbeiter sollten auch geschult werden, so beispielsweise die Aussendienstmitarbeiter mit Bezug auf die von ihnen verwendeten Datenbanken.

LINDEMANNLAW kann Ihnen bei der Umsetzung der Änderungen des neuen Schweizer Datenschutzgesetzes helfen! Kontaktieren Sie uns für eine ausführliche Beratung.