Nach knapp vierjährigem Gesetzgebungsprozess verabschiedete das Parlament Ende September 2020 die Revision des Schweizer Datenschutzrechts (DSG-Revision). Das revidierte Datenschutzgesetz (DSG) führt zu zahlreichen Angleichungen an die EU-Datenschutzgrundverordnung (DSGVO), behält aber weiterhin eine eigene Grundkonzeption und weicht auch in diversen anderen Punkten von dieser ab. Beispiele wichtiger Neuerungen der DSG-Revision sind die wesentlich strengeren Sanktionen, erweiterte Informationspflichten, die Pflicht zur Erstellung eines Bearbeitungsverzeichnisses sowie der Ausbau der Rechte der betroffenen Person. Eine aktualisierte Gegenüberstellung der DSG-Revision, des geltenden DSG und der DSGVO finden Sie hier. Auf welches Datum der Bundesrat das neue Datenschutzgesetz in Kraft setzen wird, ist derzeit aber noch nicht bekannt.

Etappen der DSG-Revision

Mit dem Hauptziel der Angleichung des Schweizer Datenschutzrechts an das Niveau der EU und der Anpassung an die modernisierte Datenschutzkonvention des Europarates (SEV 108) durchlief die DSG-Revision die folgenden Etappen:

Verworfene Gesetzesänderungen

Während dieses Gesetzgebungsprozesses wurden auch einige vorgeschlagene Regelungen wieder ersatzlos gestrichen:

  • Dies gilt z.B. für die im bundesrätlichen Entwurf vorgesehene Regelung zu Daten verstorbener Personen, die bereits im Vorfeld viel Kritik geerntet hatte (MLL-News vom 17.9.2019)
  • Der zwischenzeitlich im Raum gestandene Vorschlag der Staatspolitischen Kommission des Ständerates, wonach für jede Weitergabe von Daten eine Einwilligung erforderlich sei, sorgte für viel Stirnrunzeln (MLL-News vom 18.12.2019) und wurde ebenfalls aus der DSG-Revision gestrichen. Der Vorschlag führte im Endeffekt aber zur Einführung eines (eingeschränkten) datenschutzrechtlichen Konzernprivilegs (siehe dazu unten)
  • Verworfen wurde schliesslich auch der Vorschlag, dass der Eidg. Datenschutzbeauftragte (EDÖB) Best Practice-Empfehlungen erlassen bzw. für verbindlich erklären kann. Neu ist nur noch das Recht zur Unterbreitung von Verhaltenskodizes an den EDÖB und dessen Pflicht zur Veröffentlichung seiner Stellungnahme vorgesehen.

Wichtigste neue Regelungen der DSG Revision

Das neue Schweizer Datenschutzrecht bringt gleichwohl zahlreiche Neuerungen mit sich, von denen die wichtigsten nachfolgend erläutert werden. Eine Übersicht über die DSG-Revision, d.h. der unter dem nDSG geltenden Regelungen, inklusive Vergleich zum geltenden DSG und der EU-Datenschutzgrundverordnung (DSGVO), ist in Tabellenform hier abrufbar.

1. Anwendungsbereich: Auswirkungsprinzip, Vertretung und keine Daten juristischer Personen

Im nDSG bestimmt sich der räumliche Geltungsbereich neu explizit nach dem sog. Auswirkungsprinzip. D.h. das Gesetz wird auch für Unternehmen mit Sitz im Ausland anwendbar sein, wenn diese Personendaten bearbeiten und sich diese Datenbearbeitung in der Schweiz auswirkt. Für die zivil- und strafrechtliche Durchsetzung bleiben aber die bisherigen Grundsätze bestehen.

Neu können Unternehmen ohne Sitz in der Schweiz zudem dazu verpflichtet sein, eine Vertretung in der Schweiz zu bezeichnen, wenn diese Personendaten von Personen in der Schweiz bearbeiten. Diese Pflicht wird ausgelöst, wenn die Datenbearbeitung im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen (sog. Angebotsausrichtung) oder der Verhaltensbeobachtung dieser Personen steht. Zudem muss es sich um eine umfangreiche und regelmässige Bearbeitung handeln, die ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt.

Nicht mehr anwendbar ist das nDSG künftig auf Daten juristischer Personen. Damit wird diese Schweizer Besonderheit erfreulicherweise abgeschafft. Die Auswirkungen in der Praxis sollten aber nicht überschätzt werden, erfolgt doch bspw. auch B2B-Verkehr regelmässig auch eine Bearbeitung von Daten natürlicher Personen (z.B. der Ansprechpartner).

2. Neue besonders schützenswerte Personendaten

Die Definition der besonders schützenswerten Personendaten wurde gegenüber dem gelten DSG erweitert und umfasst künftig auch Daten über die Ethnie, genetische Daten sowie biometrische Daten, die eine natürliche Person eindeutig identifizieren. Die einzelnen Kategorien führten für viele Diskussionen (z.B. Streichung gewerkschaftlicher Daten und Massnahmen der sozialen Hilfe; MLL-News vom 29.5.2020) und waren teilweise bis im letzten Moment umstritten (z.B. Einschränkung der genetischen Daten; MLL-News 25.9.2020). Die Kategorie der Persönlichkeitsprofile", für welche bisher die gleich strengen erhöhten Anforderungen gelten, wie für besonders schützenswerte Personendaten, wird ferner im nDSG nicht enthalten sein (vgl. aber die Regelung zum Profiling unten).

3. Regelung des Profilings

Das revidierte Datenschutzgesetz enthält neu eine Legaldefinition des Profiling, die derjenigen der EU-DSGVO entspricht und im bisherigen DSG nicht enthalten war. Als Profiling gilt demnach:

"jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen".

Im Vorentwurf hatte der Bundesrat ursprünglich vorgeschlagen, dass das Profiling künftig stets nur mit einem Rechtfertigungsgrund, wie der Einwilligung der Betroffenen, zulässig sein soll. Gewisse Äusserungen im Parlament haben ein ähnliches Verständnis impliziert, obwohl dieser Vorschlag des Bundesrats nicht Eingang ins Gesetz fand. Somit müsste das Profiling auch künftig ohne Einwilligung zulässig sein. Dies gilt auch für das sog. Profiling mit hohem Risiko", auch wenn die Debatten im Parlament zu einer gewissen Unsicherheit geführt haben und die Frage noch zu Diskussionen in der Literatur und Rechtsprechung führen dürfte. Nach unserer Einschätzung ist aber davon auszugehen, dass das Parlament auch in Bezug auf das Profiling (mit hohem Risiko) nicht von der etablierten Grundkonzeption des Schweizer Datenschutzrechts abweichen wollte.

Für private Verantwortliche wird eine Einwilligung oder andere Rechtfertigung für ein Profiling (mit hohem Risiko) somit nur bei einer persönlichkeitsverletzenden Datenbearbeitung erforderlich sein. Je nach Art und Umfang des Profilings kann dies allerdings relativ rasch der Fall und damit eine Einwilligung oder ein anderer Rechtfertigungsgrund erforderlich sein. Da beim Rechtfertigungsgrund des überwiegenden Interesses häufig grosse Unsicherheiten bestehen, dürfte auch künftig nicht selten das Einholen einer Einwilligung zu empfehlen sein. Muss von einem "Profiling mit hohem Risiko" ausgegangen werden, dann genügt zudem nur eine ausdrückliche Einwilligung als (eventuell erforderliche) Rechtfertigung.

Das Profiling mit hohem Risiko war einer der Hauptstreitpunkte, an dem die DSG Revision beinahe noch gescheitert wäre (MLL-News vom 25.9.2020). Das Vorliegen eines Profilings mit hohem Risiko ist neben der Ausdrücklichkeit einer Einwilligung auch für den Rechtfertigungsgrund der Bonitätsprüfung relevant (siehe unten). Im revidierten DSG gilt als Profiling mit hohem Risiko:

"Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt".

4. Erweiterte Informationspflicht

Die Informationspflicht wird gegenüber dem bisherigen Recht stark ausgebaut. Das nDSG enthält aber bedauerlicherweise keine abschliessende Liste aller Pflichtinformationen, die der betroffenen Person bei der Beschaffung mitgeteilt werden müssen. Es ist daher im Einzelfall zu prüfen, welche Angaben erforderlich sind, wobei eine Orientierung am Katalog der EU-DSGVO in Frage kommen könnte.

Mindestens mitzuteilen sind jedenfalls folgende Pflichtangaben:

  • die Identität und die Kontaktdaten des Verantwortlichen
  • die Bearbeitungszwecke
  • bei einer Bekanntgabe von Daten: die Empfänger oder die Kategorien von Empfänger
  • bei einer Datenbekanntgabe ins Ausland zusätzlich: der Staat oder das internationale Organ und ggf. die Garantie für einen geeigneten Datenschutz oder den Ausnahmetatbestand, falls keine solchen Garantien gegeben sind
  • bei indirekten Datenerhebung (d.h. Daten nicht bei der betroffenen Person selbst erhoben werden, zusätzlich: die Kategorien der bearbeiteten Personendaten
  • die Durchführung automatisierter Einzelentscheidungen, d.h. eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt.

Im nDSG wird im Übrigen nicht geregelt, auf welche Art und Weise die Information gegenüber der betroffenen Person zu erfolgen hat. Es gilt somit zwar kein gesetzliches Formerfordernis zu beachten, es ist aber eine "angemessene" Form zu wählen, welche dem Zweck einer transparenten Datenbearbeitung gerecht wird. Eine Datenschutzerklärung auf der Website wird dabei aber auch nicht in jedem Fall ausreichen (MLL-News vom 4.8.2020).

5. Ausbau der Betroffenenrechte

Neben der Informationspflicht werden auch die Rechte der Betroffenen im nDSG weiter ausgebaut. Neu wird ähnlich wie in der DSGVO ein Recht der betroffenen Person auf Datenherausgabe und -übertragung statuiert. Betroffene Personen werden verlangen können, dass die von ihnen bekanntgegebenen Daten in einem gängigen elektronischen Format herausgegeben oder an andere Anbieter übermittelt werden. Dieses Recht gilt jedoch nicht voraussetzungslos. Namentlich aufgrund der gesetzlichen Anforderungen des "gängigen elektronischen Formats" sowie der "Verhältnismässigkeit" wird sich zeigen müssen, wie häufig dieses Recht von den betroffenen Personen im Streitfalle auch tatsächlich angerufen werden kann (vgl. dazu MLL-News vom 4.8.2020).

Darüber hinaus hat die betroffene Position bei automatisierten Einzelentscheidungen (s. Informationspflicht, oben) ein Widerspruchsrecht, wonach sie ihre Position hierzu darlegen darf und verlangen kann, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.

6. Regelungen für konzerninterne Weitergabe von Personendaten - Konzernprivileg?

Für viel Gesprächsstoff sorgte auch die künftige Regelung der konzerninternen Weitergabe von Personendaten und damit die Frage, ob ein sog. Konzernprivileg eingeführt werden soll (MLL-News vom 18.12.2019). Letztlich hat ein solches Konzernprivileg allerdings nur in sehr eingeschränkter Form Eingang in das neue Gesetz gefunden. So gelten für den konzerninternen Datenaustausch unter dem nDSG zwar Ausnahmen von der Informationspflicht und dem Auskunftsrecht; trotzdem kann eine konzerninterne Weitergabe auch künftig persönlichkeitsverletzend und in diesem Fall nur bei Vorliegen eines Rechtfertigungsgrunds zulässig sein. Dabei gilt der besondere Rechtfertigungsgrund für die konzerninterne Bearbeitung nur, wenn die betreffenden Daten und die Art ihrer Bearbeitung "für den wirtschaftlichen Wettbewerb" relevant und erforderlich sind. Auch konzerninterne Bearbeitungen müssen deshalb stets im Einzelfall sorgfältig auf Ihre Rechtmässigkeit geprüft werden.

7. Rechtfertigungsgrund der Bonitätsprüfung

Für die Durchführung einer Bonitätsprüfung werden in Art. 30 Abs. 2 lit. c nDSG besondere, strengere Voraussetzungen für die Annahme eines überwiegenden Interesses statuiert. Eine Bonitätsprüfung ist demnach gerechtfertigt, wenn:

  • keine besonders schützenswerten Personendaten bearbeitet werden und es sich um kein Profiling mit hohem Risiko handelt
  • die Daten Dritten nur bekanntgegeben werden, wenn diese die Daten für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen
  • die Daten nicht älter als zehn Jahre sind
  • die betroffene Person volljährig ist.

8. Verzeichnis sämtlicher Datenbearbeitungen

Künftig wird - wie unter der DSGVO - auch nach Schweizer Recht ein Verzeichnis sämtlicher Datenbearbeitungen zu führen sein (Verzeichnis der Bearbeitungstätigkeiten). Das Führen eines Datenbearbeitungsverzeichnisses wird für die meisten Unternehmen mutmasslich zum grössten Aufwand bei der Umsetzung führen, falls nicht bereits entsprechende Massnahmen für die DSGVO-Compliance getroffen wurden. Der grosse Aufwand folgt daraus, dass sämtliche Datenbearbeitungen des gesamten Unternehmens erfasst und genaue Angaben dazu gemacht sowie laufend aktualisiert werden müssen. Der Mindestinhalt dieses Bearbeitungsverzeichnisses ist gesetzlich sowohl für den Verantwortlichen als auch den Auftragsbearbeiter vorgegeben.

Das Bearbeitungsverzeichnis des Verantwortlichen muss folgende Mindestangaben enthalten:

  • die Identität des Verantwortlichen;
  • den Bearbeitungszweck
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
  • die Kategorien der Empfängerinnen und Empfänger
  • wenn möglich" die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
  • wenn möglich" eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden)
  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.

9. Weitere neue Pflichten des Verantwortlichen

Ebenfalls neu aufgenommen wurden verschiedene weitere Pflichten, die mit der Bearbeitung von Personendaten einhergehen (MLL-News vom 15. Juni 2020):

  • Data Breach Notification: Verletzungen der Datensicherheit (z.B. Datenverluste), die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen, sind unverzüglich dem EDÖB und gegebenenfalls der betroffenen Person zu melden.
  • Datenschutz-Folgenabschätzungen: Wenn eine beabsichtigte Datenbearbeitung ein hohes Risiko einer Verletzung der Persönlichkeit oder der Grundrechte einer betroffenen Person mit sich bringt, ist der Verantwortliche dazu verpflichtet, die Risiken einer solchen Bearbeitung in einer Datenschutz-Folgeabschätzung zu analysieren. Das nDSG geht davon aus, dass insbesondere bei der Verwendung neuer Technologien und einer umfangreichen Bearbeitung besonders schützenswerter Personendaten oder bei der systematischen Überwachung umfangreicher öffentlicher Bereiche von einem hohen Risiko ausgegangen werden muss.
  • Privacy-by-Design und -by-Default: Wie in der DSGVO sind auch im nDSG explizit die Grundsätze des "Datenschutzes durch Technik" und "Datenschutz durch datenschutz-freundliche Voreinstellungen" verankert. Bei der Verarbeitung von Personendaten müssen "ab der Planung" angemessene technische und organisatorische Massnahmen getroffen werden, welche die Umsetzung von Datenschutzgrundsätzen (z.B. Datenminimierung) in diesen Systemen sicherstellen (Privacy-by-Design). Auch die Voreinstellungen, beispielsweise bei Apps oder Websites, sind so auszugestalten, "dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist" (Privacy-by-Default).

10. Verschärfung der Sanktionen und Ausbau der Befugnisse des EDÖB

Das nDSG sieht strafrechtliche Sanktionen in Form einer Busse von bis zu CHF 250'000 vor. Darüber hinaus kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen. Auch wenn der EDÖB selbst keine Sanktionen anordnen kann, drohen auch bei Missachtung einer Anordnung des EDÖB, also bspw. bei der Weiterbearbeitung von Daten trotz Verbot, Strafsanktionen in der gleichen Höhe. Zuständig für die Durchsetzung der strafrechtlichen Sanktionen werden die kantonalen Strafverfolgungsbehörden sein. Möglich sind schliesslich weiterhin auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz.

Im Gesetzgebungsverfahren wurde zum Ausdruck gebracht, dass die strafrechtlichen Sanktionen hauptsächlich auf Leitungspersonen und nicht auf die ausführenden Mitarbeiter abzielen. Zugleich wurde aber nicht gänzlich ausgeschlossen, dass es auch Fälle geben kann, in welchen die Sanktion Mitarbeitern ohne Leitungsfunktion auferlegt werden könnte. Bei Widerhandlungen, bei denen höchstens eine Busse von CHF 50'000 in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismässig wäre, kann schliesslich auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Busse verurteilt werden.

Ausblick

Mit der Annahme des Schlussabstimmungstextes durch beiden Räte steht somit fest, welchen Vorschriften die Datenbearbeitungen der Unternehmen in der Schweiz künftig entsprechen müssen. Auf wann der Bundesrat das revidierte DSG in Kraft setzen wird, ist allerdings noch unklar. Bis der Bundesrat das Datum des Inkrafttretens mitteilt, wird aber noch das Ablaufen der Referendumsfrist (14. Januar 2021) abzuwarten sein. Das konkrete Datum hat insbesondere deshalb grosse Bedeutung, weil im nDSG keine Übergangsfristen vorgesehen sind. Vor diesem Hintergrund empfiehlt sich, die entsprechenden Compliance-Projekte rasch voranzutreiben oder allerspätestens jetzt zu lancieren (vgl. dazu auch MLL-News vom 15. Juli 2020).

 

Weitere Informationen:

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.