Was bleibt?
Die Grundpfeiler aus der aktuellen Rechtslage bleiben erhalten. So sind Einwilligungen für das Bearbeiten von Personendaten nach wie vor nicht erforderlich. Hiermit geht das neue DSG wesentlich weniger weit als wie unter der EU-Datenschutzverordnung (DSGVO). Gemäss EU-Recht ist das Bearbeiten grundsätzlich verboten bzw. bedarf eines Rechtfertigungsgrundes wie bspw. ein berechtigtes Interesse. In der Schweiz war und ist jedoch die Datenbearbeitung grundsätzlich zulässig ausser in gewissen Situationen, welche sodann eines Rechtfertigungsgrundes bedürfen. Diese Gründe wurden im Grundsatz beibehalten; einzig für nicht personenbezogene Bearbeitungszwecke gab es eine leichte Verschärfung.
Eine minime Anpassung ergibt sich bei den juristischen Personen. Ihre Daten sind nicht mehr geschützt, auch wenn der Persönlichkeitsschutz weiterhin gilt.
Was ändert sich?
- Eine wesentliche Änderung fungiert in den sogenannten Governance-Pflichten. Hierunter fallen bspw. das Führen von Datenbearbeitungs-Inventaren, eine Meldepflicht von Datenverlusten und anderen Sicherheitsverstössen und der Pflicht zur Vornahme von Datenschutz-Folgenabschätzungen bei heiklen Datenbearbeitungen. Diese Entwicklung ist eine deutliche und enge Anlehnung an die europäische DSGVO. Sind Unternehmen bereits an der DSGVO ausgerichtet, ist dies natürlich für sie klarerweise von Vorteil. Der Grund hierfür findet sich im implementing effort. Die Anpassung bzw. Einführung und Durchsetzung solcher Systeme ist ressourcenintensiv. Sei dies im Hinblick auf finanzielle Kosten, aber auch in Bezug auf die Schulung der Mitarbeiter dürfte dies auf jeden Fall zeitintensiv ausfallen. Die Hauptschwierigkeit liegt hierbei nicht im Verfassen solcher Datenschutzerklärungen, sondern im Verstehen wo wann welche Daten an wem weitergegeben werden. Hierzu ist eine enge Zusammenarbeit mit den Stakeholdern erforderlich. Hingegen ist das Implementieren von Prozessen wie bspw. Auskunftsersuche, Datenpannen etc. relativ «günstig», da diese Vorgehensweisen bereits im Unternehmen bestehen (sollten).
- Die hier eingeführte Meldepflicht Informationen ist ferner in Bezug auf die DSGVO eher fremd; neu kann es vorkommen, dass aufgrund einer falsch versandten E-Mail eine Meldung nach Bern an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) erfolgen muss. So müssen auch Länder angegeben werden, in welchen die Daten übermittelt werden, wobei andere Angaben als wie unter der DSGVO zu machen sind (der Begriff «weltweit» reicht bereits aus). Für gewisse ausländische Unternehmen gilt das Ernennen eines Vertreters ferner zur Pflicht, nicht aber einen Datenschutzberater. Für im Inland ansässige Unternehmen ist besteht diese Option ebenfalls – es ist für jene also auch keine Pflicht, aber unter Umständen ratsam.
- Die Informationspflicht bei Datenbeschaffungen wird soweit ausgeweitet, dass Unternehmen in einer Datenschutzerklärung vor allem inhaltliche Angaben zu machen haben. Dies geht weniger weit, wie von der DSGVO verlangt.
- Das Prinzip «Privacy by Design» ist nun im revidierten DSG geregelt, galt aber schon vorher. Denn Unternehmen mussten sich auch heute schon bei Datenbearbeitungsaktivitäten Gedanken zum Datenschutz machen. Neu ist die «Privacy by Default»; jenes ist aber nur dort massgebend, wo ein Onlineanbieter Datenschutzeinstellungen vorsieht, welche neu die Datenbearbeitung auf ein Mindestmass beschränkten sollen. Hier geht es vor allem um datenschutzfreundliche Einstellungen der Anbieter.
- Neu können betroffene Personen auch einfacher an die über sie bearbeiteten Personendaten gelangen. Dies versteht sich unter der sogenannten Auskunftspflicht. Jedoch wird auch der Möglichkeitenspielraum zur Rückweisung von Auskunftsbegehren erweitert. So können nur noch Personendaten eingefordert werden, welche «ausschliesslich» die Wahrnehmung datenschutzrechtlicher Individualinteressen tangieren.
- Eine «eins zu eins» Kopie erlebt das revidierte DSG beim Stichwort der Datenportabilität. Dieses Recht ermöglicht den Konsumenten, vor allem bei Online-Diensten, die über sie gesammelten Daten herauszuverlangen und einem Drittanbietern zu übergeben. Hiermit soll der Anbieterwechsel einfacher gestaltet werde, wobei die datenrechtliche Problematik hier eine untergeordnete Rolle ist.
- Der Auslandtransfer, d.h. der Datenaustausch vor allem mit der EU, wird vereinfacht. Neu erlässt der Bundesrat eine Liste, welche Länder einen angemessenen Datenschutz haben, eine Aufgabe, welche bislang der EDÖB nachgekommen ist. Dieser Punkt ist folglich rein formeller Natur. Ein gewichtiger Punkt ist aber die bei mit einem Verstoss gegen die Datenexport verbunden kantonale Busse. Der Busskatalog wurde somit verschärft. Strafbar ist nur Vorsatz und nur bis maximal CHF 250’000. Spannend ist indessen, dass die Busse zwar im Hinblick auf die DSGVO harmlos erscheint, sie jedoch persönlich und nicht versicherbar ist. Die Kompetenzverteilung ist folglich gleich geblieben; der EDÖB ist weiterhin nicht befugt Bussen auszusprechen, jedoch kann dieser nun Verfügungen Im alten Recht durfte jener lediglich Empfehlungen abgeben. Die hieraus resultierenden Konsequenzen sind noch ungewiss, dürfte aber vor allem für den EDÖB Mehraufwand bedeuten.
- Die wohl umstrittenste und somit am meisten debattierte Thematik war das Profiling. Hierbei handelt es sich um eine maschinelle Bewertung eines Individuums hinsichtlich gewisser Aspekte einer Person. Bereits bei der Legaldefinition war sich das Parlament uneinig. Genauso unklar war die Unterkategorie «Profiling mit hohem Risiko». Nun, handelt es sich bei Letzterem um eine Datenbearbeitung im Sinne eines Profiling, welches die Beurteilung wesentlicher Aspekte einer Person erlaubt. Dies entspricht auch der aktuellen Rechtslage (unter dem Begriff des Persönlichkeitsprofils), womit sich im Grunde nichts ändert. Die Räte waren sich lediglich einig, dass ein Profiling mit hohem Risiko einer Einwilligung des Betroffenen bedarf, wobei diese eine ausdrückliche zu sein hat. Eine solche Art Profiling ist bereits heute unter dem Gesichtspunkt von Treu und Glauben und der Verhältnismässigkeit so auszulegen.
Ab wann tritt das revidierte DSG in Kraft?
Das neue DSG wird wohl erst 2022 in Kraft treten. Einige Experten erwarten es auch erst im Sommer 2022. Einzelne Fachleute sind auch der Ansicht, dass aufgrund von Druck seitens der EU auch ein Inkrafttreten per 2021 absehbar sein könnte. Dies ist aber eher unrealistisch, zumal einerseits die entsprechenden Verordnungen noch auszuarbeiten sind und andererseits das Referendum noch vorbehalten ist.