Neues Datenschutzgesetz (DSG) ab 1.9.2023
Der Bundesrat konkretisiert das DSG in der Verordnung über den Datenschutz (Datenschutzverordnung, DSV) und in der Verordnung über Datenschutzzertifizierungen (VDSZ), beide vom 31. August 2022. Grössere Unternehmen und Betriebe mit EU-Bezug dürften bereits mit Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) den Datenschutz entsprechend ausgebaut haben. Denn die DSGVO beansprucht auch für viele Schweizer Unternehmen Geltung.
Das neue DSG ist zwar keine vollständige Umsetzung der DSGVO. Allerdings werden viele Regelungen im Grundsatz übernommen, um ein vergleichbares Datenschutzniveau zu erreichen, was den grenzüberschreitenden Datenverkehr erleichtert. Weiter ermöglicht die Revision des DSG auch die Ratifikation der Erweiterung der Europarechtskonvention 108 zum Datenschutz.
Es gilt der Grundsatz: Je sensibler Daten oder ein Bearbeitungsvorgang im Hinblick auf die Verletzung der Persönlichkeit der betroffenen Personen ist, desto mehr Vorkehrungen müssen getroffen werden, damit es nicht zur Verletzung kommt.
Unter den gesetzlichen Datenschutz fallen lediglich Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, sogenannte Personendaten. Neu wird sich der Datenschutz wie in der DSGVO (Datenschutz Grundverordnung) aber nur auf Daten natürlicher Personen beschränken. Der bislang bestehende Schutz für juristische Personen entfällt.
Empfehlenswert in der Praxis sind für Unternehmen – auch wenn nicht durchwegs datenschutzrechtlich zwingend – der Erlass von internen Datenschutzrichtlinien (einfaches Regelset kann genügen), die klare Regelung der Verantwortlichkeiten sowie die Schulung und Sensibilisierung der Mitarbeitenden.
Welche Regeln haben betroffene Unternehmen bei der Bearbeitung von Personendaten zu berücksichtigen?
Grundsatz der Rechtmässigkeit
Personendaten müssen rechtmässig bearbeitet werden (Art. 6 Abs. 1 DSG), d.h. die Bearbeitung ist grundsätzlich zulässig, solange sie nicht in Verletzung einer Rechtsnorm erfolgt.
Grundsatz der Transparenz
Dieser ergibt sich aus dem Grundsatz, dass die Datenbearbeitung nach Treu und Glauben erfolgen muss (Art. 6 Abs. 2 DSG). Datenerhebung und Datenbearbeitung müssen grundsätzlich so erfolgen, dass sie der betroffenen Person bekannt sind. Andernfalls kann die betroffene Person ihre Rechte gar nicht geltend machen.
Grundsatz der Zweckbindung
Gemäss diesem Grundsatz dürfen Daten nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden und sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist (Art. 6 Abs. 3 DSG). Die Daten sind zu vernichten oder zu anonymisieren, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind (Art. 6 Abs. 4 DSG).
Grundsatz der Datensicherheit
Konkrete Massnahmen können sein:
- Zugriffsbeschränkungen,
- Datenverschlüsselung,
- Protokollierung,
- Backups,
- sichere Entsorgungstechniken,
- Zugriffs- und Zutrittskontrollen,
- Reglemente und Weisungen,
- Schulung und Sensibilisierung,
- Verträge zur Datenbearbeitung und Geheimhaltung sowie periodische Kontrollen und Verbesserungen.
Der Grundsatz verlangt den Schutz der Daten durch technische und organisatorische Massnahmen (Art. 8 DSG). Diese gewährleisten die verschiedenen Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität der Daten sowie die Nachvollziehbarkeit der Datenbearbeitung.
Informationspflicht
Die erweiterte Informationspflicht gemäss Art. 19 ff. DSG ist ein wichtiger Aspekt im Rahmen des Grundsatzes der Transparenz. Die betroffene Person soll wissen, welche mit ihrer Person verbundenen Daten zu welchem Zweck erhoben und bearbeitet werden. Grundsätzlich muss dies vor der Beschaffung der Daten erfolgen.
Welche (weiteren) Rechte haben die betroffenen Personen?
Auskunftsrecht
Das Auskunftsrecht der betroffenen Personen gemäss Art. 25 DSG geht weiter als die Informationspflicht des Verantwortlichen. Die betroffene Person kann mehr erfahren, als der Verantwortliche durch seine Informationspflicht offenbaren muss.
Datenportabilität
Datenportabilität umfasst neu das Recht auf Datenherausgabe und Datenübertragung (Art. 28 DSG). Betroffene Personen können ihre Daten, die sie einem Verantwortlichen bekannt gegeben haben, in einem gängigen elektronischen Format herausverlangen, wenn die Daten automatisiert bearbeitet werden und die betroffene Person zur Bearbeitung eingewilligt hat oder die Bearbeitung im Rahmen eines entsprechenden Vertrags erfolgt. Unter diesen Voraussetzungen kann auch die Datenübertragung auf einen Dritten verlangt werden, wenn dies keinen unverhältnismässigen Aufwand verursacht
Berichtigungsrecht
Eine betroffene Person kann nach Art. 32 Abs. 1 DSG verlangen, dass unrichtige Personendaten berichtigt werden; dies dürfte namentlich nach der Ausübung des Auskunftsrechts infrage kommen.
Der Verantwortliche kann die Berichtigung verweigern, wenn eine gesetzliche Vorschrift dies verbietet (z.B. Buchführungs- und Aufbewahrungsvorschriften). Kann weder die Richtigkeit noch die Unrichtigkeit der betreffenden Personendaten festgestellt werden, so kann die betroffene Person verlangen, dass bei den Daten ein Bestreitungsvermerk angebracht wird (Art. 32 Abs. 3 DSG).
Recht auf Datenlöschung («Recht auf Vergessen»)
Wie erwähnt liegt eine Persönlichkeitsverletzung gemäss Art. 30 DSG u.a. vor, wenn Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden und keine gesetzliche Grundlage und kein überwiegendes privates Interesse Dritter im Sinn einer Rechtfertigung gemäss Art. 31 DSG besteht. Daraus ergibt sich für die betroffene Person ein beschränktes Recht auf Datenlöschung.
Weitere Rechtsansprüche
Bei ungerechtfertigten Persönlichkeitsverletzungen können die betroffenen Personen weitere zivilrechtliche Ansprüche geltend machen. Es sind dies gemäss Art. 32 Abs. 2 DSG:
- das Verbot einer bestimmten Datenbearbeitung,
- die Untersagung einer bestimmten Bekanntgabe von Personendaten an Dritte
- und auch die Löschung oder Vernichtung von Personendaten.
Aufgrund des Verweises in Art. 32 Abs. 2 DSG auf das Zivilgesetzbuch bestehen gegebenenfalls folgende weiteren Ansprüche:
- Die Feststellung, Unterlassung bzw. Beseitigung der Rechtsverletzung sowie die Ansprüche auf Schadenersatz, Genugtuung sowie Herausgabe des Gewinns.
Welches sind die Folgen von Datenschutzverletzungen?
Wie im bisherigen Recht können die Verletzung von Datenschutzrechtlichen Pflichten auch im neuen DSG sowohl aufsichtsrechtliche (Art. 49 ff. DSG), als auch strafrechtliche (Art. 60 ff. DSG) sowie zivilrechtliche (Art. 30 ff. DSG) Folgen nach sich ziehen. Während im bisherigen Recht die Verletzung von praktisch keinen gesetzlichen Pflichten strafbewehrt war, wird der strafrechtliche Teil des revidierten DSG stark ausgebaut und die möglichen Strafen sind beträchtlich höher. Auch der aufsichtsrechtliche Teil wird ausgebaut, indem der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) mehr Kompetenzen erhält.
Der EDÖB eröffnet von Amtes wegen oder auf Anzeige hin eine Untersuchung, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Datenschutzvorschriften verstossen könnte (Art. 49 DSG).
Im Gegensatz zu den europäischen Datenschutzbehörden kommen dem EDÖB auch nach neuem Recht keine (direkten) Aufsichtsrechtlichen Sanktionsbefugnisse zu. Die fehlbaren Personen werden durch die kantonalen Strafverfolgungsbehörden sanktioniert. Der EDÖB kann einzig Strafanzeige erstatten und im Verfahren die Rechte einer Privatklägerschaft wahrnehmen (Art. 65 Abs. 2 DSG).
Im neuen DSG drohen Fehlbaren ein strafrechtliches Sanktionssystem mit Bussen bis zu CHF 250’000 (Art. 60 ff. DSG). Strafbar sind einzig vorsätzliches Handeln und Unterlassen, nicht jedoch fahrlässiges Handeln.
Verfügbare Webinare von EIT.swiss
EIT.swiss bietet die passenden Webinare zum neuen Datenschutzgesetz
Verfügbare Musterdokumente vom SGV
Der Schweizerische Gewerbeverband hat uns freundlicherweise Dokumente zur Verfügung gestellt.
Für allfällige Rückfragen steht Ihnen unser Rechtsdienst zur Verfügung.