Neues Datenschutzgesetz

Das neue Datenschutzgesetz gilt für Unternehmen mit Sitz in der Schweiz und Unternehmen mit Sitz im Ausland, die mit Auswirkungen in die Schweiz Personendaten bearbeiten. Unternehmen ohne Sitz in der Schweiz können dazu verpflichtet werden, eine Vertretung in der Schweiz zu bezeichnen, wenn sie Personendaten von Personen in der Schweiz bearbeiten. Ab wann das neue Datenschutzgesetz in Kraft tritt, ist derzeit noch nicht bekannt.

Neues Bearbeitungsverzeichnis

Die grösste Änderung für die meisten Unternehmen liegt in der Pflicht, künftig ein Verzeichnis der Bearbeitung von Personendaten führen zu müssen. Sämtliche Datenbearbeitungen des Unternehmens müssen erfasst, laufend aktualisiert und genaue Angaben dazu gemacht werden. Dabei sind mindestens die für die Bearbeitung verantwortlichen Personen, der Bearbeitungszweck, die Kategorien der betroffenen Personen und bearbeiteten Personendaten, die Kategorien der Empfängerinnen und Empfänger und die Aufbewahrungsdauer aufzunehmen.

Ausserdem sind, wenn möglich, alle Massnahmen zur Gewährleistung der Datensicherheit festzuhalten. Falls zusätzlich Daten ins Ausland bekanntgegeben werden, muss zudem der entsprechende Staat sowie die Garantien zur Gewährleistung des Datenschutzes genannt werden.

Profiling

Für die automatisierte Bearbeitung von Personendaten zur Analyse und Vorhersage von Interessen und Verhalten natürlicher Personen gibt es neu strengere Bestimmungen. Zwar ist für private Verantwortliche eine Einwilligung oder andere Rechtfertigung für ein sog. „Profiling“ nur bei einer persönlichkeitsverletzenden Datenbearbeitung erforderlich; da aber beim Rechtfertigungsgrund des überwiegenden Interesses häufig grosse Unsicherheiten bestehen, ist das Einholen einer Einwilligung strengstens empfohlen. Bei einem Profiling mit hohem Risiko für die Persönlichkeit oder die Grundrechte durch die Verknüpfung wesentlicher Daten genügt zudem nur eine ausdrückliche Einwilligung als (eventuell erforderliche) Rechtfertigung.

Informationspflichten

Im Zusammenhang mit Verzeichnis wurde auch die Informationspflicht stark ausgebaut. Bei der Beschaffung von Daten müssen der betroffenen Person die für die Bearbeitung verantwortlichen Personen, die Bearbeitungszwecke, die Empfänger oder die Kategorie der Empfänger bei einer Bekanntgabe der Daten, die Kategorien der bearbeiteten Personendaten bei einer indirekten Datenerhebung, sowie die Durchführung automatischer Einzelentscheidungen wenn sie für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt, bekanntgegeben werden. Bei einer Bekanntgabe der Daten ins Ausland ist wiederum der entsprechende Staat oder das internationale Organ zu nennen, das die Daten erhält. Ggf. ist dann auch die Garantie für einen geeigneten Datenschutz oder der Ausnahmetatbestand, falls keine solchen Garantien gegeben sind, mitzuteilen.

Die Liste ist nicht abschliessend. Im Einzelfall ist zu prüfen, welche Angaben zusätzlich erforderlich sind. Betroffene Personen können verlangen, dass die von ihnen bekanntgegebenen Daten in einem gängigen elektronischen Format herausgegeben oder an andere Anbieter übermittelt werden. Darüber hinaus haben sie bei automatisierten Einzelentscheidungen ein Widerspruchsrecht, wonach sie verlangen können, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.

Bonitätsprüfung

Für die Durchführung einer Bonitätsprüfung werden neue, strengere Voraussetzungen für die Annahme eines überwiegenden Interesses statuiert. Eine Bonitätsprüfung ist demnach gerechtfertigt, wenn:

  • keine besonders schützenswerten Personendaten bearbeitet werden und es sich nicht um ein Profiling mit hohem Risiko handelt;
  • die Daten Dritter nur bekanntgegeben werden, wenn diese die Daten für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen;
  • die Daten nicht mehr als zehn Jahre alt sind;
  • die betroffene Person volljährig ist.

Verschärfung der Sanktionen

Das neue Gesetz sieht strafrechtliche Sanktionen in Form einer Busse von bis zu CHF 250’000 vor. Darüber hinaus kann der Eidgenössische Datenschutzbeauftragte (EDÖB) ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen.

Bei Widerhandlungen, bei denen höchstens eine Busse von CHF 50’000 in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismässig wäre, kann schliesslich auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Busse verurteilt werden.