Aus- & Weiterbildung, CAS Cybersecurity

Welche Veränderungen ergeben sich mit der neuen Verordnung zum Datenschutzgesetz?

18. November 2021

Das neue Schweizer Datenschutzgesetz (nDSG) wurde im September 2020 vom Parlament verabschiedet und wird voraussichtlich Mitte 2022 in Kraft treten.

Aufgrund der technologischen Entwicklung war das schweizerische Datenschutzgesetz nicht mehr zeitgemäss. Es war unausweichlich, das Schweizer Datenschutzrecht dem Niveau der EU-Datenschutzgrundverordnung (DSGVO) anzugleichen. In guter schweizerischer Manier behält aber das nDSG weiterhin eine eigene Grundkonzeption und weicht auch in diversen anderen Punkten von dieser ab.

Ziele der Revision

Die wichtigsten Neuerungen

Kein Schutz von Daten juristischer Personen

Im nDSG werden nur noch Daten natürlicher Personen geschützt. Juristischen Personen verbleibt der Schutz durch das Firmenrecht sowie bestehende Bestimmungen der Rechtsordnung.

Besonders schützenswerte Personendaten

Die Auflistung der besonders schützenswerten Personendaten wird um genetische Daten sowie um biometrische Daten (z.B. Fingerabdruck oder Retina-Scan) erweitert.

Verschärfte Sanktionen und Ausbau der Befugnisse des EDÖB

Im Vergleich zum bestehenden Recht wurden die Strafbestimmungen deutlich ausgebaut und verschärft. Wer die Informations-, die Auskunfts-, die Sorgfalts-, oder die Mitwirkungspflichten verletzt, kann mit einer Busse bis zu CHF 250’000 bestraft werden. Strafbar sind vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit.

Profiling und Profiling mit hohem Risiko

Profiling ist eine maschinelle Meinungsbildung über Aspekte einer Person.

Es ist eine Einwilligung für ein Profiling mit einem «hohen Risiko» einzuholen. Ein Profiling mit hohem Risiko liegt vor, wenn es zu einem Profil führt, das die Beurteilung wesentlicher Aspekte einer Person erlaubt.

Erweiterung der Informationspflichten

Betroffenen Personen müssen bei der Beschaffung von Personendaten folgende Mindestanforderungen mitgeteilt werden:

Identität und Kontaktdaten des Verantwortlichen
Bearbeitungszweck
allfällige Empfänger oder Kategorien von Empfängern, denen Personendaten bekannt gegeben werden
bei Bekanntgabe ins Ausland: der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten

Recht auf Datenübertragbarkeit

Die betroffene Person kann vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.

Datenschutz-Folgenabschätzung

Der Verantwortliche ist verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Dabei sind die geplante Bearbeitung, die entstehenden Risiken sowie geeignete Massnahmen dagegen zu beschreiben.

Auftragsbearbeiter

Bei Outsourcing hat sich der Verantwortliche zu vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten und die Daten gleich bearbeitet wie der Verantwortliche.

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Der Verantwortliche muss die Datenverarbeitung in einem System so gestalten, dass es DSG konform ist (Privacy by Design). Die Einstellungen müssen auf das für den Verwendungszweck nötige Mindestmass beschränkt sein (Privacy by Default).

Automatisierte Einzelfallentscheidung

Der Verantwortliche muss die betroffene Person über eine Entscheidung informieren, die ausschliesslich auf einer automatisierten Bearbeitung beruht. Die betroffene Person kann verlangen, dass eine natürliche Person die Entscheidung überprüft.

Meldung von Verletzungen des Datenschutzes

Datenverantwortliche müssen dem EDÖB eine relevante Datenschutzverletzung «so rasch als möglich» melden. Bei der Auslegung von «so rasch als möglich», ist allerding ein gewisser «schweizerischer» Spielraum eingebaut, der eigene Auslegungen zulässt. Anders als beim DSGVO in welcher innert 72 Stunden eine Meldung erfolgen muss.

Verzeichnis sämtlicher Datenbearbeitungen

Künftig wird ein Verzeichnis sämtlicher Datenbearbeitungen zu führen sein.

Das Bearbeitungsverzeichnis des Verantwortlichen muss folgende Mindestangaben enthalten:

die Identität des Verantwortlichen
den Bearbeitungszweck
eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
die Kategorien der Empfängerinnen und Empfänger
«wenn möglich» die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
«wenn möglich» eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden)
falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.

Fazit und Handlungsbedarf

Die bestehenden Datenschutzerklärungen sollten auf die neuen Vorgaben hin überprüft und angepasst werden.
Interne Prozesse, über die das Unternehmen Personendaten beschafft identifizieren und Anhand dieser Angaben das neu vorgeschriebene Verzeichnis der Datenbearbeitungen erstellen oder aktualisieren.
Unternehmen sollten einen Prozess für Datenschutz-Folgenabschätzung einführen und die interne Zuständigkeit für den Datenschutz regeln.

Literaturquellen

DSG.ch

#023 ANGRIFFSLUSTIG – Neues Datenschutzgesetz ist da (gosecurity.ch)

Neues Datenschutzgesetz: Das müssen Sie wissen – 25. September 2020 – VISCHER

Das ist neu am revidierten Schweizer Datenschutzgesetz | Netzwoche

Neues Datenschutzgesetz Schweiz – 7 wichtige Neuerungen – Kollabro

www.mll-news.com/neues-schweizer-datenschutzrecht-wichtigste-regelungen-der-dsg-revision-im-ueberblick/

Autorenteam
René Gerber (www.linkedin.com/in/renegerber)

Roman Pfund (https://pfund-partner.ch/ · https://www.linkedin.com/in/romanpfund/)

CAS Cybersecurity & Information Risk Management