Im Zug von EU-Datenschutz-Grundverordnung (EU-DSGVO) und ePrivacy hat der Bundesrat die Totalrevision des Datenschutzgesetzes Schweiz (DSG) angeschoben. Dieses wird die meisten Unternehmen in der Schweiz betreffen. Für eine optimale Vorbereitung hier die fünf Schlüsselneuerungen im Überblick.
Die EU will die Persönlichkeit und Freiheit von Datensubjekten – also Personen, deren Daten verarbeitet werden – besser schützen. Deshalb hat sie im Mai 2018 die EU-DSGVO in Kraft gesetzt und die ePrivacy-Verordnung ins Leben gerufen (anwendbar voraussichtlich ab 2020). Die Schweiz zieht in diesem Thema mit. Darum hat der Bundesrat im September 2017 seinen Entwurf für ein totalrevidiertes Datenschutzgesetz Schweiz, kurz E-DSG, präsentiert. Damit will er mehr Transparenz schaffen und die Mitbestimmungsrechte von betroffenen Personen stärken.
Das neue DSG ist sehr breit gefasst und tangiert fast jedes Unternehmen in der Schweiz. Damit diese sich optimal vorbereiten können, haben wir hier die wichtigsten Änderungen zusammengefasst:
1. Sanktionen
Im Gegensatz zum bestehenden Datenschutzgesetz definiert der Textentwurf des neuen Gesetzes klare Sanktionen. So können Individuen, die das neue Datenschutzgesetz Schweiz vorsätzlich verletzen, mit einer Busse von bis zu CHF 250’000 bestraft werden.
2. Meldung von Verletzungen des Datenschutzes
Datenverantwortliche müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eine Datenschutzverletzung so rasch als möglich melden, wenn ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person besteht. Falls erforderlich, müssen sie die betroffenen Personen zudem informieren.
3. Besonders schützenswerte Personendaten
Das neue Datenschutzgesetz erweitert die Liste von Daten, die unter die Kategorie der schützenswerten Personendaten fallen. Neu aufgeführt sind genetische und biometrische Daten (z.B. Fingerabdruck), die eine natürliche Person eindeutig identifizieren.
4. Technikgestaltung und datenschutzfreundliche Voreinstellung
Verantwortliche für Daten und Datenverarbeitung erhalten strengere Sorgfaltspflichten, die genauer definiert sind. So müssen sie bereits bei der Planung der Datenverarbeitung das Risiko einer Verletzung der Persönlichkeit angemessen verringern («privacy by design»). Zudem sind sie verpflichtet, mit geeigneten Voreinstellungen sicherzustellen, dass standardmässig nur für den jeweiligen Verwendungszweck erforderliche Personendaten verarbeitet werden («privacy by default»).
5. Datenschutz-Folgenabschätzung
Datenverantwortliche oder Datenverarbeiter sind zu einer Datenschutz-Folgenabschätzung verpflichtet, wenn die vorgesehene Datenverarbeitung zu einem erhöhten Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt. Dabei müssen sie sowohl Risiken als auch geeignete Massnahmen umschreiben.
Das Wichtigste in Kürze
Für die Unternehmen ist der Datenschutz schon lange kein reines IT-Thema mehr, sondern gehört auf die Agenda von Verantwortungs- und Entscheidungsträgern einer ganzheitlichen Compliance. Die EU-DSGVO, das neue DSG, ePrivacy und zukünftige Richtlinien erfordern von den Unternehmen eine neue Sensibilität für den Umgang und Schutz von personenbezogenen Daten. Wir meinen: Der richtig Zeitpunkt dafür ist jetzt.
