Der Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes vom 21. Dezember 2016 offenbart: Das neue DSG wird den Erlassen des Europarates (Entwurf der Revision der Datenschutzkonvention des Europarates E-SEV 108) und der Europäischen Union (Richtlinie EU 2016/680, Verordnung EU 2016/679 [Datenschutzgrundverordnung; DSGVO]) ähnlich sein und diese, wo infolge von Staatsverträgen notwendig, übernehmen. Der Gesetzgeber geht davon aus, dass der VE-DSG einen angemessenen Schutz im Sinne der DSGVO garantiert. Der VE-DSG betrifft die grosse Mehrheit der Schweizer Unternehmen, die sich entsprechend sorgfältig vorbereiten und Prozesse erarbeiten sollten, um den verschiedenen erhöhten Anforderungen des VE-DSG gerecht zu werden.
Ihre Meinung zum DSG
swissICT plant, eine Stellungnahme im Rahmen der Vernehmlassung zum neuen Datenschutzgesetz einzureichen. swissICT Mitglieder habe die Möglichkeit, Ihre Überlegungen, Bedenken und Wünsche zum Datenschutzgesetz zu Handen der swissICT-Rechtskommission bis spätestens 17. Februar 2017 mit dem Betreff "DSG" an info@swissict.ch zu schicken.
Die Neuerun gen im Überblick
1. Das
Informationsrecht der betroffenen Personen wird verstärkt, bzw. die Informationspflicht des Verantwortlichen verschärft. Neu gilt die Informationspflicht auch bei vollständig automatisierten Einzelentscheidungen, verbunden mit dem Recht der betroffenen Person, ihren Standpunkt zu diesem Entscheid darzulegen.
2. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) soll
Empfehlungen der guten Praxis ausarbeiten. Er involviert dabei interessierte Kreise und Branchen. Diese Empfehlungen, deren rechtliche Natur unklar ist, sollen jedoch nicht bindend sein. Nach dem VE-DSG soll ein Unternehmen, das die Empfehlungen einhält, sich DSG-konform verhalten. Allerdings können Unternehmen auch datenschutzkonform sein, wenn sie die Empfehlungen nicht einhalten und die gesetzlichen Anforderungen anderweitig erfüllen.
3. Der
EDÖB soll eine gestärkte und unabhängigere Stellung erhalten. Neu kann der EDÖB nach Abschluss einer Untersuchung Verfügungen erlassen.
4. Die
strafrechtlichen Sanktionen sollen im VE-DSG ausgebaut werden. Zahlreiche Datenschutzverstösse werden neu mit Bussen sanktioniert. Der Höchstbetrag der Bussen soll auf CHF 500'000 erhöht werden, womit sie aber immer noch bedeutend tiefer liegen als im Rahmen der DSGVO. Diese sieht (verwaltungsrechtliche) Bussen gegen Unternehmen von bis zu EUR 20 Mio. oder 4% des gesamten weltweit erzielten Jahresumsatzes des zurückliegenden Geschäftsjahrs vor. Die Einführung zusätzlicher strafrechtliche Sanktionen d obliegt gemäss DSGVO den Mitgliedstaaten
5. Die Bearbeitung von Daten durch
Auftragsbearbeiter wird stärker reguliert.
Die wichtigsten Pflichten der Verantwortlichen
a. Informationspflicht über die BearbeitungDen Verantwortlichen trifft bei der Beschaffung von Personendaten eine umfangreiche Informationspflicht zugunsten der betroffenen Person. So muss der Verantwortliche betroffene Personen über die Beschaffung von Personendaten informieren, selbst wenn die Daten bei Dritten beschafft werden. Die Informationspflicht umfasst unter anderem die Identität und Kontaktdaten des Verantwortlichen, die bearbeiteten Personendaten und den Zweck der Bearbeitung. Werden die Personendaten Dritten bekanntgegeben, so hat der Verantwortliche den betroffenen Personen den Empfänger mitzuteilen. Die Bearbeitung von Personendaten durch einen Auftragsbearbeiter ist der betroffenen Person ebenfalls mitzuteilen, inklusive dessen Identität und Kontaktdaten. Die betroffenen Personen haben ein kostenloses Auskunftsrecht über die Bearbeitung ihrer Daten.
b. Recht auf Gehör bei Entscheiden nach automatisierter BearbeitungErfolgt eine Entscheidung ausschliesslich auf einer automatisierten Datenbearbeitung, die rechtliche Wirkungen oder erhebliche Auswirkungen auf die betroffene Person entfaltet, so muss der Verantwortliche der betroffenen Person die Möglichkeit geben, sich zu diesem Entscheid zu äussern. Es ist unklar, wie diese Anforderung in der Praxis umgesetzt werden kann. Automatisierte Entscheide dürften durch diese Vorgabe jedenfalls mit erheblichem Zusatzaufwand verbunden sein.
c. Durchführung von Datenschutz-FolgenabschätzungenUnternehmen müssen im Voraus abschätzen, ob eine geplante Datenbearbeitung voraussichtlich ein erhöhtes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt. Wird dies bejaht, ist eine Datenschutz-Folgenabschätzung durchzuführen. Diese beschreibt die geplante Bearbeitung, die Risiken für die Rechte der betroffenen Personen und die geplanten Massnahmen, um das Risiko einer möglichen Persönlichkeits- oder Grundrechtsverletzung zu verringern. Das Ergebnis der Datenschutz-Folgenabschätzung ist dem EDÖB mitzuteilen, der innerhalb von drei Monaten Einwände erheben kann.
d. Data Breaches sind dem EDÖB zu meldenUnbefugte Datenbearbeitungen oder Datenverluste hat der Verantwortliche grundsätzlich unverzüglich dem EDÖB zu melden. Gleichermassen hat der Auftragsbearbeiter den Verantwortlichen unverzüglich über eine unbefugte Datenbearbeitung zu informieren. Überdies hat eine Information der betroffenen Personen zu erfolgen, wenn es zu deren Schutz notwendig ist oder vom EDÖB verlangt wird.
e. Privacy by Design und Privacy by DefaultDer VE-DSG führt die Grundsätze von «Privacy by Design» und «Privacy by Default» ein. Diese verpflichten den Verantwortlichen, angemessene Massnahmen zu treffen, um dem Risiko von Verletzungen der Persönlichkeit vorzubeugen. Zudem sollen standardmässig nur diejenigen Personendaten bearbeitet werden, die für den Verwendungszweck erforderlich sind, was durch entsprechende Voreinstellungen (Defaults) sicherzustellen ist.
f. Dokumentation der BearbeitungWeiter obliegt den Verantwortlichen die Pflicht, ihre Datenbearbeitung zu dokumentieren. Sie informieren Empfänger von Personendaten zudem über die Berichtigung, Löschung oder Vernichtung von Daten, Verletzungen des Datenschutzes sowie über Einschränkungen der Bearbeitung.
Verschärfte Sanktionen
Massnahmen für die Missachtung der Regeln des VE-DSG drohen von zwei Seiten: Einerseits werden Unternehmen verstärkt strafrechtlich sanktioniert – der strafrechtliche Teil des VE-DSG ist bedeutend ausgebaut und mit beträchtlich erhöhten Bussen verschärft worden. Andererseits können betroffene Personen zivilrechtliche Klagen zum Schutz ihrer Persönlichkeit anheben). Vor allem die ausgebauten Strafsanktionen werden dazu führen, dass der Datenschutz-Compliance bei schweizerischen Unternehmen künftig (noch) mehr Beachtung geschenkt werden muss.
Fazit
Der Vorentwurf befindet sich derzeit im Vernehmlassungsverfahren (bis 9. April 2017). Es ist davon auszugehen, dass die Vorlage bis zur Inkraftsetzung noch bedeutende Änderungen erfahren wird. Die Rechtskommission von swissICT befasst sich aktuell mit dem VE-DSG hinsichtlich der Punkte, die für die Mitglieder der swissICT von generellem Interesse sind. swissICT plant entsprechend, eine Vernehmlassung zum VE-DSG einzureichen. Unternehmen, auf welche auch die DSGVO anwendbar ist, werden versuchen, mit ähnlichen Prozessen die Voraussetzungen sowohl der DSGVO wie auch des künftigen DSG zu erfüllen. Insgesamt wird die Einhaltung der verschiedenen datenschutzrechtlichen Voraussetzungen mit nicht zu unterschätzendem Aufwand und beträchtlichem zeitlichem Vorlauf verbunden sein. Es lohnt sich daher für betroffene Unternehmen, sich frühzeitig mit den neuen datenschutzrechtlichen Anforderungen auseinanderzusetzen und eine interne oder externe Kompetenzperson in datenschutzrechtlichen Fragen zu etablieren.
DSGVO vor der Tür
Die DSGVO wird im Mai 2018, somit in wenig mehr als einem Jahr, in Kraft treten. Die DSGVO wird sich auch auf viele Unternehmen in der Schweiz direkt auswirken. Höchste Zeit also, sich damit zu befassen und die nötigen Vorbereitungen zu treffen. Aus diesem Grund organisiert die Rechtskommission der swissICT im Frühling 2017 eine Mitgliederveranstaltung zum Thema "Umsetzung der DSGVO aus Anbieter- und Nutzersicht". Dabei schildern Datenschutzexperten aus Anwaltschaft und Industrie, wie sie den Herausforderungen der DSGVO im Sinne einer Best Practice begegnen werden. Weitere Informationen dazu folgen demnächst.
Die Autoren
Carmen De La Cruz Rechtsanwältin / Partnerin de la cruz beranek Rechtsanwälte AG; Mitglied der Rechtskommission von swissICT
Roland MathysRechtsanwalt / Partner Schellenberg Wittmer Ltd; Mitglied der Rechtskommission von swissICT