In der Berichterstattung zum neuen Datenschutzgesetz (nDSG) war Profiling das bestimmende Thema. Dadurch gerieten allerdings die zentralen Änderungen in den Hintergrund. Neu besteht eine stärkere Pflicht zur Transparenz bei Datenbearbeitungen, auch hat der Gesetzgeber die Sanktionen deutlich verschärft und neue Instrumente wie das Bearbeitungsverzeichnis eingeführt.
In seiner Botschaft zum Entwurf des Datenschutzgesetzes erklärte der Bundesrat, dass sich eine Revision vor allem aufgrund der technologischen Entwicklung aufgedrängt habe. Tatsächlich war der zentrale Treiber der Revision aber die Rechtslage in der EU. Die Schweiz musste ihr Gesetz revidieren, wollte sie ihren Status als Land mit genügendem Datenschutz halten.
Das Thema ist dabei alles andere als trivial: Wer innerhalb der EU eine Mobile-App oder eine Software benötigt und dabei Personendaten übermittelt, wird sich bei vergleichbaren Produkten für solche der EU entscheiden. Wieso?
Ein Export von Personendaten innerhalb der EU gilt als sicher, während Exporte in die Schweiz bei schwacher Datenschutzgesetzgebung riskant sind. Und Anbieter aus den USA? Nach dem Schrems-Urteil sind solche Produkte auf der Abschussliste.
Unveränderter Grundsatz
Das Konzept bleibt auch nach der Revision gleich: Grundsätzlich ist es in der Schweiz zulässig, Personendaten zu bearbeiten. Nur eine Bearbeitung, die unverhältnismässig weit geht oder intransparent erfolgt, ist unzulässig (Art. 6 nDSG). Umgekehrt in der EU: Dort ist es grundsätzlich verboten, Personendaten zu bearbeiten. Nur wenn ein Bearbeiter einen berechtigten Grund anführen kann, ist seine Bearbeitung zulässig (Art. 6 DSGVO). Bearbeiter in der EU sind damit immer in der Beweispflicht.
Neuerungen im Überblick
Der Gesetzgeber hat zwei zentrale Pfeiler des Datenschutzgesetzes ausgebaut: die Transparenz bei Datenbearbeitungen und Sanktionen bei Verletzungen des Gesetzes. Neben weiteren Neuerungen hat der Gesetzgeber auch einzelne Instrumente aus der EU übernommen, wie beispielsweise das Bearbeitungsverzeichnis.
Höhere Transparenz
Gegenwärtig kann auf eine Information über Personendaten, die bearbeitet werden, verzichtet werden, wenn die Bearbeitung für den Nutzer ohnehin erkennbar ist (zum Beispiel aufgrund einer Eingabe über ein Online-Formular). Neu sieht Art. 19 nDSG eine aktive Informationspflicht vor: Unternehmen müssen darüber informieren, welche Daten sie zu welchen Zwecken erheben und bearbeiten. Eine Verletzung dieser Pflicht wird mit Busse bestraft. Die Information über die Bearbeitung erfolgt über Datenschutzerklärungen, in Merkblättern oder individuell in Verträgen.
Härtere Sanktionen
Kommen Millionenbussen nun auch in die Schweiz? Die Antwort lautet: nein. Trotzdem gibt es neu massiv härtere Strafen: Bussen sind nun bis maximal CHF 250’000 möglich (bisher: CHF 10’000). Im Gegensatz zur EU werden sodann nicht Unternehmen gebüsst, sondern die handelnden natürlichen Personen persönlich. Als Vergleich: Wer auf Verdacht hin fahrlässig keine Geldwäscherei-Meldung erstattet, wird mit maximal CHF 150’000 bestraft. Wer unsorgfältig Daten exportiert, wird mit maximal CHF 250’000 bestraft.
Wie bis anhin wird bestraft, wer die Informations-, Auskunfts- oder Geheimhaltungspflichten verletzt. Neu wird nun aber auch gebüsst, wer datenschutzrechtliche Sorgfaltspflichten verletzt. Sei dies infolge eines unzulässigen Datenexportes ins Ausland, einer mangelhaften Auftragsdatenverarbeitung im Inland oder weil die Mindestanforderungen an die Datensicherheit nicht eingehalten werden (Art. 61 nDSG).
Bearbeitungsverzeichnis
Aus der EU übernommen hat die Schweiz das Verzeichnis der Bearbeitungstätigkeiten (Art. 12 nDSG). Es löst die Anmeldung für heikle Datenbearbeitungen beim eidg. Datenschutzbeauftragten ab. Das Verzeichnis enthält tabellarisch eine Übersicht zu den Datenbearbeitungen eines Unternehmens. Für jede Bearbeitung sind Kenndaten (so beispielsweise der Bearbeitungszweck, die Empfänger etc.) zu erfassen. Das Verzeichnis führt damit zu einer strukturierten Analyse und Dokumentation der Datenbearbeitungen im Unternehmen und erleichtert die Prüfung von riskanten Bearbeitungen.
Fazit
Die Schweiz geht mit dem revidierten Gesetz in weiten Bereichen einen sehr pragmatischen Weg, die persönliche Strafe beim Sanktionsregime ist hingegen nicht nachvollziehbar. Wer die Vorgaben der DSGVO bereits beachtet, wird wenig Änderungsbedarf haben. Für die übrigen Unternehmen bietet die Reform Gelegenheit zu einer Analyse der laufenden Datenbearbeitungen und Identifikation grosser Risiken. Das empfiehlt sich nicht nur aufgrund der schärferen Sanktionen. Auch bei Unternehmenstransaktionen gerät diese Thematik bei der Due Diligence des Käufers immer stärker ins Blickfeld.