Wer es noch noch nicht mitbekommen hat, am Freitag den 1.sten September 23 tritt das neue Schweizer Datenschutz Gesetz in Kraft. Und das unmittelbar, denn die Übergangsfrist ist dann abgelaufen. Was heisst das jetzt für Marktbearbeiter der Schweizer Konsumentinnen und Konsumenten sowie mit dem B2B Marketing an Firmen. Wo wir eine Neuerung zur DSGVO feststellen dürfen.
Hier die wichtigsten Änderungen kurz zusammengefasst von Reto Fanger, Rechtsanwalt und Gründer Advokatur Fanger.
Wichtigste Neuerungen der Revision
Gegenüber dem geltenden Recht hat dies zu folgenden wichtigsten Neuerungen geführt:
Kein Schutz mehr von Daten juristischer Personen: Künftig werden lediglich noch natürlich Personen geschützt werden, während die juristischen Personen (z.B. AG, GmbH etc.) sich für ihren Schutz nicht mehr auf das revDSG berufen können. Ihnen verbleibt der Schutz durch das Firmenrecht sowie weitere bestehende Bestimmungen der Rechtsordnung (z.B. Persönlichkeitsschutz nach ZGB, UWG). Kommentar TP „Es wird sich zeigen ob das Schweizer UWG hier und heute dafür schon ausgelegt ist. Wir sind gespannt auf die ersten Fälle.“
Besonders schützenswerte Personendaten: Die Auflistung der besonders schützenswerten Personendaten wird um genetische Daten sowie um biometrische Daten (z.B. Fingerabdruck oder Retina-Scan) erweitert. Somit gelten auch hier künftig qualifizierte Rechtsfolgen, beispielsweise bei der Einwilligung, der Datenschutz-Folgenabschätzung oder der Datenbekanntgabe an Dritte.
Profiling und Profiling mit hohem Risiko: Profiling ist jede Art der automatisierten Bearbeitung von Personendaten, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Profiling mit hohem Risiko liegt dann vor, wenn Personendaten automatisiert bearbeitet werden und eine Verknüpfung von Daten die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Bei Profiling mit hohem Risiko muss eine allenfalls erforderliche Einwilligung ausdrücklich erfolgen.
Auftragsbearbeiter: Das Auftragsbearbeitungsverhältnis (Outsourcing, z.B. in die Cloud) kann durch Vertrag oder Gesetz begründet werden. Der Auftragsbearbeiter hat die Daten gleich zu bearbeiten wie der Verantwortliche. Der Verantwortliche hat sich dabei zu vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Die Übertragung an einen Unterauftragnehmer bedarf der vorgängigen Genehmigung des Verantwortlichen.
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Der Verantwortliche muss die Datenbearbeitung ab der Planung so gestalten, dass die Datenschutzvorschriften und insbesondere die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Weiter müssen die Voreinstellungen so eingestellt sein, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck notwendige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Privacy by Default).
Erweiterung Informationspflichten: Betroffenen Personen müssen bei der Beschaffung von Personendaten folgende Mindestanforderungen mitgeteilt werden: Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck, allfällige Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfänger, denen Personendaten bekannt gegeben werden sowie bei Bekanntgabe ins Ausland zusätzlich auch der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten.
Ausbau Auskunftspflichten: Betroffene Personen haben neu Anspruch auf jede Information, welche für sie erforderlich ist, um ihre Rechte nach dem revDSG geltend zu machen. Die Auskunft ist daher nicht auf die abschliessend definierten Mindestinformationen beschränkt.
Recht auf Datenübertragbarkeit: Mit dem Recht auf Datenherausgabe und Datenübertragung (Datenportabilität) kann die betroffene Person kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.
Automatisierte Einzelfallentscheidung: Der Verantwortliche muss die betroffene Person über eine Entscheidung informieren, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Die betroffene Person muss dabei die Möglichkeit haben, ihren Standpunkt darzulegen und kann verlangen, dass die Entscheidung von einer natürlichen Person geprüft wird.
Datenschutz-Folgenabschätzung: Weiter ist der Verantwortliche verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Dabei sind die geplante Bearbeitung, die entstehenden Risiken sowie geeignete Massnahmen dagegen zu beschreiben.
Meldung von Verletzungen des Datenschutzes: Bei einer Datenschutzverletzung hat der Verantwortliche dem EDÖB so rasch als möglich Meldung zu erstatten, wenn grosse Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen bestehen. Zudem müssen in der Regel auch die Betroffenen informiert werden, sofern dies zu ihrem Schutz erforderlich ist. Auch der Auftragsbearbeiter muss eine Verletzung der Datensicherheit so rasch als möglich dem Verantwortlichen melden, der dann die weiteren Schritte einzuleiten hat.
Sanktionen: Natürliche Personen können bei vorsätzlicher Verletzung der Informations- und Auskunftspflichten sowie der Sorgfaltspflichten neu mit Busse bis CHF 250’000 bestraft werden. Ausreichend ist der Eventualvorsatz, weshalb die Strafbarkeit bereits gegeben ist, wenn eine tatsächlich eingetretene Verletzung in Kauf genommen wurde. Dies führt dazu, dass – im Gegensatz zur DSGVO bei der lediglich Unternehmen oder Organisationen im Fokus stehen – nach dem revidierten DSG Verantwortliche im Unternehmen wie CEOs, CIOs oder andere Funktionen direkt sanktioniert werden können. Die Zuständigkeit liegt dabei bei den kantonalen Staatsanwaltschaften.
Weitere Infos unter dem folgenden Link https://www.netzwoche.ch/news/2020-12-04/das-ist-neu-am-revidierten-schweizer-datenschutzgesetz/
