1 Entscheid des Bundesrates
Der Bundesrat setzt mit seinem Entscheid das neue Datenschutzgesetz (DSG) und die entsprechenden Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ) auf den 1. September 2023 in Kraft.
Mit der Inkraftsetzung des neuen Datenschutzrechts auf den 1. September 2023 kommt der Bundesrat einem Anliegen aus der Wirtschaft nach. Mit der Übergangsfrist von einem Jahr erhalten die Datenschutzverantwortlichen genügend Zeit, die notwendigen Vorkehrungen für die Umsetzung des neuen Datenschutzrechts zu treffen.
2 Zweck und Inhalt des Datenschutzrechts
Das Datenschutzrecht konkretisiert das Grundrecht auf informationelle Selbstbestimmung gemäss Art. 13 Abs. 2 BV. Mit dem Datenschutzrecht soll die Privatsphäre der Menschen geschützt werden. Das Datenschutzrecht sorgt dafür, dass dieses Grundrecht nicht nur im Verhältnis zum Staat, sondern auch unter Privaten wirksam wird (Art. 35 Abs. 3 BV).
Das Datenschutzrecht legt die Grundsätze für die Bearbeitung von Personendaten fest. Es regelt die Pflichten derjenigen, welche die persönlichen Daten bearbeiten und verankert die Rechte der betroffenen Person. Damit diese Regeln in der Praxis auch angewendet werden, wird der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) mit der Aufsicht über die bundesrechtlichen Datenschutzvorschriften beauftragt.
3 Wesentliche Neuerungen der Totalrevision des Datenschutzrechts
Die Revision des Datenschutzrechts war notwendig, um der technologischen Entwicklung und der digitalen Transformation unserer Gesellschaft gerecht zu werden. Die neuen Bestimmungen stellen zudem die Vereinbarkeit mit dem europäischen Recht sicher und ermöglichen es, die modernisierte Datenschutzkonvention 108 des Europarats zu ratifizieren. Diese Anpassungen im neuen Datenschutzrecht sind wichtig, damit die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung auch künftig ohne zusätzliche Anforderungen möglich bleibt. Zu nennen sind hier insb. die Umsetzung der Anforderungen der modernisierten Datenschutzkonvention 108+ des Europarates, die Umsetzung der Schengen-relevanten Richtlinie (EU) 2016/680 zum Datenschutz in Strafsachen sowie die Annäherung an die EU-Datenschutz-Grundverordnung 2016/679 (DSGVO).
Mit der Totalrevision soll die Selbstbestimmung der betroffenen Personen über ihre persönlichen Daten gestärkt werden. Zu nennen sind insbesondere folgende Verbesserungen:
- Generelle Verbesserung der Transparenz;
- Stärkung der Aufsichtskompetenzen und der Unabhängigkeit des EDÖB;
- Verschärfung der Strafbestimmungen.
- Berücksichtigung des Datenschutzes bereits bei der Planung der Datenbearbeitung ("privacy by design") und durch datenschutzfreundliche Voreinstellungen ("privacy by default");
- Pflicht, Datenschutz-Folgenabschätzungen durchzuführen
- Das Recht auf Datenherausgabe und -übertragung
- Förderung der Datensicherheit und Meldung der Verletzungen der Datensicherheit
Die Revision soll zudem die Selbstregulierung bei den Verantwortlichen fördern. Dies erfolgt über Verhaltenskodizes, welche die Tätigkeit der Verantwortlichen erleichtern und die Einhaltung des Gesetzes verbessern sollen. Diese Kodizes werden von den Branchen erarbeitet und können dem EDÖB vorgelegt werden.
Die Menschen sollen mehr Transparenz darüber haben, wer ihre Personendaten bearbeitet und zu welchem Zweck die Bearbeitung erfolgt, damit sie ihre Rechte nach dem Datenschutzgesetz geltend machen können. Zu diesem Zweck wurde die aktive Informationspflicht der Verantwortlichen sowie das Auskunftsrecht der Betroffenen gestärkt. Letzteres beinhaltet eine nicht abschliessende Aufzählung von Informationen, die in jedem Fall mitgeteilt werden müssen. Die Informationspflicht gilt neu auch bei automatisierten Einzelentscheidungen (z. B. durch Algorithmen).
Das neue Datenschutzrecht sieht vor, dass der EDÖB von Amtes wegen oder auf Anzeige hin eine Untersuchung gegenüber den Verantwortlichen und Auftragsbearbeitern eröffnen und beim Abschluss der Untersuchung nicht nur eine Empfehlung, sondern neu eine anfechtbare Verfügung erlassen kann.
Wer gegen die Datenschutzvorschriften verstösst, kann künftig mit einer Busse von bis zu 250 000 Fr. bestraft werden. Die Strafe kann einzig durch die Gerichte ausgesprochen werden.
Bevor eine Datenbearbeitung durchgeführt wird, müssen die Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person erkannt und bewertet werden. Diese sogenannte Datenschutz-Folgenabschätzung ist zwingend durchzuführen, wenn besonders schützenswerte Personendaten (z. B. Gesundheitsdaten) bearbeitet oder risikoreiche Datenbearbeitungen geplant werden (z. B. Profiling).
Eine automatisierte Einzelentscheidung liegt vor, wenn Personendaten nicht von einer natürlichen Person bearbeitet werden, sondern die Entscheidung durch eine Maschine erfolgt (z. B. Algorithmen). Das neue Datenschutzrecht schreibt vor, dass die betroffene Person über eine automatisierte Einzelfallentscheidung informiert wird und unter bestimmten Voraussetzungen verlangen kann, dass die Entscheidung von einer natürlichen Person überprüft wird.
Profiling bezeichnet jede Art der automatisierten Bearbeitung von Personendaten, die z. B. Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person analysiert oder vorhersagt. Ein Profiling ist mit anderen Worten dadurch gekennzeichnet, dass Personendaten automatisiert ausgewertet werden, um auf der Grundlage dieser Auswertung, ebenfalls in automatisierter Weise, die Merkmale einer Person zu bewerten.
Jede Person kann vom Verantwortlichen unter bestimmten Voraussetzungen die Herausgabe der Personendaten, die sie ihm bekanntgegeben hat, in einem gängigen elektronischen Format verlangen und einem anderen Verantwortlichen übertragen (Recht auf Datenportabilität). Damit wird gleichzeitig die Stellung der betroffenen Person als selbstbestimmte Konsumentin von digitalen Dienstleistungen gestärkt und der freie Wettbewerb unter den unterschiedlichen Anbietern gefördert.
4 Internationale Entwicklungen des Datenschutzes
Die EU-Richtlinie 2016/680 stellt eine Weiterentwicklung des Schengen-Besitzstands dar, welche die Schweiz aufgrund des Schengen-Assoziierungsabkommens übernehmen muss. Sie hat einen spezifischen Geltungsbereich und regelt Datenbearbeitungen durch Behörden zum Zweck der Strafverfolgung, Strafvollstreckung und der Abwehr von Gefahren für die öffentliche Sicherheit.
Die Datenschutz-Grundverordnung regelt allgemein den Schutz von Daten, die von privaten Personen oder Behörden der EU-Mitgliedstaaten bearbeitet werden. Anders als die EU-Richtlinie 2016/680 zum Datenschutz in Strafsachen ist die EU-Datenschutz-Grundverordnung keine Weiterentwicklung des Schengen-Besitzstandes und ist für die Schweiz nicht direkt verbindlich. Allerdings gilt die EU-Datenschutz-Grundverordnung auch für Unternehmen in der Schweiz, wenn sie Personen in der EU Waren oder Dienstleistungen anbieten oder wenn sie das Verhalten von Personen in der EU beobachten. Zudem ist es für die Schweiz wichtig, dass sie von der EU weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkannt wird.
Die Schweiz verfügt bereits seit dem Jahre 2000 über einen Angemessenheitsbeschluss der EU, der ein gleichwertiges Datenschutzniveau anerkennt. Die Angemessenheit gegenüber den europäischen Datenschutzvorschriften wird regelmässig überprüft. Das neue Recht ermöglicht eine Annäherung des Schweizer Schutzniveaus an den EU-Standard.
Fehlt ein Angemessenheitsbeschluss vonseiten der EU, so sind Datenübermittlungen in die Schweiz nur möglich, sofern geeignete Garantien vorgesehen sind. Dies führt zu hohen administrativen Hürden, die den freien Datenfluss und die damit einhergehende Innovation hemmen und somit nachteilige Konsequenzen für den Schweizer Wirtschaftsstandort haben.
Die Schweiz wird das Änderungsprotokoll mit dem Inkrafttreten des revidierten DSG ratifizieren. Die modernisierte Datenschutz-Konvention 108+, wird am 11. Oktober 2023 in Kraft treten, sofern bis zu diesem Zeitpunkt mindestens 38 Vertragsstaaten dem Protokoll angehören.
Bis heute haben rund 50 Staaten die Datenschutz-Konvention 108 des Europarats ratifiziert, darunter auch die Schweiz. Es ist das erste verbindliche völkerrechtliche Instrument im Bereich des Datenschutzes und datiert aus dem Jahr 1981. Der Europarat hat nun auch diese Konvention dem digitalen Zeitalter angepasst. Mit der Ratifizierung der revidierten Konvention kann die Schweiz gegenüber ihren internationalen Vertragspartnern ein gutes Datenschutzniveau behalten und stärkt damit den Wirtschaftsstandort Schweiz. Mit der Totalrevision des Datenschutzgesetzes DSG sollen die Anforderungen der neuen Konvention 108 erfüllt werden. Inhaltlich sind sie den neuen EU-Datenschutzbestimmungen und den Bestrebungen der Schweiz sehr ähnlich.
Letzte Änderung 29.09.2022