Totalrevision des Datenschutzgesetzes ist endlich verabschiedet

Auf der Schlussgeraden kam die Revision doch nochmals ein wenig ins Stocken, da sich der Nationalrat und der Ständerat in einigen Details nicht ganz einig waren. Insbesondere bestand Uneinigkeit bei Fragen zum Profiling mit hohem Risiko sowie beim Umgang mit besonderes schützenswerten Daten. Diese Differenzen konnten nun bereinigt werden und das Datenschutzgesetz wurde am 25. September 2020 durch das Parlament in der Schlussabstimmung verabschiedet.

Im Ergebnis ist die Totalrevision eine moderate Erneuerung und Annäherung an die DSGVO aber weniger streng und umfassend ausgefallen, als dies ursprünglich angedacht war. 

Im Moment läuft zwar noch die Referendumsfrist, wobei aber nicht davon auszugehen ist, dass hier eine Interessengruppe dieses ergreifen wird. Das revidierte Gesetz tritt somit voraussichtlich 2021 oder Anfang 2022 in Kraft.

Im Gegensatz zur europäischen DSGVO wird es keine zweijährige Übergangsfrist geben, weshalb sich Unternehmen diesem Thema relativ schnell annehmen müssen. Zum jetzigen Zeitpunkt sind jedoch noch nicht alle Detailfragen geklärt, da der Bundesrat die Verordnung noch entsprechend anpassen muss. Die allgemeine Marschrichtung ist aber klar.

Obwohl sich der Gesetzgeber am europäischen Datenschutzrecht (DSGVO) orientiert hat, wird das DSG nicht ganz so komplex und streng ausfallen. Hauptziel war die Stärkung des Schutzes und der Rechte der betroffenen Personen. Dies wollte man vor allem über die Verbesserung der Transparenz bei der Bearbeitung von Daten sowie mit erhöhten Informationspflichten erreichen. Allgemein stärkt das neue Gesetz die Rechte der betroffen Personen, so soll eine Stärkung der Kontrollmöglichkeiten über die eigenen Daten erreicht werden.

In Zukunft müssen Unternehmen, die Personendaten bearbeiten, deshalb strengere Dokumentationspflichten einhalten. Grössere Unternehmen sowie Unternehmen mit regelmässigen Datenbearbeitungen müssen künftig ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Daneben sind Verletzungen der Datensicherheit zu melden, sofern diese voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person werden. Ausserdem ist der Datenschutz bereits in der Planung ausreichend zu berücksichtigen und eine datenschutzfreundliche Ausgestaltung wird Pflicht. Bei hohen Risiken ist zudem eine Datenschutz-Folgenabschätzung zu erstellen.

Da sich diese neuen Anforderungen nicht von heute auf morgen erfüllen lassen, sollten Unternehmen möglichst bald den IST-Zustand innerhalb des Unternehmens evaluieren und danach den SOLL-Zustand definieren.

Das neue DSG sieht grundsätzlich keine verwaltungsrechtlichen Bussen vor. Millionenstrafen wie in der EU muss ein Unternehmen daher nicht fürchten. Der EDÖB wird jedoch stärkere Kontrollmöglichkeiten erhalten. Er wird in Zukunft umfassende Untersuchungen durchführen und im Anschluss eine Anpassung oder Einstellung der Datenbearbeitung verfügen können. Ein Verstoss kann zudem zu strafrechtlichen Sanktionen führen. Eine Strafuntersuchung richtet sich primär gegen die Geschäftsleitung und kann mit einer Busse bis zu CHF 250'000.00 geahndet werden.

Heute bearbeiten praktisch alle Unternehmen Personendaten in irgendeiner Form und daher sollte jeder Geschäftsführer prüfen, wie stark sein Unternehmen von den neuen Regeln betroffen sein wird und welche Massnahmen zu ergreifen sind.

Gerne unterstützen wir Sie bei der Umsetzung der neuen Anforderungen. Wir bieten sowohl individuelle Beratungen als auch Paket-Lösungen (bspw. Erstellen aller Vorlagen) an.

Dieser Beitrag wurde von RA Yves Gogniat verfasst.

Haben Sie Fragen und Anliegen zum Thema Datenschutz, können Sie sich direkt an Balthasar Wicki wenden.