Die neuen Informations- und Kommunikationstechnologien spielen eine wichtige Rolle in den beteiligten sozialen Systemen, die oft stark vernetzt sind. Daher ist es unerlässlich, die Struktur der Gesellschaft, in der wir leben, zu verstehen und inwieweit sie von Technologie abhängig oder verflochten ist.
Der technologische Fortschritt zwingt die Rechtswelt zu einer kontinuierlichen und sorgfältigen Überprüfung. Diese Spannung in Europa, innerhalb der Datenschutz & Privatsphäre, erreichte seinen Höhepunkt mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 24. Mai 2016 und wurde zwei Jahre später, am 25. Mai 2018, umgesetzt. In der Schweiz hingegen wurde am 25. September 2020 nach einem fast vierjährigen Gesetzgebungsprozess die Vorlage zur Revision des Bundesgesetzes über den Datenschutz (DSG) geboren. Das neue DSG (das allerdings 2022 in Kraft treten wird, weil die Durchführungsbestimmungen noch fehlen) entspricht eher den diesbezüglichen Vorschriften der EU und hat der Schweiz den Weg geebnet, bei der Europäischen Kommission einen Antrag zu stellen für die Angemessenheitsanerkennung.
Vorrangiger Zweck ist die Stärkung des Datenschutzes durch Erhöhung der Transparenz der Bearbeitung und der Kontrollmöglichkeiten der betroffenen Personen über die sie betreffenden Daten.
In einer Pressemitteilung aus Bern für die Medien im Jahr 2016 hieß es: «die Überarbeitung schafft die Voraussetzungen für die Ratifizierung des Übereinkommens des Europarates zum Datenschutz und die Umsetzung der EU-Datenschutzrichtlinie». Die Überarbeitung zielt daher darauf ab, die Schweizer Datenschutzlandschaft zu modernisieren und an die anspruchsvollsten EU-Rechtsvorschriften anzupassen.
Schauen wir uns die grundlegenden Elemente der Änderungen genauer an, die den Zweck aufzeigen, auf den sich der Bund zubewegt:
- Der grundlegende risikobasierte Ansatz: Wenn eine Aktivität erhebliche Risiken für personenbezogene Daten birgt, wird sie strengeren Schutzverpflichtungen unterliegen
- Alle Technologien, auch zukünftige, sind es im Gesetzgebungsakt berücksichtigt
- Die Suche nach Vereinbarkeit mit europäischem Recht
- Verbesserung der grenzüberschreitenden Datenübertragung, damit die Schweiz als geeignete Gesprächspartnerin fungieren kann
- Der Schutz des Betroffenen und seine Kontrolle bilden die Spitze des Ordnungsrahmens.
Vorrangiger Zweck ist die Stärkung des Datenschutzes durch Erhöhung der Transparenz der Bearbeitung und der Kontrollmöglichkeiten der betroffenen Personen über die sie betreffenden Daten.
In einer Pressemitteilung aus Bern für die Medien im Jahr 2016 hieß es: «die Überarbeitung schafft die Voraussetzungen für die Ratifizierung des Übereinkommens des Europarates zum Datenschutz und die Umsetzung der EU-Datenschutzrichtlinie». Die Überarbeitung zielt daher darauf ab, die Schweizer Datenschutzlandschaft zu modernisieren und an die anspruchsvollsten EU-Rechtsvorschriften anzupassen.
Schauen wir uns die grundlegenden Elemente der Änderungen genauer an, die den Zweck aufzeigen, auf den sich der Bund zubewegt:
- Der grundlegende risikobasierte Ansatz: Wenn eine Aktivität erhebliche Risiken für personenbezogene Daten birgt, wird sie strengeren Schutzverpflichtungen unterliegen
- Alle Technologien, auch zukünftige, sind es im Gesetzgebungsakt berücksichtigt
- Die Suche nach Vereinbarkeit mit europäischem Recht
- Verbesserung der grenzüberschreitenden Datenübertragung, damit die Schweiz als geeignete Gesprächspartnerin fungieren kann
- Der Schutz des Betroffenen und seine Kontrolle bilden die Spitze des Ordnungsrahmens.
Versuchen wir also einen kurzen Exkurs zu den wichtigsten von den Bundeskammern genehmigten Neuerungen, über die die Debatte offen und fruchtbar bleibt. Wir werden uns auf die besonders relevanten und sensibleren Auswirkungen konzentrieren:
- Die neue Kategorisierung personenbezogener Daten, insbesondere derjenigen, die als sensibel identifiziert wurden. Dabei handelt es sich um besonders schützenswerte Daten; die Kategorie wurde erweitert um Daten zur ethnischen Zugehörigkeit, Genetik und biometrische Daten, die die eindeutige Identifizierung einer natürlichen Person zulassen;
- Die Einführung von das Konzept der „Hochrisiko-Profilerstellung“. Nehmen wir ein Beispiel: Es handelt sich um Profilerstellung, wenn uns verhaltensbasierte Werbung vorgeschlagen wird, beispielsweise wenn wir auf einer Website ein Werbeplakat ansehen, das sich auf eine Dienstleistung bezieht, nach der wir zuvor gesucht haben: Es handelt sich also um eine automatisierte Verarbeitung personenbezogener Daten. Die Profilerstellung mit hohem Risiko liegt hingegen vor, wenn eine Analyse auf ein bestimmtes Thema abzielt. Diese Profilerstellung wird daher hervorgehoben, rechtlich unterstrichen und damit individualisiert: « jede Verarbeitung von Daten oder personenbezogenen Daten, die darauf abzielt, wesentliche persönliche Merkmale einer Person, insbesondere berufliche Leistung, wirtschaftliche Lage, Gesundheit, Privatsphäre oder Reisen, zu analysieren oder vorherzusagen». Der übernommene Begriff entspricht dabei der Legaldefinition der europäischen DSGVO. Darüber hinaus war die Perspektive der Einwilligung der interessierten Parteien zunächst eine offene Tür; wir versuchten zu verstehen, ob die Einwilligung ein diskriminierender Faktor bei der Verwendung von Profilerstellung in diesem Sinne sein könnte oder nicht: anscheinend nicht und die Profilerstellung sollte (vorerst) ohne Zustimmung erlaubt sein;
- das Recht der Organisationen, einen Berater für den Schutz personenbezogener Daten zu ernennen, der als Gesprächspartner sowohl gegenüber den interessierten Parteien als auch gegenüber den Behörden fungiert (u.a. EDÖB – Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter);
- Pflicht zur Meldung eines möglichen „Datenverstoßes“ an den EDÖB und genauer, wenn es sich um einen hohen Datenschutzverstoß handelt Risiko für die Grundrechte und Grundfreiheiten der betroffenen Personen und in einigen Fällen wurde auch die Verpflichtung aufgenommen, die Verletzung den interessierten Parteien mitzuteilen;
- Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, sofern zutreffend, Ausnahme von kleinen und mittlere Unternehmen (Artikel 12);
- Erstellung oder Aktualisierung von Datenschutzinformationen für betroffene Personen, um der Informationspflicht bei der Erhebung personenbezogener Daten nachzukommen (Artikel 19 ff.);
- Überprüfung der Verträge mit Datenverarbeitern, gemeinsamen Datenverantwortlichen und Dritten (z. B. Artikel 9 und 16 ff.);
- Durchführung einer Bewertung der Auswirkungen auf den Datenschutz, sofern die Verarbeitungsrisiken damit verbunden sind ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person, möglicherweise einschließlich aller „Profilerstellung mit hohem Risiko“ (Artikel 22) (siehe Punkt 2 dieser Liste);
Wie Sie sehen können, werden Unternehmen ermutigt, die Zeit, die sie brauchen bei Inkrafttreten des DSG, um ihre Mechanismen zu aktualisieren und die Auswirkungen auf ihre Aktivitäten zu bewerten, mit der Implementierung oder Entwicklung von Prozessen zu beginnen, die den laufenden Entwicklungen in Bezug auf Datenschutz & Datenschutz. - Ein weiterer grundlegender Aspekt, aber nicht der letzte, der zu berücksichtigen ist, ist die Übertragung von Kontrollbefugnissen, des Zugangs zu Orten und die unternehmenseigenen Unterlagen zur Durchführung der erforderlichen Ermittlungen. Bei Gesetzesverstößen wird auf den möglichen Einsatz des Busseninstruments bis CHF 250’000.- hingewiesen. Wir weisen darauf hin, dass die Revision des Datenschutzgesetzes in der Schweiz die strafrechtlichen Bestimmungen zum Datenschutz verschärft, zumal der Datenschutz- und Öffentlichkeitsbeauftragte im Gegensatz zu seinen europäischen Kollegen keine Verwaltungssanktionen verhängen kann. Darüber hinaus wurde im Gesetzgebungsverfahren zum Ausdruck gebracht, dass sich die strafrechtlichen Sanktionen hauptsächlich gegen Führungskräfte richten und nicht gegen Mitarbeiter, die bei der Ausübung ihrer Tätigkeit mit schutzwürdigen Daten in Kontakt kommen. Gleichzeitig ist jedoch nicht vollständig ausgeschlossen, dass es Fälle geben kann, in denen die Sanktion auch gegen Mitarbeiter ohne Führungsfunktion verhängt werden kann. Bei Straftaten, für die eine Busse von CHF 50’000.00 in Betracht kommt, der Aufwand zur Identifizierung des Täters im Unternehmen aber unverhältnismäßig wäre, kann das Unternehmen anstelle der natürlichen Person, die die Straftat begangen hat, zur Zahlung der Geldbuße verurteilt werden. Dieser Punkt bleibt offen für legislative Entwicklungen.
< li>Die Bedeutung von Durchführung einer Datenschutz-Folgenabschätzung, wenn die Verarbeitung mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden ist. Dies ist ein besonders heikler Aspekt, der eine sorgfältige Reflexion seitens der beteiligten Unternehmen erfordert. Insbesondere werden neue Transparenz- und Dokumentationspflichten sowie spezifische Verarbeitungstätigkeiten in Bezug auf Risiken auferlegt.
Einige Beispiele:
Bis zur Bekanntgabe des Datums des Inkrafttretens bleibt es jedoch notwendig und zwingend erforderlich, dass Unternehmen über Fachleute verfügen, die sie bei der Umsetzung der erforderlichen Konformität-Projekte begleiten können.
Quellen:
- LPD
- FF 2020 6695
- Schweizerische Eidgenossenschaft
- Totalrevision des Bundesdatenschutzgesetzes (Wichtig für die Vereinbarkeit mit europäischem Recht ist die Entsprechungstabelle: DSG-Vorprojekt / Reform des Europarates)
