Am 1. September 2023 tritt nach 30 Jahren ein neues bzw. revidiertes Datenschutzrecht in Kraft. Der enorme Wandel der Technologie einerseits und die veränderten europäischen Vorgaben andererseits machten eine Revision nötig. Die Prinzipien des Datenschutzrechts sind grundsätzlich gleichgeblieben, trotzdem gibt es einige Änderungen, welche insbesondere für Unternehmen zu beachten sind. Vom Gesetz Betroffene sind deshalb gut beraten, bereits jetzt allfällige notwendige Änderungen vorzunehmen.

Eins vorweg: Für Unternehmen, die ihren Umgang mit Daten bereits der Europäischen Datenschutzgrundverordnung (DSGVO) vom 27. April 2016 angepasst haben, ändert sich kaum etwas. Das neue Datenschutzgesetz ist, mit einigen Ausnahmen, stark von der DSGVO beeinflusst worden. Unternehmen, welche sich im internationalen Geschäftsverkehr befinden, ist zu empfehlen, ihre Datenschutzstruktur auch an die Vorgaben des DSGVO anzupassen.

Daten von juristischen Personen fallen neu nicht mehr unter das DSG

Bisher wurden auch Daten von juristischen Personen durch das DSG erfasst. Das revidierte Gesetz schützt neu ausschliesslich die Persönlichkeit von Menschen (d.h. natürlichen Personen). Juristische Personen wie Vereine, Stiftungen, Aktiengesellschaften oder GmbH’s etc. werden dadurch aber nicht gänzlich schutzlos: Der Persönlichkeitsschutz des ZGB’s oder des Strafgesetzes sowie das UWG und das Kartellrecht bieten weiterhin einen gewissen Schutz.[1]

Geschützt sind alle Angaben, welche sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Sobald aus Sicht desjenigen, der Zugang zu den Daten hat, die Identifikation der natürlichen Person möglich ist, welche hinter den Daten steht, sind diese Daten geschützt. Eine IP-Adresse bspw. dürfte im Regelfall erst schützenswert werden, wenn man in der Lage ist, diese einer bestimmten Person zuzuordnen.[2]

Das alte wie das neue Recht kennen den Begriff der besonders schützenswerten Personendaten. Der bisherige Katalog, worunter bspw. Daten über religiöse, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, aber auch Gesundheitsdaten etc. fallen, wurde um genetische oder biometrische Daten ergänzt (Art. 5 Bst. c nDSG).

Besondere Pflichten für Datenbearbeiter

Als Bearbeiten gilt im alten wie im neuen Recht jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten (Art. 5 Bst. d nDSG). Die Vorstandsmitglieder eines Vereines, welche auf die Mitgliederdaten Zugriff haben, sind also Datenbearbeiter und müssen das DSG beachten. Einzig ausgenommen ist die Datenbearbeitungen im privaten Familien- und Freundeskreis, sofern sie ausschliesslich zum persönlichen Gebrauch vorgenommen werden und keinen Bezug zur beruflichen Tätigkeit des Bearbeiters aufweisen (Art. 2 Abs. 2 lit. a nDSG).

Bisherige Anforderungen an die Datenbearbeitung

Wie im alten müssen auch im neuen Recht Personendaten rechtmässig, nach Treu und Glauben und verhältnismässig bearbeitet werden (Art. 6 Abs. 1 und 2 nDSG). Sie dürfen nur zu einem bestimmten und für die betroffenen Personen erkennbaren Zweck beschafft und dann nur dem Zweck entsprechend bearbeitet werden (Art. 6 Abs. 3nDSG). Sie müssen vernichtet oder anonymisiert werden, wenn sie zum Zweck der Bearbeitung nicht mehr erforderlich sind (Art. 6 Abs. 4 nDSG). Schliesslich muss, wer Personendaten bearbeitet, sich über deren Richtigkeit vergewissern (Art. 6 Abs. 5 nDSG).

In gewissen Fällen ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person nötig (Art. 6 Abs. 6 und 7 nDSG). Auch diesbezüglich hat sich die Rechtslage nicht geändert. Es gilt der Grundsatz: Je mehr Risiken eine Datenbearbeitung für eine Person mit sich bringt, umso klarer muss die Einwilligung erfolgen.[3] Das Gesetz nennt einige Fälle, wo sicher eine Einwilligung nötig ist: Bei der Bearbeitung von besonders schützenswerten Personendaten, oder beim sogenannten Profiling. Darunter versteht man die Zusammenstellung von Daten, um ein möglichst genaues Bild über eine bestimmte Person zu erhalten, etwa durch automatisierte Verarbeitung. Ansonsten ist nach wie vor nicht gänzlich klar, wann eine Einwilligung eingeholt werden muss und wann nicht. Sicher ist, dass bei Vorliegen der Einwilligung die Bearbeitung der Daten im Rahmen des Gesetzes und dem Bereich, für den die Einwilligung erteilt wurde, zulässig ist.

Immer dann, wenn die Daten nicht gesetzeskonform oder gegen den ausdrücklichen Willen der betroffenen Person bearbeitet werden, sowie wenn besonders schützenswerte Personendaten Dritten bekannt gegeben werden, handelt es sich um eine Persönlichkeitsverletzung (Art. 30 nDSG) im Sinne des ZGB’s. Es gibt allerdings eine Anzahl Rechtfertigungsgründe (Art. 31 nDSG) wie Vertragsabschlüsse oder Vertragsabwicklungen.

Erweiterte Informations- und Auskunftspflichten

Das neue Datenschutzgesetz verpflichtet die Datenbearbeiter, die betroffenen Personen bei jeder Beschaffung ihrer Daten vorgängig zu informieren (Art. 19 nDSG). Früher galt diese Informationspflicht nur bei der Beschaffung von besonders schützenswerten Daten. Im Mindesten müssen ihr die Identität und Kontaktdaten einer verantwortlichen Person, der Zweck der Datenbearbeitung, allfällige Empfänger der Personendaten oder auch ein allfälliger Datenabfluss ins Ausland mitgeteilt werden. Auf welchem Weg diese Information zu erfolgen hat, bestimmt das Gesetz nicht.

Die Informationspflicht vor der Datenbeschaffung wird ergänzt mit einer Auskunftspflicht bzw. Informationsrecht gegenüber jeder Person, ob Daten bearbeitet werden (Art. 25 Abs. 1 nDSG): Die von der Datenbearbeitung betroffenen Personen haben neu einen Anspruch auf sämtliche Informationen, die für sie erforderlich sind, um ihre Rechte nach dem nDSG geltend zu machen. Sie können von den Verantwortlichen für die Datenbearbeitung auch die kostenlose Herausgabe der bearbeiteten Personendaten bzw. deren Übertragung in lesbarer Form verlangen. Werden die Informations- oder Auskunftspflichten verletzt, macht sich der Datenbearbeiter strafbar (Art. 60 nDSG).

Datenschutzerklärung nötig

Heutzutage gibt es wohl nur noch wenige Unternehmungen, welche nicht in irgendeiner Form Daten von natürlichen Personen bearbeiten. Auf der Homepage werden Cookies verwendet (=Zwischenspeicherung von Mail-Adressen, Sprachen, Seiteneinstellungen, etc.), Google Analytics ist im Einsatz, Geburtstage von Kunden und Geschäftspartner werden registriert etc. Folglich gilt fast jedes Unternehmen als Datenbearbeiter mit den entsprechenden Informationspflichten (Art. 19 nDSG). Das dafür geeignete Mittel ist eine sogenannte Datenschutzerklärung, welche bspw. auf der eigenen Homepage publiziert wird.

Gewerblichen Betrieben ist zu raten, sich bei ihren Verbänden zu erkundigen, ob diese ein Muster einer Datenschutzerklärung zur Verfügung stellen. Selbständig irgendetwas aus dem Internet zusammenzusuchen macht nämlich wenig Sinn.

Information des EDÖB und der Kunden bei Hackerangriff

Allgemein bekannt ist, dass Unternehmen immer wieder von Hackerangriffen betroffen sind. In solchen Fällen muss gemäss Art. 24 nDSG unverzüglich der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) benachrichtigt werden. Von einer Meldung kann nur abgesehen werden, wenn der Hackerangriff kein Risiko für eine Persönlichkeits- oder Grundrechtsverletzung der betroffenen Person darstellt. Sobald Kunden- oder Mitarbeiterdaten vom Angriff betroffen sind, muss eine Meldung an den EDÖB und an die betroffenen Personen erfolgen.

Neu: Datenschutz-Folgenabschätzung

Sofern die Datenbearbeitung des Unternehmens ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, muss im Voraus eine sogenannte Datenschutz-Folgenabschätzung erstellt werden (Art. 22 Abs. 2 nDSG). Ab wann ein hohes Risiko vorliegt, ergibt sich aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Ein hohes Risiko liegt aber namentlich dann vor, wenn umfangreiche Bearbeitungen besonders schützenswerter Personendaten geplant sind. In dieser Datenschutz-Folgenabschätzung müssen neben einem Beschrieb der geplanten Datenbearbeitung auch die potenziellen Risiken für die Persönlichkeit oder Grundrechte der Betroffenen, sowie geplante oder bereits umgesetzte Schutzmassnahmen dargelegt werden.

Das neue Gesetz führt die Pflicht zur Führung eines Verzeichnisses über die Bearbeitungstätigkeit ein (Art. 12 nDSG). Dieses Verzeichnis muss Informationen zur Identität des Bearbeitungsverantwortlichen, dem Bearbeitungszweck, der Dauer der Datenaufbewahrung und vielem mehr beinhalten. Die neue Datenschutzverordnung des Bundesrates befreit Unternehmen, die weniger als 250 Mitarbeiter beschäftigen von dieser Pflicht, sofern keine besonders schützenswerte Personendaten in grossem Umfang bearbeitet werden und kein Profiling mit hohem Risiko durchgeführt wird (Art. 24 nDSV). Auch wenn kleinere Unternehmen nicht zur Führung eines Bearbeitungsverzeichnis verpflichtet werden, ist es jedem Unternehmen zu empfehlen, sich wenigstens in den Grundzügen über die eigene Datenbearbeitung und deren Risiken im Klaren zu sein.

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Mit dem nDSG werden auch die beiden verpflichtenden Grundsätze «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) eingeführt. [4] Der Datenschutz durch Technik wird dadurch sichergestellt, dass die Datenbearbeitungsprogramme so ausgestaltet sind, dass Daten standardmässig anonymisiert bearbeitet und gegebenenfalls nach einiger Zeit gelöscht werden. Es geht hierbei im Grundsatz um den Schutz von Onlinekunden, die sich nicht mit den allgemeinen Nutzungsbedingungen der jeweiligen Plattform auseinandersetzen. «Privacy by Default» bedeutet, dass die Bearbeitung von Personendaten grundsätzlich auf das Minimum, was an Informationen notwendig ist, beschränkt sein muss, sofern die betroffene Person nicht selbst einer erweiterten Bearbeitung zustimmt.

Verschärfte Strafbestimmungen

Bei Verletzung der Strafbestimmungen des nDSG sind die allgemeinen Strafverfolgungsbehörden der Kantone oder des Bundes zuständig. Der EDÖB, dem die Aufsicht über die Anwendung des Datenschutzgesetzes obliegt und welcher bei Pflichtverletzung eine Untersuchung durchführt, hat dabei lediglich ein Anzeigerecht. Während das alte Datenschutzgesetz Verstösse gegen die Strafbestimmungen lediglich mit Bussen bis zu CHF 10’000.- bestraft, sieht das neue Datenschutzgesetz Bussen von bis zu CHF 250’000.- vor. Im Gegensatz zum alten DSG kann nun nicht mehr nur die verantwortliche natürliche Person, sondern auch das Unternehmen selbst gebüsst werden, sofern die Ermittlung der strafbaren natürlichen Peron innerhalb des Unternehmens mit einem unverhältnismässigen Aufwand verbunden wäre. Wird auf eine Bestrafung des Unternehmens ausgewichen, so liegt die Bussenobergrenze bei CHF 50’000.-. Dies stellt einen grossen Unterschied im Vergleich zur DSGVO dar, die eher die Bestrafung von Unternehmen, als die Bestrafung von Privatpersonen vorsieht. Zusätzlich erhält der EDÖB neu die Möglichkeit, bei fehlbaren Datenbearbeitern durch Verfügung die Anpassung, Unterbrechung oder Einstellung der Datenbearbeitung sowie die Löschung der bearbeiteten Personendaten zu verlangen. Gegen diese Verfügung müssten sich die Datenbearbeiter mit Beschwerde ans Bundesgericht zur Wehr setzen.[5]

Fazit

Unternehmen, die sich in der Vergangenheit bereits mit ihrem Datenschutz befasst haben, werden durch die neuen Regelungen nur kleine Anpassungen vornehmen müssen. Wer dem betriebsinternen Datenschutz bisher jedoch kaum Beachtung geschenkt hat, sollte aufgrund der verschärften Strafbestimmungen und der neuen Kompetenzen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten sicherstellen, dass die notwendigen Schritte hin zu einem datenschutzkonformen Umgang mit Personendaten eingeleitet werden. Dazu gehört eine Klärung der Verantwortung bei der Bearbeitung von Personendaten und die Anpassung der Geschäftsabläufe. Besonders sollte die Einwilligung zur Bearbeitung von Personendaten beachtet werden.[6]

---

[1] Das neue Datenschutzgesetz aus Sicht des EDÖB (Nur noch Daten von natürlichen Personen)

[2] David Rosenthal, Das neue Datenschutzgesetz, RZ 19

[3] David Rosenthal, Das neue Datenschutzgesetz, RZ 30

[4] Das neue Datenschutzgesetz aus Sicht des EDÖB (Privacy by Design und Privacy bei Default)

[5] Das neue Datenschutzgesetz aus Sicht des EDÖB (Sanktionen)

[6] KGL-Ratgeber, S. 15