Das neue Datenschutzgesetz (inkl. Verordnung) gilt für die Bearbeitung von Personendaten durch Private und Bundesorgane. Demzufolge sind private Unternehmen, Vereine, Stiftungen sowie grundsätzlich auch Privatpersonen vom neuen Datenschutzrecht betroffen – wobei Privatpersonen, solange sie Personendaten ausschliesslich zum persönlichen Gebrauch bearbeiten, ausgenommen sind.
Der Begriff Personendaten umfasst alle Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Das neue DSG (inkl. Verordnung) ist nicht mehr anwendbar, wenn Daten über juristische Personen verwendet werden. Der Begriff «bearbeiten» hat jedoch nach wie vor eine weite Bedeutung und umfasst, gleich wie unter dem aktuellen Recht, unter anderem das Beschaffen, Aufbewahren, Speichern, Verändern, Bekanntgeben, Verwenden, Archivieren, Löschen oder Vernichten von Daten.
Die Revision wird die Grundsätze der Datenbearbeitung nicht wesentlich ändern. Personendaten dürfen nach wie vor nur rechtmässig bearbeitet werden, die Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein. Daten dürfen nur zu dem Zweck bearbeitet werden, für welchen sie erhoben wurden. Mit dem neuen Datenschutzgesetz werden künftig insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre eigenen Daten gestärkt. Das Datenschutzrecht auferlegt den Verantwortlichen einer Datenbearbeitung zahlreiche (neue) Pflichten. Nachfolgend finden Sie eine Auflistung der wichtigsten Neuerungen und Pflichten der Verantwortlichen:
Informationspflichten und Datenschutzerklärung
Die betroffenen Personen müssen über den Umfang und den Zweck der Datenbearbeitung informiert werden. Dies geschieht meist über eine Datenschutzerklärung. Bitte beachten Sie, dass das neue DSG weitergehende Informationspflichten mit sich bringt, was bedingt, dass Sie gegebenenfalls Ihre Datenschutzerklärungen anpassen müssen.
Datensicherheit
Nur diejenigen Personen, welche die Daten tatsächlich benötigen (beispielsweise für die Erfüllung ihrer Arbeit), sollten Zugriff auf Personendaten haben. Sollte es vorkommen, dass Personendaten verletzt werden und ein hohes Risiko für die betroffenen Personen besteht, muss dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden.
Betroffenenrechte
Betroffene, deren Personendaten bearbeitet werden haben das Recht, Auskunft über ihre eigenen Daten zu erhalten. Das DSG statuiert ein Auskunftsrecht, die Auskunft sollte innert 30 Tagen ohne Kostenfolge erfolgen. Betroffene haben zudem das Recht, fehlerhafte Daten korrigieren zu lassen oder die Löschung von Daten zu beantragen.
Bearbeitungsverzeichnis
Unternehmen mit 250 Mitarbeitenden oder mehr müssen ein Verzeichnis über sämtliche Bearbeitungen führen. Ist die Mitarbeiteranzahl nicht erfüllt, sind Unternehmen grundsätzlich davon befreit, ausser es werden besonders schützenswerte Personendaten in grossem Umfang bearbeitet oder Profiling mit hohem Risiko durchgeführt.
Bekanntgabe ins Ausland
Sollen Daten ins Ausland bekannt gegeben werden, so muss das Land über einen gleichwertigen Datenschutz verfügen oder es müssen zusätzliche Massnahmen zur Gewährleistung der Sicherheit ergriffen werden. Die Bekanntgabe umfasst nicht nur das aktive Versenden der Daten, auch der Fernzugriff fällt darunter.
Datenschutz-Folgenabschätzung
Bei Planung neuer Datenbearbeitungen, die potenziell ein hohes Risiko für betroffene Personen haben können, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Darin ist das Vorhaben zu dokumentieren und entsprechende Massnahmen zum Schutz der betroffenen Personen zu prüfen.
Berufliche Schweigepflicht gemäss DSG
Geheime Personendaten, die eine Person im Rahmen der beruflichen Tätigkeit anvertraut erhält, muss sie geheim halten. Soll dies nicht garantiert werden, muss vorgängig klargestellt werden, mit wem die Daten möglicherweise geteilt werden.
Strafbarkeit
In Bezug auf die Strafbarkeit ist besonders hervorzuheben, dass die Verletzung gewisser Pflichten aus dem neuen Datenschutzgesetz eine Strafbarkeit begründet welche – anders als in der DSGVO – nicht das Unternehmen trifft, sondern die dafür verantwortliche natürliche Person. Anzumerken bleibt an dieser Stelle, dass das Schweizer Recht jedoch nur die vorsätzliche Begehung sanktioniert. Mit einer Busse von bis zu CHF 250’000 ist insbesondere folgendes strafbar:
- Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten
- Verletzung der Datensicherheit
- Verletzung von Sorgfaltspflichten
- Bekanntgabe von Personendaten in Länder die nicht gleichwertigen Datenschutz gewährleisten, ohne das Treffen zusätzlicher Schutzmassnahmen oder ohne Ausnahmetatbestand (z.B. Einwilligung)
- Verletzung der beruflichen Schweigepflicht
Autorin
Diana Krasnic
Legal
|
Zug