Datenschutzgesetz: Privacy by Design und Privacy by Default
Mag. rer. publ. Daniel Kettiger
Daniel Kettiger ist Rechtsanwalt und Berater in Thun (www.kettiger.ch). Eines seiner Arbeitsschwergewichte liegt im Datenrecht (Datenschutz, besondere Geheimhaltungspflichten, Öffentlichkeitsprinzip, Urheberrechtsschutz, Geoinformationsrecht, etc.).
Neues Datenschutzrecht: von der DSGVO zum neuen Datenschutzgesetz
Unter dem Titel «Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen» fordert die EU-Datenschutz-Grundverordnung (DSGVO) von den Unternehmen im EU-Raum, aber auch von Schweizer Unternehmen, auf deren Verarbeitung von Personendaten das EU-Recht Anwendung findet, technische und organisatorische Massnahmen. Vollständig neu sind die gesetzlichen Anforderungen allerdings nicht, denn «Privacy by Design» entspricht in Teilen einigen herkömmlichen Datenschutzgrundsätzen und das Landgericht Berlin hat im Januar 2018 in einem nicht rechtskräftigen Urteil gegen Facebook festgehalten, dass bestimmte Voreinstellungen gegen geltendes Deutsches Verbraucherschutzrecht verstossen.
Das Schweizer Parlament hat am 25. September 2020 ein neues Bundesgesetz über den Datenschutz (nDSG) beschlossen; dieses wird voraussichtlich im Vorlauf des Jahres 2022 in Kraft treten. Mit dem neuen Gesetz werden Privacy by Design (Art. 7 Abs. 1 und 2 nDSG) und Privacy by Default (Art. 7 Abs. 3 nDSG) auch für die Bearbeitung von Personendaten in der Schweiz zu verbindlichen Grundsätzen.
Privacy by Design
Privacy by Design (Art. 25 Abs. 1 DSGVO; Art. 7 Abs. 1 und 2 nDSG) geht auf ein Konzept einer kanadischen Datenschutzbeauftragten aus den 1990er-Jahren zurück. Ziel der Konzeption ist es, das Risiko bei der Verarbeitung von Personendaten zu senken. Grundgedanke ist, den Schutz der Personendaten präventiv in der technischen und organisatorischen Konzeption von Verarbeitungs-Systemen anzulegen. Art. 25 Abs. 1 DSGVO fordert vom Verantwortlichen, d.h. vom Unternehmen, das die Daten verarbeitet, angemessene technische und organisatorische Massnahmen, um die Datenschutzgrundsätze einzuhalten. Art. 7 Abs. 1 nDSG schreibt vor, «die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden». Insgesamt erfordert Privacy by Design somit nicht alleine technische Lösungen bezogen auf die Datenverarbeitung selbst, sondern auch organisatorische Massnahmen. Adressat der Rechtsnorm ist nur der Verantwortliche (und der Auftragsbearbeiter), nicht auch der Hersteller von Hard- oder Software. Welche Massnahmen zu ergreifen sind, ist anhand des Risikos, der Wirksamkeit der Massnahme, des Stands der Technik und des Aufwands festzulegen, wobei das Kostenargument selten von Massnahmen dispensiert. Implementiert werden müssen die technischen und organisatorischen Massnahmen mit der Einrichtung eines Systems zur Verarbeitung von Personendaten. Im Folgenden sollen einige Beispiele von Massnahmen aufgeführt werden:
Jetzt weiterlesen mit 
- Unlimitierter Zugriff auf über 1100 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Täglich aktualisiert
- Wöchentlich neue Beiträge und Arbeitshilfen
- Exklusive Spezialangebote
- Seminargutscheine
- Einladungen für Live-Webinare
