Weka Plus

Datenschutz: Handlungsbedarf für Schweizer Unternehmen in allen Bereichen

Hohe Datenschutzanforderungen in Europa und bald auch in der Schweiz: Erhöhte Informations- und Meldepflichten bei Datenschutzverletzungen erfordern ein rasches Handeln. Bei Verletzungen drohen Bussen für Mitarbeiter und Reputationsrisiken. Handlungsbedarf besteht deshalb in juristischer, IT- und Prozesssicht für alle Unternehmen.

21.12.2021 Von: Carmen de la Cruz Böhringer
Datenschutz

Datenschutz in der Schweiz

Das revidierte Datenschutzgesetz

Am 25. September 2020 wurde das revidierte Datenschutzgesetz (revDSG) vom Parlament angenommen; es wird voraussichtlich in der zweiten Hälfte von 2022 in Kraft treten. Ziel des schweizerischen Gesetzgebers war es, das schweizerische Datenschutzgesetz (DSG) dem europäischen Umfeld (EU-Datenschutzgrundverordnung, Europarats-Konvention) anzupassen.

Ziel war es, das schweizerische Datenschutzgesetz so anzupassen, dass es aus Sicht der EU als gleichwertig angesehen wird und damit der Datenaustausch zwischen der EU und der Schweiz weiterhin ohne neue Hürden für den Austausch von Personendaten möglich bleibt. Neben dem schweizerischen DSG bleibt jedoch auch die EU-DSGVO sehr relevant. Die EU-DSGVO ist seit dem 25. Mai 2018 in Kraft und ist für Schweizer Unternehmen unmittelbar anwendbar, die Anstrengungen unternehmen, Waren oder Dienstleistungen in die EU zu verkaufen oder Verhalten von Betroffenen nachzuverfolgen (Ziff. 3 Abs 2 EU-DSGVO/ vgl. nachfolgend). 

Starker Ausbau der Informationsrechte der Betroffenen

Im Rahmen des revDSG werden die Informationsrechte von Personen, deren Daten bearbeitet werden, verstärkt. Dies heisst für Verantwortliche der verschiedenen Datenverarbeitungsprozesse, dass sie bei allen Personendatenbearbeitungen eine verschärfte Informationspflicht trifft. Der/die betroffene Kunde/-in, Mitarbeiter/-in resp. Betroffene muss in Zukunft explizit darauf aufmerksam gemacht werden, wie seine Daten bearbeitet werden (Zweck, Mittel, beigezogene Dritte etc.). Eine Aufklärung über die Datenbearbeitung lediglich via AGB genügt nicht mehr (siehe sogleich unter Informationspflichten des Verantwortlichen). Betroffene haben das Recht, Auskunft über die Bearbeitung der über ihn gespeicherten Personendaten zu verlangen; sie können u.a. Berichtigungen von Personendaten fordern oder die Löschung
ihrer Personendaten durchsetzen.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)

Grundsätzlich hat der EDÖB im Rahmen der Totalrevision eine unabhängigere Stellung erhalten, und wurde in seinen Rechten gestärkt: Er kann Empfehlungen der guten Praxis (Industry Practices) abgeben, z.B. hinsichtlich Spezialfragen, nimmt Meldungen bei Datenschutzverletzungen entgegen, prüft diese, etc. Die verstärkte Stellung des EDÖB zeigt sich auch im Recht zum Erlass von Verfügungen.

Sanktionen bei Verletzungen des revDSG

Neu enthält das revDSG strafrechtliche Sanktionen gegenüber einzelnen Personen, die einen Katalog von Bestimmungen des revDSG verletzen:

Verletzt eine private (natürlich) Person die Informationspflichten gegenüber Betroffenen (Art. 19 revDSG) resp. detailliertere Informations- oder Einwilligungspflichten im. Falle von automatisierten Einzelfallentscheidungen (Art. 21 revDSG) oder die Auskunftsrechte von Betroffenen (Art. 25 revDSG), so droht ihr ein Strafverfahren mit einer Busse von bis zu CHF 250'000.—. welche von der Privatperson (strafrechtliche Verurteilung) zu bezahlen ist (nicht Arbeitgeber). Dies gilt auch bei Verletzungen der Vorschriften im Zusammenhang mit dem Datenaustausch ins Ausland: Auch hier droht eine strafrechtliche Busse gegenüber natürlichen Personen von bis zu CHF 250'000.--.

Wichtiger Hinweis: Für einen Grossteil der international tätigen, Schweizer Unternehmen gilt aufgrund des exterritorialen Anwendungsbereichs der EU-DSGVO letztere, so dass in diesem Fall zusätzlich ein happiges Sanktionssystem der EU greifen kann.

Privatpersonen können wie bisher in der Schweiz ihre Ansprüche gegen Unternehmen mittels Zivilklage durchsetzen.

Informationspflichten der Verantwortlichen

Den Verantwortlichen trifft gemäss revDSG bei der Beschaffung von Personendaten eine umfangreiche Informationspflicht zugunsten der betroffenen Person (Art. 19 und 21 revDSG). In diesem Rahmen hat er betroffene Personen über die Beschaffung von Personendaten zu informieren, selbst wenn die Daten bei Dritten beschafft werden. Die Informationspflicht umfasst unter anderem die Identität und Kontaktdaten des Verantwortlichen, die bearbeiteten Personendaten, den Zweck der Bearbeitung, die Zusammenarbeit mit Auftragsbearbeitern  sowie den Datentransfer ins Ausland. Diese Informationen müssen ausdrücklich erfolgen und können nicht länger via AGB generell mitgeteilt und akzeptiert werden.

Werden die Personendaten Dritten bekannt gegeben, so hat der Verantwortliche den betroffenen Personen den Empfänger sowie den Empfängerstaat mitzuteilen, ebenso die Bearbeitung von Personendaten durch einen Auftragsbearbeiter inklusive dessen Identität und Kontaktdaten. Die betroffenen Personen haben ein kostenloses Auskunftsrecht über die Bearbeitung ihrer Daten.

Automatisierte Einzelfallentscheidung

Beruht eine Entscheidung, die Personendaten betrifft, wie beispielsweise die Vergabe einer Hypothek oder der Abschluss einer Versicherungspolice, ausschliesslich auf einer automatisierten Personendatenbearbeitung, die für die betroffene Person mit einer Rechtsfolge verbunden ist, so muss der Verantwortliche der betroffenen Person auf Antrag die Möglichkeit geben, sich zu diesem Entscheid zu äussern (Art. 21 revDSG). Dieses Recht besteht nicht, wenn die automatisierte Einzelentscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages zwischen dem Verantwortlichen und der betroffenen Person steht und ihrem Begehren stattgegeben wird oder die betroffene Person ausdrücklich dazu einwilligt, dass die Entscheidung automatisiert erfolgt. Automatisierte Entscheide dürften durch diese Vorgabe jedenfalls mit erheblichem Zusatzaufwand verbunden sein. Fakt ist, dass dies schon heute zum Teil implementiert ist (vgl. beispielsweise gewisse Bank- oder Versicherungsgeschäfte), wenn auch mit zusätzlichen Überprüfungsmechanismen.

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden
Newsletter W+ abonnieren