Update zum Datenschutz
Les jeux sont faits: Der Bundesrat hat am 31. August 2022 definitiv entschieden, die neue Datenschutzgesetzgebung per 1. September 2023 in Kraft zu setzen. Gleichzeitig wurde der endgültige Wortlaut der Datenschutzverordnung (DSV) publiziert. In unserem Newsletter vom Juli 2021 haben wir über den Entwurf der Verordnung zum Datenschutzgesetz (E-VDSG) berichtet. Nachdem der Entwurf insbesondere in der Wirtschaft auf viel Gegenwind gestossen ist und gar von einer „verpassten Chance“ gesprochen wurde, wurde der Entwurf wesentlich überarbeitet. Ausgewählte Aspekte davon werden nachfolgend beleuchtet.
Teilweise wurde in den Vernehmlassungen zur Verordnung die Meinung vertreten, dass bei verschiedenen Normen des Entwurfs der Verordnung die gesetzliche Grundlage fehlen oder der Entwurf gar dem neuen Datenschutzgesetz widersprechen würde. Zudem wurde oft die Kritik angebracht, dass der Entwurf im Allgemeinen zu wenig präzise sei und zu viel Interpretationsspielraum offenliesse. Dementsprechend hat der Bundesrat versucht, die DSV nicht nur inhaltlich, sondern auch systematisch anzupassen, damit eine klarere Verknüpfung zwischen den einzelnen Bestimmungen der Verordnung und dem Datenschutzgesetz hergestellt werden kann. Immerhin kann auch von einer gewissen „Entschärfung“ gesprochen werden, sind die Forderungen der Wirtschaft doch wenigstens teilweise auf offene Ohren gestossen.
Betreffend die Datensicherheit wurde die DSV dahingehend angepasst und der Kritik Rechnung getragen, als dass auslegungsbedürftige Begriffe gestrichen und damit zur Rechtssicherheit beigetragen wurde. Zur Gewährleistung der Datensicherheit müssen technische und organisatorische Massnahmen ergriffen werden, wobei zentral ist, dass die entsprechenden Daten a) nur den Berechtigten zugänglich sind, b) verfügbar sind, wenn sie benötigt werden; c) nicht unberechtigt oder unbeabsichtigt verändert werden und d) nachvollziehbar bearbeitet werden. Dabei wird ein risikobasierter Ansatz verfolgt, wonach die zu treffende Massnahme vom potenziellen Risiko für die betroffenen Personen abhängen.
Bei der Bearbeitung durch Auftragsbearbeiter, bzw. der Weitergabe der Daten durch Auftragsbearbeiter an Dritte bedarf es der Genehmigung des Verantwortlichen. Auch wenn die verantwortliche Person die Bearbeitung auf einen Auftragsbearbeiter übertragt, bleibt die verantwortliche Person weiterhin für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich.
Betreffend die Informationspflicht präzisiert die DSV, dass der Verantwortliche der betroffenen Person die Information über die Beschaffung von Personendaten in präziser, transparenter, verständlicher und leicht zugänglicher Form mitteilen muss. Damit muss die verantwortliche Person sicherstellen, dass die betroffene Person bei der Beschaffung ihrer Personendaten die wichtigsten Informationen stets auf der ersten Kommunikationsstufe erhält. Es ist wichtig festzuhalten, dass die Information (bspw. durch eine Datenschutzerklärung) über eine Website nicht in jedem Fall genügt. Die betroffene Person muss wissen, dass sie die Informationen auf einer bestimmten Website findet. Beispielsweise im Falle eines Telefongesprächs bietet sich diesbezüglich an, auf die Datenschutzerklärung aufmerksam zu machen und ggf. der betroffenen Person einen Link zuzustellen.
Wie bereits im Entwurf festgehalten, sind privatrechtliche Unternehmen mit weniger als 250 Mitarbeitenden von der Pflicht zur Führung eines Bearbeitungsverzeichnisses befreit. Eine Gegenausnahme bilden Unternehmen, die umfangreich besonders schützenswerte Personendaten bearbeiten oder ein Profiling mit „hohem Risiko“ betreiben.
Betreffend die Bekanntgabe von Personendaten ins Ausland hat der Bundesrat die Länder mit angemessenem Datenschutz publiziert, welche die bisher geltende Länderliste des EDÖB ersetzt.
Die Pflicht zur Protokollierung gewisser Datenbearbeitungsvorgänge knüpft nicht mehr an das Resultat der Datenschutzfolgeabschätzung. Relevant ist neu vielmehr, ob eine automatisierte Bearbeitung von besonderes schützenswerten Personendaten in grossem Umfang und ein Profiling mit hohem Risiko durchgeführt wird.