Welche wichtigen Veränderungen bringt das revidierte DSG mit sich?

Am 25. September 2020 hat das Schweizer Parlament das überarbeitete Schweizer Bundesgesetz über den Datenschutz (revDSG) verabschiedet.

Das revDSG ersetzt das Datenschutzgesetz von 1992 und tritt voraussichtlich Ende 2022 in Kraft. Ab dann wird es für den Privatsektor und die Bundesbehörden verpflichtend.

Das revDSG führt zu zahlreichen Angleichungen an die Datenschutz-Grundverordnung der Europäischen Union (DSGVO). Dennoch wird das Grundkonzept beibehalten und weicht in verschiedenen Punkten von der DSGVO ab.

Welche Aspekte wurden im Vergleich zum bisherigen DSG verändert?

Kein Schutz juristischer Personen mehr: Mit dem revDSG sind juristische Personen nicht mehr durch das Datenschutzgesetz geschützt.
Streng vertrauliche Personendaten: Die Liste streng vertraulicher Personendaten wird ausgeweitet und umfasst nun auch:
• genetische Daten
• biometrische Daten, die eine natürliche Person eindeutig identifizieren (z. B. Fingerabdrücke, Netzhaut-Scans).
Profiling und Hochrisiko-Profiling: Profiling ist die automatisierte Verarbeitung von Personendaten, um bestimmte persönlicher Aspekte einer natürlichen Person zu beurteilen. Hochrisiko-Profiling führt zu einer Verknüpfung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.
Datenverarbeiter:
• In der Regel wird eine Vereinbarung zur Datenverarbeitung erforderlich sein.
• Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
Datenschutz durch Technikeinstellungen gegenüber datenschutzfreundlichen Standardeinstellungen:
• Der Datenverantwortliche muss die Datenverarbeitung von der Planungsphase an so gestalten, dass Datenschutzvorschriften und Verarbeitungsgrundsätze zu allen Zeiten beachtet und eingehalten werden (Datenschutz durch Technikeinstellungen).
• Darüber hinaus müssen die Standardeinstellungen so gestaltet sein, dass die Verarbeitung Personendaten auf das für den Verwendungszweck benötigte Minimum beschränkt wird, sofern es nicht durch die betroffene Person anders festgelegt worden ist (datenschutzfreundliche Standardeinstellungen).
Erweiterte Informationspflichten: Wenn Personendaten erhoben werden, müssen die betroffenen Personen in Kenntnis gesetzt werden über
a. Identität und Kontaktdaten des Datenverarbeiters
b. Zweck der Verarbeitung
c. alle Empfänger oder Empfängerkategorien, denen Personendaten mitgeteilt werden
d. Im Fall der Offenlegung im Ausland sind ausserdem das Land oder die internationale Einrichtung und gegebenenfalls die Garantien des Personendatenschutzes anzugeben.
Betroffene Personen haben Anspruch auf alle Informationen, die wichtig für sie sind, um ihre Rechte gemäss revDSG geltend zu machen. Die der betroffenen Person mitgeteilten Informationen können daher nicht in allen Fällen auf dem im revDSG aufgeführten Mindestkatalog beschränkt werden.
Recht auf Datenübertragbarkeit: Die betroffene Person kann nun verlangen, dass der Datenverantwortliche ihre Personendaten in maschinenlesbarer Form kostenlos an einen anderen Datenverantwortlichen übermittelt oder überträgt.
Automatisierte Entscheidungsfindung: Basiert eine Entscheidung ausschliesslich auf automatisierter Verarbeitung und zieht rechtliche Folgen für die betroffene Person nach sich oder beeinträchtigt diese erheblich, so ist der Datenverantwortliche dazu verpflichtet, die betroffene Person darüber in Kenntnis zu setzen. Der betroffenen Person muss die Möglichkeit gegeben werden, ihre Position darzulegen. Ausserdem kann er oder sie verlangen, dass die Entscheidung durch eine natürliche Person überprüft wird.
Exterritorialität: Ausweitung des Anwendungsumfangs des revDSG auf Vorfälle, die im Ausland geschehen und sich auf die Schweiz auswirken.
Repräsentanz in der Schweiz: Private Datenverantwortliche müssen unter bestimmten Bedingungen einen Vertreter in der Schweiz benennen, falls sie Personendaten von Personen in der Schweiz verarbeiten.
Datenschutzfolgenabschätzung (DSFA): Der Datenverantwortliche ist verpflichtet, eine Datenschutzfolgenabschätzung durchzuführen, falls die Datenverarbeitung ein Risiko für die Persönlichkeits- oder Grundrechte der betroffenen Person darstellt. Die geplante Verarbeitung, die entstehenden Risiken und geeignete Massnahmen, um den Risiken entgegenzuwirken, müssen dargestellt werden.
Meldung von Datenschutzverletzungen: Im Falle einer Datenschutzverletzung, welche eine erhebliche Gefahr der Verletzung der Persönlichkeits- oder Grundrechte der betroffenen Person darstellt, muss der Datenverantwortliche den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) schnellstmöglich darüber in Kenntnis setzen. Die betroffenen Personen müssen ebenfalls informiert werden, falls dies für ihren persönlichen Schutz notwendig erscheint. Datenverarbeiter müssen eine Datenschutzverletzung ausserdem so schnell wie möglich dem Datenverantwortlichen melden, welcher sodann weitere Schritte unternimmt.
Sanktionen: Für natürliche Personen kann die maximale Geldbusse im Fall von vorsätzlicher Verletzung der Informations- und Offenlegungspflichten sowie bestimmter Sorgfaltspflichten bis zu 250‘000 CHF je Verstoss betragen. Im Gegensatz zur DSGVO, die eine Verantwortung von Unternehmen vorsieht, können verantwortliche Personen innerhalb des Unternehmens, wie beispielsweise der/die CEO, CIO oder andere Funktionsträger, direkt sanktioniert werden.
Die Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten: Verwaltungsmassnahmen, wie das gegenüber einem Unternehmen ausgesprochene Verbot der zukünftigen Verarbeitung konkreter Personendaten und/oder die Verpflichtung, bestimmte Datensätze zu löschen, sind nun möglich. Darüber hinaus ist der EDÖB dazu befugt, verpflichtende Anordnungen anstelle unverbindlicher Empfehlungen auszusprechen.