Am 01.09.2023 tritt das neue Datenschutzgesetz in Kraft (DSG). Es bringt neue Instrumente mit sich, neue Rollen und neue Rechte und Pflichten für die betroffenen Personen sowie für die Unternehmen, die Personendaten bearbeiten.
Die neuen Instrumente
Das Gesetz hat für Berufs-, Branchen- und Wirtschaftsverbände Anreize gesetzt, Verhaltenskodizes zu entwickeln. Gibt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) dazu eine positive Stellungnahme ab, wird vermutet, dass der Verhaltenskodex dem Gesetz entspricht. Der Verband kann den Verhaltenskodex seinen Mitgliedern übergeben, die damit den Datenschutz sicherstellen können. Der Verhaltenskodex bringt zahlreiche Vorteile mit sich.
Das neue Gesetz schafft neue Möglichkeiten der Zertifizierung (Art. 13 DSG): Neu sind Dienstleistungen und Prozesse zertifizierbar. Das Gesetz anerkennt die privaten Zertifikate.
Neu müssen nach Artikel 12 DSG die Verantwortlichen und die Auftragsbearbeiter ein Verzeichnis der Bearbeitungstätigkeiten, d.h. ein Verzeichnis aller Datenbearbeitungen führen. Diese Pflicht trifft jedes Unternehmen, das Personendaten bearbeitet. Das Verzeichnis ist ein Werkzeug, um damit die weiteren Datenschutzpflichten einzuhalten.
Das neue Gesetz schafft mit Art. 7 DSG die Pflichten für «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen). Unternehmen müssen schon bei der Planung von Systemen und Prozessen die angemessenen technischen und organisatorischen Schutzmassnahmen treffen.
Wer eine Bearbeitung beabsichtigt, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringen kann, muss neu eine Datenschutz-Folgenabschätzung (Art. 22 DSG) erstellen. Sie enthält u. A. eine Beschreibung der Bearbeitung, eine Bewertung der Risiken und die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte (Art. 22 Abs. 3 DSG). Bei Vorliegen eines Zertifikats oder eines Verhaltenskodex (siehe oben), kann eventuell davon abgesehen werden.
Die neuen Rollen
Der Verantwortliche ist jede Person, die allein oder zusammen mit anderen über den Zweck und Mittel der Bearbeitung entscheidet. Verantwortlicher ist jede Person, die Personendaten bearbeitet (Art. 5 Bst. j. DSG). «Bearbeiten» heisst jeder Umgang mit Personendaten (Art. 6 Bst. d. DSG).
Unternehmen können eine Datenschutzberaterin oder einen Datenschutzberater ernennen (Art. 10 DSG). Dies kann eine mitarbeitende Person oder eine externe Funktion sein. Das bringt Unternehmen gewisse Vorteile bei der Einhaltung des Datenschutzgesetzes.
Neu wurde auch die Rolle des EDÖB verstärkt. Er muss gemäss Art. 49 DSG nun von Amtes wegen alle Verstösse gegen den Datenschutz untersuchen.
Neue Rechte und Pflichten
Bei Bekanntgabe von Personendaten ins Ausland – z.B. die Speicherung auf ausländischen Systemen (Cloud) – sind die Vorgaben von Art. 16 DSG einzuhalten. Die Liste der Drittstaaten, die einen angemessenen Schutz gewährleisten, neu Teil der Datenschutzverordnung (DSV), ist zu beachten. Den betroffenen Personen, (Kunden, Usern) sind alle Länder anzugeben. Der Verantwortliche muss die Datenschutzgarantien angeben oder die Ausnahmen, auf die er sich bezieht (Art. 19 Abs. 4 DSG).
Die Informationspflichten der Unternehmen wurden ausgebaut (Art. 19ff DSG). Die vorgängige Information der betroffenen Person ist nun in jedem Fall von Bearbeitung vorgeschrieben; auch der Inhalt der Information ist vorgeschrieben.
Das Recht der betroffenen Person auf Auskunft wurde ausgebaut: Die Liste von Mindestinformationen, die vom Verantwortlichen herausgegeben werden müssen, ist Teil von Art. 25 DSG.
Neu besteht auch eine Meldepflicht der Verantwortlichen bei Verletzungen der Datensicherheit
(Art. 24 DSG).
Das Recht auf Datenportabilität ist ein neues Recht der betroffenen Person (Art. 28 DSG). Personendaten müssen auf Antrag der betroffenen Person in einem gängigen elektronischen Format herausgegeben oder an einen Dritten übertragen werden.
Christian Bärlocher, Rechtsanwalt und externer Compliance-Experte war 11 Jahre lang Mitglied des Vereins für Unternehmensdatenschutz (VUD). Seither konnte er bereits zahlreichen Unternehmen bei der Umsetzung der neuen EU-DSGVO helfen. Er steht als kompetenter Ansprechpartner für die Einführung sowie Anpassungen an das neue Datenschutzgesetz zur Verfügung.