DSG-Revision: FAQ Teil 2

Der Grossteil der Totalrevision des Schweizer Datenschutzgesetzes (DSG) steht bereits fest. Offen sind derzeit noch drei Punkte. Der Abschluss der Differenzbereinigung zur DSG-Revision könnte demnach in der Herbstsession des Nationalrats erfolgen. Auch wenn den Unternehmen bis zum Inkrafttreten der neuen Vorschriften noch etwas Zeit bleibt, lohnt sich erfahrungsgemäss die frühzeitige Planung der entsprechenden Compliance-Projekte. Im Hinblick darauf finden Sie in den nachfolgenden FAQ Antworten auf die wichtigsten Fragen zur DSG-Revision. Während in einem ersten Teil Fragen allgemeiner Natur behandelt wurden, widmet sich dieser zweite Teil Fragen zu spezifischen Vorgaben des neuen DSG.
  

Wir pseudonymisieren unsere Daten jeweils umgehend. Ist das DSG trotzdem zu beachten?

Ja, auch bei einer Pseudonymisierung von Daten bleibt das DSG grundsätzlich anwendbar. Bei einer Pseudonymisierung werden jene Merkmale, die einen Personenbezug ermöglichen, durch ein Pseudonym ersetzt (z.B. eine Nummer oder ein bestimmtes Zeichen). Der Personenbezug kann aber durch Aufschlüsselung dieser Pseudonyme wieder hergestellt werden durch jene Personen, die auf den Schlüsselzugreifen können. Der Personenbezug ist daher wieder herstellbar.

Hingegen werden bei der Anonymisierung von Personendaten sämtliche Merkmale, die einen Personenbezug ermöglichen, entfernt. Ein Bezug zu einer bestimmten oder bestimmbaren Person kann aufgrund von anonymisierten Daten daher grundsätzlich nicht mehr hergestellt werden. Auf anonymisierte Daten ist das DSG deshalb nicht mehr anwendbar.
  

Ist ein Profiling ohne Einwilligung künftig zulässig?

Die bisherigen parlamentarischen Debatten haben in dieser Frage zu einer gewissen Unsicherheit geführt. Für eine abschliessende Einschätzung der künftigen Rechtslage müssen daher noch die letzten Beratungen in den beiden Kammern abgewartet werden (vgl. MLL-News vom 29.7.2020). Nach aktuellem Stand darf jedoch davon ausgegangen werden, dass das Parlament auch beim Profiling nicht von den fest verankerten bisherigen Grundsätzen abweichen wollte. Für private Verantwortliche wird deshalb eine Einwilligung oder andere Rechtfertigung nur bei einer persönlichkeitsverletzenden Datenbearbeitung erforderlich sein. Je nach Art und Umfang des Profilings kann dies jedoch relativ rasch der Fall und damit eine Einwilligung oder ein anderer Rechtfertigungsgrund erforderlich sein. Da bei den Rechtfertigungsgründen im Sinne des überwiegenden Interesses häufig grosse Unsicherheiten bestehen, dürfte auch künftig vielfach das Einholen einer Einwilligung zu empfehlen sein. Muss von einem „Profiling mit hohem Risiko“ (Definition noch strittig) ausgegangen werden, dann genügt zudem nur eine ausdrückliche Einwilligung als Rechtfertigung.
  

Können Personendaten innerhalb eines Konzerns frei ausgetauscht werden?

Nein, es gibt für den konzerninternen Datenaustausch zwar Ausnahmen von der Informationspflicht und dem Auskunftsrecht; trotzdem wird eine konzerninterne Weitergabe auch künftig persönlichkeitsverletzend und daher nur bei Vorliegen eines Rechtfertigungsgrund zulässig sein können. Dabei gilt der besondere Rechtfertigungsgrund für die konzerninterne Bearbeitung nur, wenn die betreffenden Daten und die Art ihrer Bearbeitung „für den wirtschaftlichen Wettbewerb“ relevant und erforderlich sind. Insofern erweckt der Ausdruck „Konzernprivileg“ einen falschen Eindruck und auch konzerninterne Bearbeitungen müssen stets im Einzelfall sorgfältig auf Ihre Rechtmässigkeit geprüft werden. Je nach Zweck, Art und Umfang kann somit auch künftig für Datenweitergaben innerhalb des Konzerns das Einholen einer Einwilligung zu empfehlen sein.
  

Worüber müssen die betroffenen Personen künftig informiert werden?

Das revidierte DSG wird leider keine abschliessende Liste aller Pflichtinformationen enthalten. Vielmehr sind danach generell all jene Informationen mitzuteilen, die erforderlich sind, damit die betroffene Person ihre Rechte unter dem DSG geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. Es ist daher im Einzelfall zu prüfen, welche Angaben hierfür erforderlich sind, wobei eine Orientierung am Katalog der EU-DSGVO in Frage kommen könnte.

Mindestens mitzuteilen sind jedenfalls:

  • die Identität und die Kontaktdaten des Verantwortlichen;
  • der Bearbeitungszweck resp. die Bearbeitungszwecke;
  • gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden;
  • bei einer Datenbekanntgabe ins Ausland zusätzlich: der Staat oder das internationale Organ und ggf. die Garantie für einen geeigneten Datenschutz oder den Ausnahmetatbestand falls keine solchen Garantien gegeben sind.

Werden die Daten nicht bei der betroffenen Person erfasst, sind ihr zudem auch die Kategorien der bearbeiteten Personendaten mitzuteilen.
  

Wie müssen die betroffenen Personen künftig informiert werden?

Im revidierten DSG wird nicht geregelt, auf welche Art und Weise die Information gegenüber der betroffenen Person zu erfolgen hat. Es gilt somit zwar kein gesetzliches Formerfordernis zu beachten, es ist aber eine „angemessene“ Form zu wählen, welche dem Zweck einer transparenten Datenbearbeitung gerecht wird. Vor diesem Hintergrund sollten die Informationen so verfasst sein, dass sie für die angesprochenen betroffenen Personen und nicht nur für Juristen verständlich sind. Aus Beweisgründen sollte sie zudem in schriftlicher oder zumindest dokumentierbarer Form gegeben werden.

Der Verantwortliche muss sicherstellen, dass die betroffene Person die Information tatsächlich zur Kenntnis nehmen kann. Sicherzustellen ist damit nur die Möglichkeit, sich in einfach zugänglicher Weise zu informieren, nicht aber, dass sich die betroffene Person im konkreten Fall wirklich informiert. Die Ausgestaltung der Information hängt deshalb auch davon ab, ob die Daten bei der betroffenen Person beschafft werden oder nicht. So kann eine allgemeine Information (wie bspw. eine Datenschutzerklärung auf der Website, aber auch Symbole oder Piktogramme, sofern die nötigen Informationen darin wiedergegeben werden) genügen, wenn die Personendaten bei der betroffenen Person beschafft werden. In diesem Fall muss die Information oder der Link dazu im Zeitpunkt der Erhebung leicht zugänglich, vollständig und gut sichtbar sein. Auch eine mehrstufige Information – bspw. eine Übersicht auf erster Stufe und die detaillierten Informationen auf zweiter Stufe – ist möglich. Jedenfalls ist es aber nicht ausreichend, wenn die betroffene Person bei einer angegebenen Kontaktperson oder -stelle die erforderlichen Informationen zuerst selbst anfragen muss.

Wenn die Daten nicht bei der betroffenen Person, sondern bspw. öffentlich zugänglichen Quellen, beschafft werden, wird es demgegenüber vielfach schwieriger sein, eine einfache Möglichkeit zur Kenntnisnahme der Informationen sicherzustellen. In diesem Fall wird vielfach nur eine Benachrichtigung der betroffenen Person und aktive Zustellung der Informationen ausreichen. Diese Information hat sodann innert einem Monat nach Erhalt der Daten zu erfolgen. Sofern die Daten aber an Dritte weitergeben werden, muss die betroffene Person bereits im Zeitpunkt der Bekanntgabe informiert werden.
  

Was muss im Bearbeitungsverzeichnis enthalten sein?

Künftig wird – wie unter der EU-DSGVO – auch nach Schweizer Recht ein Verzeichnis sämtlicher Datenbearbeitungen zu führen sein. Der Mindestinhalt dieses Bearbeitungsverzeichnisses ist gesetzlich sowohl für den Verantwortlichen als auch den Auftragsbearbeiter vorgegeben.

Das Bearbeitungsverzeichnis des Verantwortlichen muss folgende Mindestangaben enthalten:

  • die Identität des Verantwortlichen;
  • den Bearbeitungszweck;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;
  • die Kategorien der Empfängerinnen und Empfänger;
  • wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;
  • wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden).
  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.

Beim Bearbeitungsverzeichnis des Auftragsbearbeiters gilt es folgende Mindestangaben aufzuführen:

  • die Identität des Auftragsbearbeiters und des Verantwortlichen;
  • die Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen ausgeführt werden;.
  • wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen, die es ermöglichen, Verletzungen der Datensicherheit zu vermeiden).
  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.
      

Müssen Unternehmen zwingend einen Datenschutzberater benennen?

Nein, anders als die DSGVO (in dessen Terminologie: Datenschutzbeauftragter) statuiert das revidierte DSG keine gesetzliche Pflicht zur Ernennung eines Datenschutzberaters für Private. Bundesorgane sind hingegen verpflichtet, einen Datenschutzberater einzusetzen.
  

Haben die betroffenen Personen wie in der DSGVO ein Recht auf Datenportabilität?

Ja, im Rahmen der parlamentarischen Beratungen wurde ein solches Recht auf Datenherausgabe und -übertragung in den Revisions-Entwurf aufgenommen. Der Bundesrat wollte noch darauf verzichten. Demnach werden betroffene Personen künftig kostenlos verlangen können, dass die von ihnen bekanntgegebenen Daten in einem gängigen elektronischen Format herausgegeben oder an andere Anbieter übermittelt werden. Vorausgesetzt ist jedoch, dass die Daten automatisiert und mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages zwischen dem Verantwortlichen und der betroffenen Person bearbeitet werden. Eine Übermittlung an einen anderen Anbieter kann ferner dann ausgeschlossen werden, wenn diese einen „unverhältnimässigen Aufwand“ verursachen würde. Namentlich aufgrund der gesetzlichen Anforderungen des „gängigen elektronischen Formats“ sowie der „Verhältnismässigkeit“ wird sich zeigen müssen, wie häufig dieses Recht von den betroffenen Personen im Streitfalle auch tatsächlich angerufen werden kann.
  

Müssen wir Verstösse gegen die Datensicherheit/Data Breaches dem EDÖB melden?

Verletzungen der Datensicherheit müssen dann dem EDÖB gemeldet werden, wenn sie voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen. Entscheidend für die Meldepflicht des Verantwortlichen ist folglich die Risikobeurteilung, bei welcher auch die Kriterien zu Datenschutz-Folgenabschätzungen (s. unten) herangezogen werden können. Der Auftragsbearbeiter ist zudem verpflichtet, dem Verantwortlichen jede Verletzung der Datensicherheit zu melden. Es besteht zwar keine feste gesetzlich definierte Frist, vielmehr müssen die Meldungen so rasch als möglich erfolgen. Als Gradmesser dürfte dabei die Frist von 72 Stunden gemäss DSGVO dienen. Verantwortliche müssen folglich in der Lage sein, gegebenenfalls mit Unterstützung der Auftragsverarbeiter, in diesem Zeitraum die erforderlichen Abklärungen zur Risikobeurteilung vorzunehmen und eine Meldung erstatten zu können. Hierfür sind entsprechende interne Prozesse vorzusehen.
  

Sieht das revidierte DSG die DSGVO vor, dass Datenschutz-Folgenabschätzungen vorgenommen werden müssen?

Das revidierte DSG sieht vor, dass der Verantwortliche eine Datenschutz-Folgenabschätzung vornehmen muss, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Bei mehreren ähnlichen Bearbeitungsvorgängen kann eine gemeinsame Abschätzung erstellt werden.

Entscheidend ist somit auch hier die Risikobeurteilung. Ein hohes Risiko kann sich gemäss revidiertem DSG, insbesondere bei der Verwendung neuer Technologien, aus der Art, dem Umfang den Umständen und dem Zweck der Bearbeitung ergeben. Namentlich bei einer umfangreichen Bearbeitung besonders schützenswerter Personendaten oder der systematisch umfangreichen Überwachung öffentlicher Bereiche, ist gemäss Gesetz eine Datenschutz-Folgenabschätzung angezeigt. Weitere Bearbeitungen mit hohem Risiko, die nicht explizit im revidierten DSG genannt werden, bleiben vorbehalten.

Zur Erfüllung dieser Pflicht sind wiederum auch interne Prozesse zu schaffen, die sicherstellen, dass frühzeitig erkannt wird, ob eine Datenschutz-Folgenabschätzung erforderlich ist oder nicht.

 

Weitere Informationen: