Datenschutzgesetz: Entwicklung der schweizerischen und europäischen Landschaft

Datenschutzgesetz: Entwicklung der schweizerischen und europäischen Landschaft

Datenschutzrecht: Entwicklung der schweizerischen und europäischen Landschaft

Die Verordnung (EU) 2016/679 tritt am 24. Mai 2018 in Kraft. Bis dahin müssen die EU Mitgliedstaaten ihre Gesetzgebung angepasst haben, um Unternehmen und Individuen die Möglichkeit zu geben, ihre Pflichten durch Einführung von Verhaltensregeln, Bescheinigungsverfahren und Überwachungsprogrammen wahrzunehmen. Die national zuständige Datenschutzbehörde hat die Möglichkeit Unternehmen mit bis zu 4% ihres weltweiten jährlichen Umsatzes zu büssen sowie Sanktionsmassnahmen zu erlassen. Darüber hinaus sieht die EU-DSGVO die Einführung eines Europäischen Datenschutzvorstands vor, welcher die nationalen Behörden der Mitgliedstaaten überwachen und bei Konflikten zwischen diesen vermitteln soll.

In der Schweiz hat der Bundesrat am 21. Dezember 2016 seinen Entwurf zur Totalrevision des Bundesgesetzes über den Datenschutz (DSG) erlassen. Der Entwurf entspricht der "Schweizer Digitalstrategie" vom 20. April 2016 und ist das Resultat der Beurteilung der geltenden Gesetzgebung. Die Untersuchung hat (wenig überraschend) gezeigt, dass die anwendbaren Regelungen nicht mehr den heutigen technologischen Entwicklungen und derzeitigen Verfahren entsprechen.

Der Entwurf wurde basierend auf mehreren Leitlinien entworfen, insbesondere anhand:

<strong wg-1="">dem risikobasierten Ansatz</strong>. Die Pflichten des Datenschutzbeauftragten werden dahingehend strenger sein, als dass das Risiko einer Verletzung der Rechte und Freiheiten der betroffenen Person (Individuum) höher ist. So wird beispielsweise ein Unternehmen, welches regelmässig "sensitive" Daten (Gesundheitsdaten, biometrische Daten, politische Meinungsdaten) transferiert und die Übertragung der Daten regelmässig an Sub-Unternehmen delegiert ("Verarbeiter"), genauer überprüft, als ein Unternehmen, welches nur gelegentlich Daten sammelt.

<strong wg-1="">der an die EU adaptierten Terminologie</strong>. Der "Datenverwalter" des jetzigen DSG wird zum "Verarbeiter" werden. "Sensitive Daten" werden zu biometrischen sowie genetischen Daten erweitert. Das Konzept "profiling" adressiert spezifisch das Thema der Datenverarbeitung für prädikative Zwecke (Big Data, Smart Data)

dem verbesserten Austausch von Daten mit dem Ausland. Die Übermittlung von Daten ins Ausland unterliegt weiterhin dem Grundsatz des "angemessenen Schutzes". Der Umfang des Schutzes im Ausland wird jedoch nicht durch den Datenschutzbeauftragten bestimmt, sondern durch den Bundesrat direkt festgelegt.

dem besseren Schutz von Individualrechten. Der Entwurf verstärkt bestehende Rechte, wie das Zugriffsrecht (das Recht – kostenlos – persönliche Daten des Datenschutzbeauftragten zu erhalten), das Recht persönliche Daten zu korrigieren sowie die Verarbeitung und Vermittlung der Daten an Dritte zu verbieten, das Recht vergessen zu werden und das Recht persönliche Daten per Auftrag vernichten zu lassen. Der Entwurf adressiert auch Rechte von verstorbenen Personen und anerkennt das Recht der Erben im Namen des Verstorbenen zu handeln.

der Klarstellung der Verpflichtungen des Datenschutzbeauftragten. Der Datenschutzbeauftragte muss die Person darüber informieren, dass ihre persönlichen Daten verarbeitet werden oder, dass sie oder er allenfalls Gegenstand einer automatischen Datenverarbeitungsentscheidung ist. Der Datenschutzbeauftragte muss die Person über unrechtmässige Verarbeitungen seiner/ihrer persönlichen Daten (hacking) informieren sowie wenn persönliche Daten verloren oder zerstört wurden. Zuletzt sieht der Entwurf vor, dass die Standard-Einstellungen der Datenverarbeitung datenschutzfreundlich sein müssen (privacy by default) und die Einhaltung des Datenschutzes sicherstellen müssen (privacy by design).

<strong wg-1="">der verstärkten Kontrolle und Unabhängigkeit des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)</strong>. Dies erfolgt zusammen mit der Verstärkung der strafrechtlichen Sanktionen und der Möglichkeit der Strafverfolgungsbehörden Strafzahlungen von bis zu CHF 500'000 aufzuerlegen.  

Der Bundesrat hat jedoch explizit entschieden gewisse Konzepte, welche in ausländischen Jurisdiktionen oder in Europa Anwendung finden, aussen vor zu lassen. Insbesondere sind dies:

Der Schutz von Unternehmensdaten

Die Kompetenz des EBÖB verbindliche Regelungen anzunehmen. Der Bundesrat möchte damit mögliche Konflikte über das Legalitätsprinzip und die Machverteilung vermeiden. Darüber hinaus hat der EBÖB keine Kompetenz Strafzahlungen zu erlassen (im Gegensatz zu was die EU-DSGVO vorsieht).

Die Umkehr der Beweislast. Der Bundesrat erwog die Beweislast dem Datenschutzbeauftragten aufzuerlegen, sollte es zu einem durch eine betroffene Person eingeleitetes Verfahren kommen. Der Datenschutzbeauftragte müsste demnach darlegen, dass er seinen gesetzlichen Pflichten bei der Verarbeitung der Daten nachgekommen ist. Der Bundesrat hat am Ende aber beschlossen, dass die Schweizer Gerichte bereits genügend Mittel zu Verfügung hätten, um Beweisprobleme zu lösen.

Die datenschutzrechtlichen Sammelklagen. Das Prinzip der Sammelklage, welche unter geltendem Schweizer Recht nach wie vor nicht existiert, wird nun im Parlament diskutiert. Es erübrigte sich aus diesem Grund ein solches Recht, beschränkt auf den Datenschutz, zu schaffen.

Das Recht auf Übertragbarkeit der Daten. Gemäss Bundesrat soll das Recht auf Übertragbarkeit von Daten die Konkurrenz ankurbeln, nicht das Individuum schützen. Dies ist bedauerlich, da es sich hierbei um eine europäische Neuheit der EU-DSGVO handelt, welche den Individuen geholfen hätte, nicht mit einem Anbieter "festzusitzen".

Ein spezielles Streitbeilegungsverfahren. Der Bundesrat hat festgestellt, dass bereits in anderen Sektoren alternative Streitbeilegungsmechanismen und –institutionen existieren (insbesondere im Banken- und Versicherungssektor).

Der Entwurf des Bundesrates unterliegt der Prüfung durch das Parlament. Voraussichtlich wird der Entwurf nochmals Änderungen erfahren. Er zeigt aber bereits jetzt die klaren Entwicklungen der schweizerischen und europäischen Datenschutzgesetzgebung auf und wird Unternehmen dazu zwingen, ihre allgemeinen Geschäftsbedingungen, Datenschutzgrundsätze sowie ihre Datenverarbeitungen anzupassen.

Altenburger Ltd legal + tax ist bereit, sie zu unterstützen.