Dr. Patrick Stach informiert über das vermutlich im Jahr 2022 in Kraft tretende DSG.

Mit der wachsenden Digitalisierung in den letzten Jahrzehnten stiegen auch die Vorgaben und Verordnungen bezüglich des Datenschutzes, berichtet Dr. Patrick Stach. Durch die europäischen Datenschutzgrundverordnung (DSGVO) welche im Mai 2018 in Kraft trat und der zusätzlich geplanten ePrivacy-Verordnung als allgemeine Ergänzung zur DSGVO wurden verschiedenste Maßnahmen erforderlich, um die personenbezogenen Daten im digitalen Datentransfer zu schützen.

Aus diesem Grund entschied der Bundesrat bereits im Jahre 2011, dass das seit 1992 geltende Schweizer Datenschutzgesetz (DSG) zwecks Anpassung an das DSGVO zu überarbeiten sei.

Dr. Patrick Stach erklärt uns, worin sich das DSG vom E-DSG unterscheidet, was die Unterschiede zwischen der DSGVO und der E-DSG sind und was die Totalrevision für Schweizer Unternehmen bedeutet.

WORIN UNTERSCHEIDET SICH DAS DSG VON DEM E-DSG?

Dr. Patrick Stach sagt, dass die wichtigsten Änderung die Einschränkung des Geltungsbereichs auf natürliche Personen ist. Anders als im geltenden DSG, werden juristische Personen nicht mehr vom Geltungsbereich des E-DSG erfasst.

Zudem werden Schweizer Firmen mit mehr als 250 Mitarbeiter neu dazu verpflichtet, eine Liste zur Datenbearbeitung zu führen. Sind in einem Unternehmen weniger Angestellte beschäftigt, sind Ausnahmeregelungen durch den Bundesrat zu beachten. Eine weitere Neuerung ist, dass auch ausländische Unternehmen, die im Schweizer Wirtschaftsmarkt tätig sind, die rechtlichen Regelungen des einzuhalten haben.

Dr. Patrick Stach weist weiter darauf hin, dass für die Verarbeitung der personenbezogenen Daten eine detaillierte Risikoanalyse erforderlich wird, anhand von welcher alle möglichen Risiken und Folgen der Datenverabreitung analysiert werden. Hinzu kommt die Aufnahme der Prinzipien Privacy by Design sowie Privacy by Default in das Gesetz, ergänzt Dr. Patrick Stach. Zudem kann fortan jede Person die Herausgabe sowie Löschung der eigenen personenbezogenen Daten verlangen.

Wie die Anpassungen aber genau aussehen werden, ist noch offen. Im Moment ist das E-DSG noch nicht verabschiedet. Dennoch sind folgende Änderungen wahrscheinlich:

o Profiling ist zulässig, es bedarf aber einer gesonderten Einwilligung der jeweiligen Personen bei der Verarbeitung besonders schützenswerter Personendaten mit hohem Risiko.

o Erweiterte Informationspflicht, unter anderem mit Angaben zum Bearbeitungszweck, welche Daten verarbeitet werden und wer der Empfänger ist.

o Bußgelder in Höhe von CHF 250’000 bei einer Verletzung der Informations-, Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten.

WAS IST DER UNTERSCHIEDE ZWISCHEN DER DSGVO UND DEM E-DSG?

Der Bundesrat sowie das Parlament war sehr bemührt, die das E-DSG an die DSGVO anzupassen, um so einen möglichst reibungslosen Datenaustausch zwischen Schweizer Unternehmen und solchen der EU zu garantieren. Trotz der zahlreichen Anpassungen sind weiterhin rechtliche Eigenheiten des E-DSG erkennbar. So beispielsweise betreffend Bussgelder. Während im E-DSG für Einzelpersonen Bussgelder bis zu CHF 250’000 erhoben werden können, liegt der Betrag bei der DSGVO um ein Vielfaches höher. Ausgesprochene Bussen können im Umfang von bis zu 20 Millionen Euro oder 4 % des Umsatzes ausgesprochen werden.

Ein weiterer Unterschied besteht betreffend die Meldefrist bei Datenschutzverletzungen. In der DSGVO beträgt die Frist 72 Stunden, in der E-DSG hat dies hingegen „unverzüglich“ zu erfolgen. Dies ist aber ein auslegbarer Begriff, fügt Dr. Patrick Stach hinzu.

Grundsätzlich ist in der DSGVO eine Verarbeitung der personenbezogenen Daten verboten, in der E-DSG ist eine solche hingegen, ausser bei einer drohenden Persönlichkeitsverletzung, erlaubt.

WAS BEDEUTET DIE TOTALREVISION FÜR UNTERNEHMEN?

Das E-DSG bedeutet für Schweizer Unternehmen eine grundlegende Neustrukturierung der unternehmensinternen Datenströme, betont Dr. Patrick Stach. Vor allem bei fehlenden Vorgaben hinsichtlich der Weitergabe und Verarbeitung personenbezogener Daten kann dies zu Problemen führen. Es ist zwingend notwendig, dass ausgeklügelte Prozesse zur Datenaufbewahrung, -verarbeitung und -archivierung entwickelt werden. Dabei müssen alle Geschäftspartner wie Lieferanten in die Prozesse miteinbezogen werden. Bedingt durch die Digitalisierung werden immer mehr Daten zu einer Person gesammelt. Aber auch die Gründe, warum diese Daten erhoben werden, nehmen zu. Um einen Missbrauch dieser Daten zu verhindern, müssen Systeme implementiert werden, die die Datenverarbeitung zu den einzelnen Personen jederzeit vollständig abbilden. Aber auch eine vollständige Löschung ermöglichen, merkt Patrick Stach abschließend an.

