VelaSolution
VelaSolution

Das totalrevidierte Datenschutzgesetz der Schweiz

Das total­re­v­i­dierte Daten­schutzge­setz der SchweizDaten­schutz: Eine Über­sicht zum neuen Gesetz 

Gemäss dem Bun­de­samt für Jus­tiz­soll das neue Daten­schutzge­set­zt am 1. Sep­tem­ber 2023 in Kraft treten. Der dafür notwendi­ge Entscheid des Bun­desrats muss allerd­ings noch erfolgen.

Die Änderungen auf einen Blick

  • Das rev­i­dierte Daten­schutzge­setz (revDSG) bringt neue Infor­ma­tions- und Doku­men­ta­tion­spflicht­en. Sobald Per­so­n­en­dat­en erhoben wer­den, müssen die davon betrof­fe­nen Per­so­n­en über fol­gende Punk­te informiert werden:
    1. Iden­tität und Kon­tak­t­dat­en des Datenverarbeiters;
    2. Zweck der Verarbeitung;
    3. alle Empfänger denen Per­so­n­en­dat­en mit­geteilt wer­den bekan­nt gegeben werden.
  • Juris­tis­che Per­so­n­en wer­den durch das Daten­schutzge­setz nicht mehr geschützt.
  • Die Liste der streng ver­traulichen Per­so­n­en­dat­en wird im revDSG erweit­ert und umfasst neu auch (i) genetis­che Dat­en und (ii) bio­metrische Daten.
  • Die automa­tisierte Ver­ar­beitung von Per­so­n­en­dat­en, um bes­timmte Aspek­te ein­er natür­lichen Per­son zu beurteilen (sog. Pro­fil­ing) wird im revDSG aus der europäis­chen Geset­zge­bung (DSG­VO) über­nom­men.
  • Für die Daten­ver­ar­beitung wird in der Regel eine Vere­in­barung erforder­lich sein.
  • Die Daten­ver­ar­beitung muss so gestal­tet sein, dass Daten­schutzvorschriften und Ver­ar­beitungs­grund­sätze zu allen Zeit­en beachtet und einge­hal­ten wer­den kön­nen (Daten­schutz durch Tech­nike­in­stel­lun­gen). Die Stan­dard­e­in­stel­lun­gen müssen so gestal­tet sein, dass die Ver­ar­beitung von Per­so­n­en­dat­en auf das für den Ver­wen­dungszweck benötigte Min­i­mum beschränkt wird.
  • Das revDSG führt eine Meldepflicht bei Daten­ver­lus­ten und son­sti­gen Sicher­heitspan­nen ein. Dies­bezüglich muss ein entsprechen­der Prozess einge­führt werden.
  • Das revDSG ist nicht strenger als die europäis­che Geset­zge­bung (DSG­VO), aber auch nicht iden­tisch. Hier gilt es, die Unter­schiede zu erken­nen und Dif­feren­zen zu prüfen.

Ausgangslage

Es ist vorge­se­hen, dass das neue Daten­schutzrecht auf den 1. Sep­tem­ber 2023 in Kraft geset­zt wird. Der dafür notwendi­ge Bun­desrat­sentscheid ste­ht noch aus. Die neue Geset­zge­bung soll ins­beson­dere den Entwick­lun­gen auf Ebene des Europarates und der Europäis­chen Union Rech­nung tra­gen. Dies bedeutet, dass das rev­i­dierte Daten­schutzge­setz mass­ge­blich von der Daten­schutz-Grund­verord­nung der Europäis­chen Union (DSG­VO) bee­in­flusst wurde. Das revDSG bezweckt den Schutz der Per­sön­lichkeit und der Grun­drechte von natür­lichen Per­so­n­en, die sich in der Schweiz befind­en und deren Dat­en durch Pri­vate oder vom Staat bear­beit­et wer­den. Das unter bish­erigem Recht beste­hende Regelungskonzept wird durch die Revi­sion nicht verän­dert. Weit­er­hin gilt, dass für die Bear­beitung von Per­so­n­en­dat­en wed­er eine Ein­willi­gung noch die Angabe eines Recht­fer­ti­gungs­grund erforder­lich ist. Ein Recht­fer­ti­gungs­grund ist nur dann notwendig, wenn entwed­er die Bear­beitungs­grund­sätze des revDSG nicht einge­hal­ten wer­den, die betrof­fene Per­son der Bear­beitung wider­sprochen hat oder einem Drit­ten beson­ders schützenswerte Per­so­n­en­dat­en mit­geteilt wer­den sollen. Dies ist der wichtig­ste Unter­schied zur DSG­VO, wo Per­so­n­en­dat­en erst dann bear­beit­et wer­den dür­fen, wenn eine angemessene «Rechts­grund­lage» beste­ht. Das revDSG bezweckt die Verbesserung der Trans­parenz der Bear­beitung von Dat­en und stärkt die Kon­trollmöglichkeit­en der betrof­fe­nen Per­so­n­en über ihre Dat­en. Ausser­dem soll das Ver­ant­wor­tungs­be­wusst­sein der für die Bear­beitung ver­ant­wortlichen Per­so­n­en erhöht wer­den, die Bekan­nt­gabe von Dat­en ins Aus­land erle­ichtert und die Entwick­lung neuer Wirtschaft­szweige im Bere­ich der Dig­i­tal­isierung der Gesellschaft gefördert wer­den. Die neuen Infor­ma­tions- und Meldepflicht­en des revDSG verpflicht­en Organ­i­sa­tio­nen inskün­ftig, betrof­fe­nen Indi­viduen über die Bear­beitung ihrer Per­so­n­en­dat­en zu informieren. Das revDSG ken­nt keine wesentlichen Über­gangs­fris­ten. Auf­grund dessen emp­fiehlt es sich, sich bere­its heute mit den neuen Anforderun­gen auseinanderzusetzen. 

Geltungsbereich

Das revDSG ist auf Sachver­halte anwend­bar, die sich auf die Schweiz auswirken. Dem­nach ist die neue Geset­zge­bung auch auf Unternehmen mit Sitz im Aus­land anwend­bar, die Dat­en in der Schweiz bearbeiten. 

Neue und erweiterte Begriffe

(a) Ver­ant­wortlich­er und Auftragsbearbeiter

Das revDSG führt die Begriffe «Ver­ant­wortlich­er» und «Auf­trags­bear­beit­er» ein. Es han­delt sich dabei um die wichtig­sten Rollen, auf welchen das revDSG beruht.

Unter dem Ver­ant­wortlichen ver­ste­ht das revDSG, wer allein oder zusam­men mit anderen «über den Zweck und die Mit­tel der Bear­beitung entschei­det». Im bish­eri­gen Daten­schutzge­setz wurde vom «Inhab­er der Daten­samm­lung» gesprochen. Es han­delt sich damit um diejenige Per­son, welche die daten­schutzrechtlichen Para­me­ter ein­er Daten­bear­beitung festlegt.

Als Auf­trags­bear­beit­er gilt, wer eine Daten­bear­beitung lediglich nach Weisung aus­führt, auch wenn er gewisse Entschei­dun­gen dies­bezüglich selb­st tre­f­fen kann.

(b) Per­so­n­en­dat­en

Der Begriff «Per­so­n­en­dat­en» wird von der DSG­VO über­nom­men. Dabei han­delt es sich gemäss Art. 5 revDSG um «alle Angaben, die sich auf eine bes­timmte oder bes­timm­bare natür­liche Per­son beziehen».

© Kein Schutz mehr von Per­so­n­en­dat­en juris­tis­ch­er Personen

Das revDSG verzichtet auf den Schutz der Dat­en von juris­tis­chen Per­so­n­en, da dieser von nur geringer prak­tis­ch­er Bedeu­tung ist. Damit wird ein zen­traler Unter­schied zum europäis­chen Recht beseit­igt. Das revDSG ist somit nur noch auf die Bear­beitung von Per­so­n­en­dat­en natür­lich­er Per­so­n­en anwend­bar. Damit hat eine juris­tis­che Per­son kein Auskun­ft­srecht mehr. Juris­tis­che Per­so­n­en sind aber nach wie vor durch Art. 28 ZGB geschützt.

Ausser­dem soll damit die Bekan­nt­gabe von Dat­en an Empfänger in aus­ländis­chen Staat­en, deren Geset­zge­bung keinen Schutz von Dat­en juris­tis­ch­er Per­so­n­en vor­sieht, erle­ichtert werden.

(d) Pro­fil­ing

Das bish­erige Recht kan­nte den Begriff des «Per­sön­lichkeit­spro­fils», für welchen diesel­ben Regelun­gen gal­ten, wie für beson­ders schützenswerte Per­so­n­en­dat­en. Neu wird der Begriff des «Pro­fil­ing» einge­führt und die Legalde­f­i­n­i­tion der DSG­VO über­nom­men. Beim Pro­fil­ing han­delt es sich um «jede Art der automa­tisierten Bear­beitung von Per­so­n­en­dat­en, die darin beste­ht, dass diese Dat­en ver­wen­det wer­den, um bes­timmte per­sön­liche Aspek­te, die sich auf eine natür­liche Per­son beziehen, zu bew­erten, ins­beson­dere um Aspek­te bezüglich Arbeit­sleis­tung, wirtschaftlich­er Lage, Gesund­heit, per­sön­lich­er Vor­lieben, Inter­essen, Zuver­läs­sigkeit, Ver­hal­ten, Aufen­thalt­sort oder Ortswech­sel dieser natür­lichen Per­son zu analysieren oder vorherzusagen».[1]

Wichtig ist, dass die Inter­pre­ta­tion automa­tisiert zu erfol­gen hat, d.h. nicht manuell vorgenom­men wird.

[1] vgl. Art. 5 lit. f revDSG.

(e) Pro­fil­ing mit hohem Risiko
Art. 5 lit. g revDSG führt den Begriff des «Pro­fil­ing mit hohem Risiko», ein, welch­er definiert ist als «Pro­fil­ing, das ein hohes Risiko für die Per­sön­lichkeit oder die Grun­drechte der betrof­fe­nen Per­son mit sich bringt, indem es zu ein­er Verknüp­fung von Dat­en führt, die eine Beurteilung wesentlich­er Aspek­te der Per­sön­lichkeit ein­er natür­lichen Per­son erlaubt». Es han­delt sich dabei eigentlich um den aus dem bish­eri­gen DSG stam­menden Begriff des «Per­sön­lichkeit­spro­fils».
(f) Ergänzung der Def­i­n­i­tion beson­ders schützenswerte Personendaten

Die Aufzäh­lung der beson­ders schützenswerten Per­so­n­en­dat­en wird im revDSG mit der expliziten Nen­nung der «genetis­chen Dat­en» und der «bio­metrischen Dat­en» ergänzt. Dabei wer­den unter genetis­chen Dat­en sämtliche Infor­ma­tio­nen über das Erbgut ein­er Per­son ver­standen, die durch eine genetis­che Unter­suchung gewon­nen wer­den kön­nen. Bei bio­metrischen Dat­en han­delt es sich um Dat­en, welche durch ein spez­i­fis­ches tech­nis­ches Ver­fahren zu den physis­chen, phys­i­ol­o­gis­chen oder ver­hal­tenstyp­is­chen Merk­malen eines Indi­vidu­ums gewon­nen wer­den und die eine ein­deutige Iden­ti­fizierung der betr­e­f­fend­en Per­son ermöglichen oder bestäti­gen (bspw. ein Fin­ger­ab­druck, Gesichts­bild mit Iris Scan etc.). Die Auf­nahme dieser zusät­zlichen beson­ders schützenswerten Dat­en im revDSG erfol­gte zwecks Angle­ichung an die DSGVO.

Einwilligung

Das revDSG hat keinen neuen Stan­dard für Ein­willi­gun­gen einge­führt. Entsprechend wird sich materiell nichts ändern. Das revDSG geht damit weniger weit als die DSGVO.

Nach Art. 6 Abs. 7 revDSG muss die Ein­willi­gung aus­drück­lich erfol­gen für:

  1. die Bear­beitung von beson­ders schützenswerten Personendaten;
  2. ein Pro­fil­ing mit hohem Risiko durch eine pri­vate Per­son; oder
  3. ein Pro­fil­ing durch ein Bundesorgan.


Wichtig ist, dass je mehr Risiken eine Daten­ver­ar­beitung für die betrof­fene Per­son birgt, umso höher sind die Anforderun­gen an die Gültigkeit der Einwilligung.

Zweckbindung

Das revDSG führt neu das Konzept der «Vere­in­barkeit» eines Bear­beitungszwecks ein. Art. 6 Abs. 3 revDSG sta­tu­iert, dass Per­so­n­en­dat­en nur für einen bes­timmten Zweck beschafft wer­den dür­fen. Ausser­dem dür­fen sie nur so bear­beit­et wer­den, dass dies mit dem Zweck vere­in­bar ist.

Keine Übernahme des Verbotsprinzips

Grund­sät­zlich erlaubt das revDSG die Bear­beitung von Per­so­n­en­dat­en, sofern sie daten­schutzkon­form, d.h. unter Ein­hal­tung der all­ge­meinen Bear­beitungs­grund­sätze erfol­gt. Als Unter­schied zur DSG­VO gilt damit das Ver­bot­sprinzip nicht, d.h. es muss nicht für jede Bear­beitung ein Recht­fer­ti­gungs­grund (wie bspw. die Ein­willi­gung, Gesetz etc.) vorliegen. 

Pflichten des Datenbearbeiters

(a) Ein­hal­tung der Bearbeitungsgrundsätze
Die in Art. 6 DSG genan­nten Bear­beitungs­grund­sätze wur­den im Rah­men der Revi­sion nur wenig umfor­muliert. Wie erwäh­nt ist auch unter dem revDSG keine Recht­fer­ti­gung für eine Daten­bear­beitung erforder­lich, falls die Bear­beitungs­grund­sätze einge­hal­ten wer­den bzw. soweit keine beson­ders schützenswerten Per­so­n­en­dat­en von Drit­ten offen­bart werden.
(b) Ver­stärk­te Informationspflichten

Die Infor­ma­tion­spflicht wird im revDSG aus­ge­baut. Dies bedeutet, dass Unternehmen eine Daten­schutzerk­lärung haben müssen, auf­grund welch­er sie gewisse Pflicht­in­for­ma­tio­nen über die von ihnen durchge­führten Datenbeschaf­fun­gen den betrof­fe­nen Per­so­n­en zugänglich machen müssen. Dies geschieht nor­maler­weise auf der eige­nen Web­seite mit Links auf entsprechende Infor­ma­tions­broschüren oder mit­tels spez­i­fis­ch­er Verträge.

Gemäss Art. 14 DSG beste­ht eine Infor­ma­tion­spflicht lediglich im Hin­blick auf die Beschaf­fung bzw. Bear­beitung von beson­ders schützenswerten Per­so­n­en­dat­en und Per­sön­lichkeit­spro­filen. Das revDSG sta­tu­iert bei jed­er Beschaf­fung von Per­so­n­en­dat­en eine Infor­ma­tion­spflicht. Somit entste­ht eine Infor­ma­tion­spflicht sowohl bei der direk­ten als auch bei der indi­rek­ten Beschaf­fung von Per­so­n­en­dat­en (d.h. wenn die Dat­en bei Drittper­so­n­en erhoben werden).

Die von ein­er Daten­bear­beitung betrof­fe­nen Per­so­n­en sollen wis­sen, was mit ihren Dat­en geschieht. Das revDSG führt eine zweistu­fige Infor­ma­tion­spflicht ein.

Proak­tive Informationspflicht

Die für die Daten­ver­ar­beitung ver­ant­wortlichen Per­so­n­en haben von sich aus, m.a.W. proak­tiv über eine Daten­ver­ar­beitung zu informieren.

Nach gel­ten­dem Recht bestand diese Pflicht lediglich bei der Beschaf­fung von beson­deres schützenswerten Per­so­n­en­dat­en und Per­sön­lichkeit­spro­filen. Neu wird diese Pflicht generell – mit eini­gen weni­gen Aus­nah­men — für die Beschaf­fung von Per­so­n­en­dat­en einge­führt. Dieser Pflicht wird nor­maler­weise mit­tels ein­er Daten­schutzerk­lärung («Pri­va­cy State­ment») nachgekom­men. Damit wird die Infor­ma­tion für sämtliche Daten­ver­ar­beitun­gen der ver­ant­wortlichen Per­son in einem einzi­gen Doku­ment erteilt. Gemäss Entwurf der Verord­nung des revDSG (VrevDSG) ist die Daten­schutzerk­lärung in «präzis­er, ver­ständlich­er und leicht zugänglich­er» Form zu erlassen.[1] In der Daten­schutzerk­lärung sind ins­beson­dere diejeni­gen Infor­ma­tio­nen bekan­nt zu geben, die erforder­lich sind, damit die betrof­fene Per­son ihre Rechte nach dem Daten­schutzge­setz gel­tend machen kann und wom­it eine trans­par­ente Daten­bear­beitung gewährleis­tet ist. Fol­gende Infor­ma­tio­nen sind min­destens mitzuteilen:

  1. Die Iden­tität und die Kon­tak­t­dat­en der ver­ant­wortlichen Person;
  2. der Bear­beitungszweck;
  3. gegebe­nen­falls die Empfänger der Dat­en sowie
  4. ob die Dat­en ins Aus­land bekan­nt gegeben wer­den und welche Sicher­heit­en getrof­fen wer­den, falls das Ziel­land nicht über einen angemesse­nen Daten­schutz verfügt.

Im Gegen­satz zur europäis­chen Geset­zge­bung verzichtet das revDSG auf die Angabe eines Recht­fer­ti­gungs­grun­des, d.h. gemäss revDSG bedarf es kein­er­lei Recht­fer­ti­gung, um Per­so­n­en­dat­en zu bear­beit­en, es sei denn, die Bear­beitung ver­let­zt die Per­sön­lichkeit der betrof­fe­nen Per­son.[2] Das revDSG sta­tu­iert, dass die Per­sön­lichkeit der betrof­fe­nen Per­son dann ver­let­zt ist, wenn die Daten­bear­beitung nicht an die daten­schutzrechtlichen Grund­sätze hält. Als beson­deres wichtige daten­schutzrechtliche Grund­sätze gel­ten dabei bspw. die Erkennbarkeit des Zwecks im Moment der Datenbeschaf­fung und der Zweck­bindung der zukün­fti­gen Bear­beitung. Dies bedeutet, dass Per­so­n­en­dat­en auss­chliesslich im Ein­klang mit dem bei der Datenbeschaf­fung angegebe­nen Zweck bear­beit­et wer­den dürfen.

Infor­ma­tio­nen auf Anfrage

Auf ein Auskun­fts­begehren sind ein­er betrof­fe­nen Per­son gemäss Art. 25 Abs. 2 revDSG diejeni­gen Infor­ma­tio­nen zu liefern, «die erforder­lich sind, damit sie ihre Rechte nach diesem Gesetz gel­tend machen kann und eine trans­par­ente Daten­bear­beitung gewährleis­tet ist.»

[1] vgl. Art. 13 E‑VrevDSG.

[2] Art. 30 f. revDSG.

Rechte der betroffenen Personen

(a) Aus­ge­bautes Auskunftsrecht

Das Auskun­ft­srecht im revDSG ergänzt die Infor­ma­tion­spflicht. Das Auskun­ft­srecht führt dazu, dass die betrof­fene Per­son zusät­zliche Infor­ma­tio­nen zu den­jeni­gen, die im Rah­men der Daten­schutzerk­lärung offen­gelegt wer­den, erhält. Auf ein Auskun­fts­begehren sind ein­er betrof­fe­nen Per­son gemäss Art. 25 Abs. 2 revDSG diejeni­gen Infor­ma­tio­nen zu liefern, «die erforder­lich sind, damit sie ihre Rechte nach diesem Gesetz gel­tend machen kann und eine trans­par­ente Daten­bear­beitung gewährleis­tet ist.» Damit kann jede natür­liche Per­son ver­lan­gen, dass ihr der Ver­ant­wortliche offen­legt, ob er Per­so­n­en­dat­en von ihr bear­beit­et und wenn ja, welche. Auf Ver­lan­gen der natür­lichen Per­son sind fol­gende Infor­ma­tio­nen offenzulegen:

  • Die Iden­tität und Kon­tak­t­dat­en des Verantwortlichen;
  • die bear­bei­t­en­den Per­so­n­en­dat­en als solche;
  • der Bear­beitungszweck;
  • die Auf­be­wahrungs­dauer der Per­so­n­en­dat­en oder, falls dies nicht möglich ist, die Kri­te­rien zur Fes­tle­gung dieser Dauer;
  • die ver­füg­baren Angaben über die Herkun­ft der Per­so­n­en­dat­en, soweit sie nicht bei der betrof­fe­nen Per­son beschafft werden;
  • gegebe­nen­falls das Vor­liegen eines rein automa­tisierten Entschei­dung­sprozess­es, sofern dieser eine erhe­blich beein­trächti­gende Rechts­folge nach sich zieht (Einze­lentschei­dung), sowie die Logik, auf der diese Einze­lentschei­dung beruht und die Möglichkeit­en zu deren Überprüfung;
  • gegebe­nen­falls der Empfänger oder die Kat­e­gorien von Empfängern, denen Per­so­n­en­dat­en bekan­nt­gegeben wer­den, sowie die Infor­ma­tio­nen nach Art. 19 Abs. 4 revDSG.

Die Auskun­fts­begehren kann abgelehnt, zumin­d­est eingeschränkt oder aufgeschoben wer­den, wenn das Gesuch der natür­lichen Per­son «offen­sichtlich» unbe­grün­det oder queru­la­torisch ist.[1] Offen­sichtlich unbe­grün­det sind Auskun­fts­begehren dann, wenn sie nicht der Gel­tend­machung von Daten­schutzrecht­en oder der daten­schutzrechtlich motivierten Schaf­fung von Trans­parenz dienen.

[1] Art. 26 Abs. 1 lit. c revDSG

(b) Neues Recht auf Datenportabilität
Das revDSG führt ein Recht der Daten­her­aus­gabe und ‑über­tra­gung ein, welch­es der Regelung der DSG­VO nachge­bildet ist. Die neue Regel greift dort, wo ein Ver­ant­wortlich­er ein­er Daten­bear­beitung zum Abschluss oder zur Abwick­lung eines Ver­trags mit der betrof­fe­nen Per­son, oder gestützt auf eine Ein­willi­gung von ihr, Dat­en automa­tisiert bear­beit­et. Die in diesem Zusam­men­hang von der betrof­fe­nen Per­son erhal­te­nen Per­so­n­en­dat­en, hat der Ver­ant­wortliche jed­erzeit auf Ver­lan­gen hin kosten­los herauszugeben.

Massnahmen zur Sicherstellung des Datenschutzes

(a) Pri­va­cy by Design

Art. 7 revDSG führt die Prinzipen (i) «Pri­va­cy by Design» (Daten­schutz durch Tech­nik) und (ii) «Pri­va­cy by Default» (Daten­schutz durch daten­schutzfre­undliche Vor­e­in­stel­lun­gen) ein, welche heute bere­its als «best prac­tice» gelten.

Der Ver­ant­wortliche ist verpflichtet, die Daten­bear­beitung tech­nisch und organ­isatorisch so auszugestal­ten, dass die Daten­schutzvorschriften einge­hal­ten wer­den kön­nen.[1] Dies bedeutet, dass Per­so­n­en­dat­en durch Tech­nik stan­dard­mäs­sig pseu­do­nymisiert oder anonymisiert wer­den, sobald sie zum Zweck der Bear­beitung nicht mehr erforder­lich sind oder dass sie regelmäs­sig gelöscht wer­den. Eben­falls gilt, dass nur solche Per­so­n­en­dat­en erhoben wer­den, welche zwin­gend für den Ver­wen­dungszweck benötigt wer­den und weit­ere Per­so­n­en­dat­en nur, wenn dies aktiv angewählt und damit autorisiert wird.

[1] Art. 7 revDSG

(b) Pri­va­cy by Default
Die Pflicht zur «Pri­va­cy by Default» wird durch das revDSG neu einge­führt. Sind in einem Ser­vice, in ein­er Soft­ware oder in einem Gerät mehrere Möglichkeit­en vorge­se­hen, wie Per­so­n­en­dat­en bear­beit­et wer­den kön­nen und kann der Benutzer diese Möglichkeit­en über eine entsprechende Ein­stel­lung selb­st anpassen, muss die Stan­dard­e­in­stel­lung, die am wenig­sten weit­ge­hende Ein­stel­lung aufzeigen. 

Datenexporte

Die Grund­sätze für Daten­ex­porte bleiben im revDSG unverän­dert. Dies bedeutet, dass Daten­ex­porte in Län­der mit angemesse­nen Daten­schutzge­set­zen weit­er­hin zuläs­sig sind. Daten­ex­porte in einen Drittstaat bedür­fen entwed­er der Recht­fer­ti­gung (z.B. Ein­willi­gung, Ver­tragser­fül­lung, über­wiegende öffentliche Inter­essen, Durch­set­zung von Recht­sansprüchen) oder ander­er Mass­nah­men zur Gewährleis­tung eines angemesse­nen Datenschutzniveaus.

Das revDSG bringt allerd­ings eine bedeu­tende Neuerung mit sich:

  • Der Bun­desrat ist ermächtigt, nach dem Vor­bild der EU verbindliche Angemessen­heit­sentschei­de über das Daten­schutzniveau ander­er Staat­en zu erlassen. Die bish­erige Liste des Eid­genös­sis­chen Daten­schutz- und Öffentlichkeits­beauf­tragten (EDÖB) von Staat­en, die über einen angemesse­nen Daten­schutz ver­fü­gen, entfällt;
  • Die Noti­fika­tion­spflicht bei der Ver­wen­dung von Stan­dard­klauseln entfällt;
  • Das revDSG erlaubt Daten­ex­porte in Drittstaat­en zur Durch­set­zung von Ansprüchen bei aus­ländis­chen Behör­den (und nicht wie bish­er nur bei aus­ländis­chen Gerichten);
  • Die betrof­fene Per­son müssen darüber informiert wer­den, wohin ihre Dat­en exportiert wer­den und bei Exporten in Län­der ohne angemessenes Schutzniveau auf welchen Recht­fer­ti­gungstatbe­stand sich der Ver­ant­wortliche stützt bzw. welche Schutz­mass­nah­men er getrof­fen hat.

Handlungsbedarf für Unternehmen

Im Hin­blick auf die Ein­führung des revDSG sind Unternehmen gefordert, fol­gende Mass­nah­men zu ergreifen:

Über­prü­fung der Organ­i­sa­tion: Unternehmen soll­ten einen Daten­schutzbeauf­tragten ernen­nen. Es ist wichtig, die interne Zuständigkeit für den Daten­schutz zu regeln.

Aktu­al­isierung der Doku­men­ta­tion: Es gilt die Daten­schutzerk­lärun­gen auf die neuen Vor­gaben hin zu über­prüfen, anzu­passen und gegebe­nen­falls neu zu erstellen, falls solche noch nicht vorhan­den sind. Daten­schutzerk­lärun­gen müssen so aus­gestal­tet sein, dass Mitar­beit­er, Geschäftspart­ner und die Öffentlichkeit über die Daten­ver­ar­beitung informiert wer­den. Dies ist ein zen­traler Aspekt der Datenschutz-Compliance.

Etwas aufwendi­ger ist die interne Prü­fung, ob alle Fälle abgedeckt sind, über die das Unternehmen Per­so­n­en­dat­en beschafft. Nur mit diesen Angaben kann dann jedoch auch das neu vorgeschriebene Verze­ich­nis der Daten­bear­beitun­gen erstellt werden.

Imple­men­tierung geeigneter Prozesse: Unternehmen müssen einen Prozess ein­führen zur Erfas­sung, Mel­dung und Bear­beitung von Ver­let­zun­gen der Daten­sicher­heit, wozu auch unbe­ab­sichtigte Daten­ver­luste und Fehlversendun­gen von Per­so­n­en­dat­en zählen,. Dabei gilt es zu beacht­en, dass min­desten eine Per­son im Unternehmen weiss, was in der konkreten Sit­u­a­tion zu tun ist oder wie sie her­aus­find­et, was zu tun ist bei Ein­tritt ein­er solchen Verletzung.

Über­prü­fung von Mass­nah­men zur Daten­sicher­heit: Unternehmen müssen dafür sor­gen, dass Per­so­n­en­dat­en angemesse­nen geschützt sind. Die getrof­fe­nen organ­isatorischen und tech­nis­chen Mass­nah­men sind regelmäs­sig zu über­prüfen und gegebe­nen­falls zu aktualisieren.

AvelaLaw AG: L‑QIF Experten der ersten Stunde

AVE­LALAW AG ZÜRICH ist eine auf das Finanz­mark­trecht (mit beson­derem Schw­er­punkt auf das Asset Man­age­ment sowie Schweiz­er und aus­ländis­che kollek­tive Kap­i­ta­lan­la­gen) spezial­isierte Beratungs­fir­ma mit Sitz in Zürich. AVE­LALAW deckt das gesamte Spek­trum der Rechts­ber­atung, der Com­pli­ance und des Risiko­man­age­ments für ihre Klien­ten ab. Zu den Klien­ten von AVE­LALAW zählen Ver­mö­gensver­wal­ter, Fonds­man­ag­er, Fond­sleitun­gen, Anlage­ber­ater, Banken, Ver­sicherun­gen und son­stige Finanz­di­en­stleis­ter aus dem In- und Aus­land. Wir berat­en Sie gerne in deutsch­er, englis­ch­er, spanis­ch­er und ital­ienis­ch­er Sprache.

 

Der Inhalt dieses Doku­ments stellt keine Rechts- oder Steuer­auskun­ft dar und darf nicht als solche ver­wen­det wer­den. Soll­ten Sie einen auf ihre Umstände bezo­gene Beratung wün­schen, wen­den Sie sich bitte an eine der oben aufge­führten Per­so­n­en bei AVE­LALAW AG.

 

Wir freuen uns auf Ihre Kontaktaufnahme!

Your Contact

Dirk Spiegel

Patrick Moser

FinSA and FinIA entered into force.

What impact does FinSA and FinIA have on the core process of your company?

Visit simplyFIDLEG

Training for client advisers in the field of FinSA Rules of Conduct

AvelaLaw offers mandatory initial training and refresher courses for Client Advisers who shall be enrolled in the Register of Client Advisers maintained by the stock exchange Bern in accordance with Art. 28 et seq. of the Federal Act on Financial Services of 15 June 2018 (“FinSA”).

Register now

AvelaLaw AG

AVELALAW is a Zurich-based advisory firm specialising in financial market law (with a particular focus on asset management and Swiss and foreign collective investment schemes). AVELALAW covers the full spectrum of legal advice, compliance and risk management for its clients.

Navigation

Main Menu

More

Main Menu

Legal

Main Menu

Our recent events

Register now

COURSE OFFERING of AvelaLaw AG – Initial Training / Refresher Course for Client Advisers in the Field of Rules of Conduct according to FINSA

Only a few seats available

Register now