VelaSolution
VelaSolution

Das totalrevidierte Datenschutzgesetz der Schweiz

Das total­re­vi­dier­te Daten­schutz­ge­setz der SchweizDaten­schutz: Eine Über­sicht zum neu­en Gesetz 

Gemäss dem Bun­des­amt für Jus­tiz­soll das neue Daten­schutz­ge­setzt am 1. Sep­tem­ber 2023 in Kraft tre­ten. Der dafür not­wen­di­ge Ent­scheid des Bun­des­rats muss aller­dings noch erfolgen.

Die Änderungen auf einen Blick

  • Das revi­dier­te Daten­schutz­ge­setz (revDSG) bringt neue Infor­ma­ti­ons- und Doku­men­ta­ti­ons­pflich­ten. Sobald Per­so­nen­da­ten erho­ben wer­den, müs­sen die davon betrof­fe­nen Per­so­nen über fol­gen­de Punk­te infor­miert werden:
    1. Iden­ti­tät und Kon­takt­da­ten des Datenverarbeiters;
    2. Zweck der Verarbeitung;
    3. alle Emp­fän­ger denen Per­so­nen­da­ten mit­ge­teilt wer­den bekannt gege­ben werden.
  • Juris­ti­sche Per­so­nen wer­den durch das Daten­schutz­ge­setz nicht mehr geschützt.
  • Die Lis­te der streng ver­trau­li­chen Per­so­nen­da­ten wird im revDSG erwei­tert und umfasst neu auch (i) gene­ti­sche Daten und (ii) bio­me­tri­sche Daten.
  • Die auto­ma­ti­sier­te Ver­ar­bei­tung von Per­so­nen­da­ten, um bestimm­te Aspek­te einer natür­li­chen Per­son zu beur­tei­len (sog. Pro­fil­ing) wird im revDSG aus der euro­päi­schen Gesetz­ge­bung (DSGVO) über­nom­men.
  • Für die Daten­ver­ar­bei­tung wird in der Regel eine Ver­ein­ba­rung erfor­der­lich sein.
  • Die Daten­ver­ar­bei­tung muss so gestal­tet sein, dass Daten­schutz­vor­schrif­ten und Ver­ar­bei­tungs­grund­sät­ze zu allen Zei­ten beach­tet und ein­ge­hal­ten wer­den kön­nen (Daten­schutz durch Tech­nik­ein­stel­lun­gen). Die Stan­dard­ein­stel­lun­gen müs­sen so gestal­tet sein, dass die Ver­ar­bei­tung von Per­so­nen­da­ten auf das für den Ver­wen­dungs­zweck benö­tig­te Mini­mum beschränkt wird.
  • Das revDSG führt eine Mel­de­pflicht bei Daten­ver­lus­ten und sons­ti­gen Sicher­heit­s­pan­nen ein. Dies­be­züg­lich muss ein ent­spre­chen­der Pro­zess ein­ge­führt werden.
  • Das revDSG ist nicht stren­ger als die euro­päi­sche Gesetz­ge­bung (DSGVO), aber auch nicht iden­tisch. Hier gilt es, die Unter­schie­de zu erken­nen und Dif­fe­ren­zen zu prüfen.

Ausgangslage

Es ist vor­ge­se­hen, dass das neue Daten­schutz­recht auf den 1. Sep­tem­ber 2023 in Kraft gesetzt wird. Der dafür not­wen­di­ge Bun­des­rats­ent­scheid steht noch aus. Die neue Gesetz­ge­bung soll ins­be­son­de­re den Ent­wick­lun­gen auf Ebe­ne des Euro­pa­ra­tes und der Euro­päi­schen Uni­on Rech­nung tra­gen. Dies bedeu­tet, dass das revi­dier­te Daten­schutz­ge­setz mass­geb­lich von der Daten­schutz-Grund­ver­ord­nung der Euro­päi­schen Uni­on (DSGVO) beein­flusst wur­de. Das revDSG bezweckt den Schutz der Per­sön­lich­keit und der Grund­rech­te von natür­li­chen Per­so­nen, die sich in der Schweiz befin­den und deren Daten durch Pri­va­te oder vom Staat bear­bei­tet wer­den. Das unter bis­he­ri­gem Recht bestehen­de Rege­lungs­kon­zept wird durch die Revi­si­on nicht ver­än­dert. Wei­ter­hin gilt, dass für die Bear­bei­tung von Per­so­nen­da­ten weder eine Ein­wil­li­gung noch die Anga­be eines Recht­fer­ti­gungs­grund erfor­der­lich ist. Ein Recht­fer­ti­gungs­grund ist nur dann not­wen­dig, wenn ent­we­der die Bear­bei­tungs­grund­sät­ze des revDSG nicht ein­ge­hal­ten wer­den, die betrof­fe­ne Per­son der Bear­bei­tung wider­spro­chen hat oder einem Drit­ten beson­ders schüt­zens­wer­te Per­so­nen­da­ten mit­ge­teilt wer­den sol­len. Dies ist der wich­tigs­te Unter­schied zur DSGVO, wo Per­so­nen­da­ten erst dann bear­bei­tet wer­den dür­fen, wenn eine ange­mes­se­ne «Rechts­grund­la­ge» besteht. Das revDSG bezweckt die Ver­bes­se­rung der Trans­pa­renz der Bear­bei­tung von Daten und stärkt die Kon­troll­mög­lich­kei­ten der betrof­fe­nen Per­so­nen über ihre Daten. Aus­ser­dem soll das Ver­ant­wor­tungs­be­wusst­sein der für die Bear­bei­tung ver­ant­wort­li­chen Per­so­nen erhöht wer­den, die Bekannt­ga­be von Daten ins Aus­land erleich­tert und die Ent­wick­lung neu­er Wirt­schafts­zwei­ge im Bereich der Digi­ta­li­sie­rung der Gesell­schaft geför­dert wer­den. Die neu­en Infor­ma­ti­ons- und Mel­de­pflich­ten des revDSG ver­pflich­ten Orga­ni­sa­tio­nen ins­künf­tig, betrof­fe­nen Indi­vi­du­en über die Bear­bei­tung ihrer Per­so­nen­da­ten zu infor­mie­ren. Das revDSG kennt kei­ne wesent­li­chen Über­gangs­fris­ten. Auf­grund des­sen emp­fiehlt es sich, sich bereits heu­te mit den neu­en Anfor­de­run­gen auseinanderzusetzen. 

Geltungsbereich

Das revDSG ist auf Sach­ver­hal­te anwend­bar, die sich auf die Schweiz aus­wir­ken. Dem­nach ist die neue Gesetz­ge­bung auch auf Unter­neh­men mit Sitz im Aus­land anwend­bar, die Daten in der Schweiz bearbeiten. 

Neue und erweiterte Begriffe

(a) Ver­ant­wort­li­cher und Auftragsbearbeiter

Das revDSG führt die Begrif­fe «Ver­ant­wort­li­cher» und «Auf­trags­be­ar­bei­ter» ein. Es han­delt sich dabei um die wich­tigs­ten Rol­len, auf wel­chen das revDSG beruht.

Unter dem Ver­ant­wort­li­chen ver­steht das revDSG, wer allein oder zusam­men mit ande­ren «über den Zweck und die Mit­tel der Bear­bei­tung ent­schei­det». Im bis­he­ri­gen Daten­schutz­ge­setz wur­de vom «Inha­ber der Daten­samm­lung» gespro­chen. Es han­delt sich damit um die­je­ni­ge Per­son, wel­che die daten­schutz­recht­li­chen Para­me­ter einer Daten­be­ar­bei­tung festlegt.

Als Auf­trags­be­ar­bei­ter gilt, wer eine Daten­be­ar­bei­tung ledig­lich nach Wei­sung aus­führt, auch wenn er gewis­se Ent­schei­dun­gen dies­be­züg­lich selbst tref­fen kann.

(b) Per­so­nen­da­ten

Der Begriff «Per­so­nen­da­ten» wird von der DSGVO über­nom­men. Dabei han­delt es sich gemäss Art. 5 revDSG um «alle Anga­ben, die sich auf eine bestimm­te oder bestimm­ba­re natür­li­che Per­son beziehen».

© Kein Schutz mehr von Per­so­nen­da­ten juris­ti­scher Personen

Das revDSG ver­zich­tet auf den Schutz der Daten von juris­ti­schen Per­so­nen, da die­ser von nur gerin­ger prak­ti­scher Bedeu­tung ist. Damit wird ein zen­tra­ler Unter­schied zum euro­päi­schen Recht besei­tigt. Das revDSG ist somit nur noch auf die Bear­bei­tung von Per­so­nen­da­ten natür­li­cher Per­so­nen anwend­bar. Damit hat eine juris­ti­sche Per­son kein Aus­kunfts­recht mehr. Juris­ti­sche Per­so­nen sind aber nach wie vor durch Art. 28 ZGB geschützt.

Aus­ser­dem soll damit die Bekannt­ga­be von Daten an Emp­fän­ger in aus­län­di­schen Staa­ten, deren Gesetz­ge­bung kei­nen Schutz von Daten juris­ti­scher Per­so­nen vor­sieht, erleich­tert werden.

(d) Pro­fil­ing

Das bis­he­ri­ge Recht kann­te den Begriff des «Per­sön­lich­keits­pro­fils», für wel­chen die­sel­ben Rege­lun­gen gal­ten, wie für beson­ders schüt­zens­wer­te Per­so­nen­da­ten. Neu wird der Begriff des «Pro­fil­ing» ein­ge­führt und die Legal­de­fi­ni­ti­on der DSGVO über­nom­men. Beim Pro­fil­ing han­delt es sich um «jede Art der auto­ma­ti­sier­ten Bear­bei­tung von Per­so­nen­da­ten, die dar­in besteht, dass die­se Daten ver­wen­det wer­den, um bestimm­te per­sön­li­che Aspek­te, die sich auf eine natür­li­che Per­son bezie­hen, zu bewer­ten, ins­be­son­de­re um Aspek­te bezüg­lich Arbeits­leis­tung, wirt­schaft­li­cher Lage, Gesund­heit, per­sön­li­cher Vor­lie­ben, Inter­es­sen, Zuver­läs­sig­keit, Ver­hal­ten, Auf­ent­halts­ort oder Orts­wech­sel die­ser natür­li­chen Per­son zu ana­ly­sie­ren oder vor­her­zu­sa­gen».[1]

Wich­tig ist, dass die Inter­pre­ta­ti­on auto­ma­ti­siert zu erfol­gen hat, d.h. nicht manu­ell vor­ge­nom­men wird.

[1] vgl. Art. 5 lit. f revDSG.

(e) Pro­fil­ing mit hohem Risiko
Art. 5 lit. g revDSG führt den Begriff des «Pro­fil­ing mit hohem Risi­ko», ein, wel­cher defi­niert ist als «Pro­fil­ing, das ein hohes Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son mit sich bringt, indem es zu einer Ver­knüp­fung von Daten führt, die eine Beur­tei­lung wesent­li­cher Aspek­te der Per­sön­lich­keit einer natür­li­chen Per­son erlaubt». Es han­delt sich dabei eigent­lich um den aus dem bis­he­ri­gen DSG stam­men­den Begriff des «Per­sön­lich­keits­pro­fils».
(f) Ergän­zung der Defi­ni­ti­on beson­ders schüt­zens­wer­te Personendaten

Die Auf­zäh­lung der beson­ders schüt­zens­wer­ten Per­so­nen­da­ten wird im revDSG mit der expli­zi­ten Nen­nung der «gene­ti­schen Daten» und der «bio­me­tri­schen Daten» ergänzt. Dabei wer­den unter gene­ti­schen Daten sämt­li­che Infor­ma­tio­nen über das Erb­gut einer Per­son ver­stan­den, die durch eine gene­ti­sche Unter­su­chung gewon­nen wer­den kön­nen. Bei bio­me­tri­schen Daten han­delt es sich um Daten, wel­che durch ein spe­zi­fi­sches tech­ni­sches Ver­fah­ren zu den phy­si­schen, phy­sio­lo­gi­schen oder ver­hal­tens­ty­pi­schen Merk­ma­len eines Indi­vi­du­ums gewon­nen wer­den und die eine ein­deu­ti­ge Iden­ti­fi­zie­rung der betref­fen­den Per­son ermög­li­chen oder bestä­ti­gen (bspw. ein Fin­ger­ab­druck, Gesichts­bild mit Iris Scan etc.). Die Auf­nah­me die­ser zusätz­li­chen beson­ders schüt­zens­wer­ten Daten im revDSG erfolg­te zwecks Anglei­chung an die DSGVO.

Einwilligung

Das revDSG hat kei­nen neu­en Stan­dard für Ein­wil­li­gun­gen ein­ge­führt. Ent­spre­chend wird sich mate­ri­ell nichts ändern. Das revDSG geht damit weni­ger weit als die DSGVO.

Nach Art. 6 Abs. 7 revDSG muss die Ein­wil­li­gung aus­drück­lich erfol­gen für:

  1. die Bear­bei­tung von beson­ders schüt­zens­wer­ten Personendaten;
  2. ein Pro­fil­ing mit hohem Risi­ko durch eine pri­va­te Per­son; oder
  3. ein Pro­fil­ing durch ein Bundesorgan.


Wich­tig ist, dass je mehr Risi­ken eine Daten­ver­ar­bei­tung für die betrof­fe­ne Per­son birgt, umso höher sind die Anfor­de­run­gen an die Gül­tig­keit der Einwilligung.

Zweckbindung

Das revDSG führt neu das Kon­zept der «Ver­ein­bar­keit» eines Bear­bei­tungs­zwecks ein. Art. 6 Abs. 3 revDSG sta­tu­iert, dass Per­so­nen­da­ten nur für einen bestimm­ten Zweck beschafft wer­den dür­fen. Aus­ser­dem dür­fen sie nur so bear­bei­tet wer­den, dass dies mit dem Zweck ver­ein­bar ist.

Keine Übernahme des Verbotsprinzips

Grund­sätz­lich erlaubt das revDSG die Bear­bei­tung von Per­so­nen­da­ten, sofern sie daten­schutz­kon­form, d.h. unter Ein­hal­tung der all­ge­mei­nen Bear­bei­tungs­grund­sät­ze erfolgt. Als Unter­schied zur DSGVO gilt damit das Ver­bots­prin­zip nicht, d.h. es muss nicht für jede Bear­bei­tung ein Recht­fer­ti­gungs­grund (wie bspw. die Ein­wil­li­gung, Gesetz etc.) vorliegen. 

Pflichten des Datenbearbeiters

(a) Ein­hal­tung der Bearbeitungsgrundsätze
Die in Art. 6 DSG genann­ten Bear­bei­tungs­grund­sät­ze wur­den im Rah­men der Revi­si­on nur wenig umfor­mu­liert. Wie erwähnt ist auch unter dem revDSG kei­ne Recht­fer­ti­gung für eine Daten­be­ar­bei­tung erfor­der­lich, falls die Bear­bei­tungs­grund­sät­ze ein­ge­hal­ten wer­den bzw. soweit kei­ne beson­ders schüt­zens­wer­ten Per­so­nen­da­ten von Drit­ten offen­bart werden.
(b) Ver­stärk­te Informationspflichten

Die Infor­ma­ti­ons­pflicht wird im revDSG aus­ge­baut. Dies bedeu­tet, dass Unter­neh­men eine Daten­schutz­er­klä­rung haben müs­sen, auf­grund wel­cher sie gewis­se Pflicht­in­for­ma­tio­nen über die von ihnen durch­ge­führ­ten Daten­be­schaf­fun­gen den betrof­fe­nen Per­so­nen zugäng­lich machen müs­sen. Dies geschieht nor­ma­ler­wei­se auf der eige­nen Web­sei­te mit Links auf ent­spre­chen­de Infor­ma­ti­ons­bro­schü­ren oder mit­tels spe­zi­fi­scher Verträge.

Gemäss Art. 14 DSG besteht eine Infor­ma­ti­ons­pflicht ledig­lich im Hin­blick auf die Beschaf­fung bzw. Bear­bei­tung von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten und Per­sön­lich­keits­pro­fi­len. Das revDSG sta­tu­iert bei jeder Beschaf­fung von Per­so­nen­da­ten eine Infor­ma­ti­ons­pflicht. Somit ent­steht eine Infor­ma­ti­ons­pflicht sowohl bei der direk­ten als auch bei der indi­rek­ten Beschaf­fung von Per­so­nen­da­ten (d.h. wenn die Daten bei Dritt­per­so­nen erho­ben werden).

Die von einer Daten­be­ar­bei­tung betrof­fe­nen Per­so­nen sol­len wis­sen, was mit ihren Daten geschieht. Das revDSG führt eine zwei­stu­fi­ge Infor­ma­ti­ons­pflicht ein.

Pro­ak­ti­ve Informationspflicht

Die für die Daten­ver­ar­bei­tung ver­ant­wort­li­chen Per­so­nen haben von sich aus, m.a.W. pro­ak­tiv über eine Daten­ver­ar­bei­tung zu informieren.

Nach gel­ten­dem Recht bestand die­se Pflicht ledig­lich bei der Beschaf­fung von beson­de­res schüt­zens­wer­ten Per­so­nen­da­ten und Per­sön­lich­keits­pro­fi­len. Neu wird die­se Pflicht gene­rell – mit eini­gen weni­gen Aus­nah­men – für die Beschaf­fung von Per­so­nen­da­ten ein­ge­führt. Die­ser Pflicht wird nor­ma­ler­wei­se mit­tels einer Daten­schutz­er­klä­rung («Pri­va­cy State­ment») nach­ge­kom­men. Damit wird die Infor­ma­ti­on für sämt­li­che Daten­ver­ar­bei­tun­gen der ver­ant­wort­li­chen Per­son in einem ein­zi­gen Doku­ment erteilt. Gemäss Ent­wurf der Ver­ord­nung des revDSG (VrevDSG) ist die Daten­schutz­er­klä­rung in «prä­zi­ser, ver­ständ­li­cher und leicht zugäng­li­cher» Form zu erlas­sen.[1] In der Daten­schutz­er­klä­rung sind ins­be­son­de­re die­je­ni­gen Infor­ma­tio­nen bekannt zu geben, die erfor­der­lich sind, damit die betrof­fe­ne Per­son ihre Rech­te nach dem Daten­schutz­ge­setz gel­tend machen kann und womit eine trans­pa­ren­te Daten­be­ar­bei­tung gewähr­leis­tet ist. Fol­gen­de Infor­ma­tio­nen sind min­des­tens mitzuteilen:

  1. Die Iden­ti­tät und die Kon­takt­da­ten der ver­ant­wort­li­chen Person;
  2. der Bear­bei­tungs­zweck;
  3. gege­be­nen­falls die Emp­fän­ger der Daten sowie
  4. ob die Daten ins Aus­land bekannt gege­ben wer­den und wel­che Sicher­hei­ten getrof­fen wer­den, falls das Ziel­land nicht über einen ange­mes­se­nen Daten­schutz verfügt.

Im Gegen­satz zur euro­päi­schen Gesetz­ge­bung ver­zich­tet das revDSG auf die Anga­be eines Recht­fer­ti­gungs­grun­des, d.h. gemäss revDSG bedarf es kei­ner­lei Recht­fer­ti­gung, um Per­so­nen­da­ten zu bear­bei­ten, es sei denn, die Bear­bei­tung ver­letzt die Per­sön­lich­keit der betrof­fe­nen Per­son.[2] Das revDSG sta­tu­iert, dass die Per­sön­lich­keit der betrof­fe­nen Per­son dann ver­letzt ist, wenn die Daten­be­ar­bei­tung nicht an die daten­schutz­recht­li­chen Grund­sät­ze hält. Als beson­de­res wich­ti­ge daten­schutz­recht­li­che Grund­sät­ze gel­ten dabei bspw. die Erkenn­bar­keit des Zwecks im Moment der Daten­be­schaf­fung und der Zweck­bin­dung der zukünf­ti­gen Bear­bei­tung. Dies bedeu­tet, dass Per­so­nen­da­ten aus­schliess­lich im Ein­klang mit dem bei der Daten­be­schaf­fung ange­ge­be­nen Zweck bear­bei­tet wer­den dürfen.

Infor­ma­tio­nen auf Anfrage

Auf ein Aus­kunfts­be­geh­ren sind einer betrof­fe­nen Per­son gemäss Art. 25 Abs. 2 revDSG die­je­ni­gen Infor­ma­tio­nen zu lie­fern, «die erfor­der­lich sind, damit sie ihre Rech­te nach die­sem Gesetz gel­tend machen kann und eine trans­pa­ren­te Daten­be­ar­bei­tung gewähr­leis­tet ist.»

[1] vgl. Art. 13 E‑VrevDSG.

[2] Art. 30 f. revDSG.

Rechte der betroffenen Personen

(a) Aus­ge­bau­tes Auskunftsrecht

Das Aus­kunfts­recht im revDSG ergänzt die Infor­ma­ti­ons­pflicht. Das Aus­kunfts­recht führt dazu, dass die betrof­fe­ne Per­son zusätz­li­che Infor­ma­tio­nen zu den­je­ni­gen, die im Rah­men der Daten­schutz­er­klä­rung offen­ge­legt wer­den, erhält. Auf ein Aus­kunfts­be­geh­ren sind einer betrof­fe­nen Per­son gemäss Art. 25 Abs. 2 revDSG die­je­ni­gen Infor­ma­tio­nen zu lie­fern, «die erfor­der­lich sind, damit sie ihre Rech­te nach die­sem Gesetz gel­tend machen kann und eine trans­pa­ren­te Daten­be­ar­bei­tung gewähr­leis­tet ist.» Damit kann jede natür­li­che Per­son ver­lan­gen, dass ihr der Ver­ant­wort­li­che offen­legt, ob er Per­so­nen­da­ten von ihr bear­bei­tet und wenn ja, wel­che. Auf Ver­lan­gen der natür­li­chen Per­son sind fol­gen­de Infor­ma­tio­nen offenzulegen:

  • Die Iden­ti­tät und Kon­takt­da­ten des Verantwortlichen;
  • die bear­bei­ten­den Per­so­nen­da­ten als solche;
  • der Bear­bei­tungs­zweck;
  • die Auf­be­wah­rungs­dau­er der Per­so­nen­da­ten oder, falls dies nicht mög­lich ist, die Kri­te­ri­en zur Fest­le­gung die­ser Dauer;
  • die ver­füg­ba­ren Anga­ben über die Her­kunft der Per­so­nen­da­ten, soweit sie nicht bei der betrof­fe­nen Per­son beschafft werden;
  • gege­be­nen­falls das Vor­lie­gen eines rein auto­ma­ti­sier­ten Ent­schei­dungs­pro­zes­ses, sofern die­ser eine erheb­lich beein­träch­ti­gen­de Rechts­fol­ge nach sich zieht (Ein­zel­ent­schei­dung), sowie die Logik, auf der die­se Ein­zel­ent­schei­dung beruht und die Mög­lich­kei­ten zu deren Überprüfung;
  • gege­be­nen­falls der Emp­fän­ger oder die Kate­go­rien von Emp­fän­gern, denen Per­so­nen­da­ten bekannt­ge­ge­ben wer­den, sowie die Infor­ma­tio­nen nach Art. 19 Abs. 4 revDSG.

Die Aus­kunfts­be­geh­ren kann abge­lehnt, zumin­dest ein­ge­schränkt oder auf­ge­scho­ben wer­den, wenn das Gesuch der natür­li­chen Per­son «offen­sicht­lich» unbe­grün­det oder que­ru­la­to­risch ist.[1] Offen­sicht­lich unbe­grün­det sind Aus­kunfts­be­geh­ren dann, wenn sie nicht der Gel­tend­ma­chung von Daten­schutz­rech­ten oder der daten­schutz­recht­lich moti­vier­ten Schaf­fung von Trans­pa­renz dienen.

[1] Art. 26 Abs. 1 lit. c revDSG

(b) Neu­es Recht auf Datenportabilität
Das revDSG führt ein Recht der Daten­her­aus­ga­be und ‑über­tra­gung ein, wel­ches der Rege­lung der DSGVO nach­ge­bil­det ist. Die neue Regel greift dort, wo ein Ver­ant­wort­li­cher einer Daten­be­ar­bei­tung zum Abschluss oder zur Abwick­lung eines Ver­trags mit der betrof­fe­nen Per­son, oder gestützt auf eine Ein­wil­li­gung von ihr, Daten auto­ma­ti­siert bear­bei­tet. Die in die­sem Zusam­men­hang von der betrof­fe­nen Per­son erhal­te­nen Per­so­nen­da­ten, hat der Ver­ant­wort­li­che jeder­zeit auf Ver­lan­gen hin kos­ten­los herauszugeben.

Massnahmen zur Sicherstellung des Datenschutzes

(a) Pri­va­cy by Design

Art. 7 revDSG führt die Prin­zi­pen (i) «Pri­va­cy by Design» (Daten­schutz durch Tech­nik) und (ii) «Pri­va­cy by Default» (Daten­schutz durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen) ein, wel­che heu­te bereits als «best prac­ti­ce» gelten.

Der Ver­ant­wort­li­che ist ver­pflich­tet, die Daten­be­ar­bei­tung tech­nisch und orga­ni­sa­to­risch so aus­zu­ge­stal­ten, dass die Daten­schutz­vor­schrif­ten ein­ge­hal­ten wer­den kön­nen.[1] Dies bedeu­tet, dass Per­so­nen­da­ten durch Tech­nik stan­dard­mäs­sig pseud­ony­mi­siert oder anony­mi­siert wer­den, sobald sie zum Zweck der Bear­bei­tung nicht mehr erfor­der­lich sind oder dass sie regel­mäs­sig gelöscht wer­den. Eben­falls gilt, dass nur sol­che Per­so­nen­da­ten erho­ben wer­den, wel­che zwin­gend für den Ver­wen­dungs­zweck benö­tigt wer­den und wei­te­re Per­so­nen­da­ten nur, wenn dies aktiv ange­wählt und damit auto­ri­siert wird.

[1] Art. 7 revDSG

(b) Pri­va­cy by Default
Die Pflicht zur «Pri­va­cy by Default» wird durch das revDSG neu ein­ge­führt. Sind in einem Ser­vice, in einer Soft­ware oder in einem Gerät meh­re­re Mög­lich­kei­ten vor­ge­se­hen, wie Per­so­nen­da­ten bear­bei­tet wer­den kön­nen und kann der Benut­zer die­se Mög­lich­kei­ten über eine ent­spre­chen­de Ein­stel­lung selbst anpas­sen, muss die Stan­dard­ein­stel­lung, die am wenigs­ten weit­ge­hen­de Ein­stel­lung aufzeigen. 

Datenexporte

Die Grund­sät­ze für Daten­ex­por­te blei­ben im revDSG unver­än­dert. Dies bedeu­tet, dass Daten­ex­por­te in Län­der mit ange­mes­se­nen Daten­schutz­ge­set­zen wei­ter­hin zuläs­sig sind. Daten­ex­por­te in einen Dritt­staat bedür­fen ent­we­der der Recht­fer­ti­gung (z.B. Ein­wil­li­gung, Ver­trags­er­fül­lung, über­wie­gen­de öffent­li­che Inter­es­sen, Durch­set­zung von Rechts­an­sprü­chen) oder ande­rer Mass­nah­men zur Gewähr­leis­tung eines ange­mes­se­nen Datenschutzniveaus.

Das revDSG bringt aller­dings eine bedeu­ten­de Neue­rung mit sich:

  • Der Bun­des­rat ist ermäch­tigt, nach dem Vor­bild der EU ver­bind­li­che Ange­mes­sen­heits­ent­schei­de über das Daten­schutz­ni­veau ande­rer Staa­ten zu erlas­sen. Die bis­he­ri­ge Lis­te des Eid­ge­nös­si­schen Daten­schutz- und Öffent­lich­keits­be­auf­trag­ten (EDÖB) von Staa­ten, die über einen ange­mes­se­nen Daten­schutz ver­fü­gen, entfällt;
  • Die Noti­fi­ka­ti­ons­pflicht bei der Ver­wen­dung von Stan­dard­klau­seln entfällt;
  • Das revDSG erlaubt Daten­ex­por­te in Dritt­staa­ten zur Durch­set­zung von Ansprü­chen bei aus­län­di­schen Behör­den (und nicht wie bis­her nur bei aus­län­di­schen Gerichten);
  • Die betrof­fe­ne Per­son müs­sen dar­über infor­miert wer­den, wohin ihre Daten expor­tiert wer­den und bei Expor­ten in Län­der ohne ange­mes­se­nes Schutz­ni­veau auf wel­chen Recht­fer­ti­gungs­tat­be­stand sich der Ver­ant­wort­li­che stützt bzw. wel­che Schutz­mass­nah­men er getrof­fen hat.

Handlungsbedarf für Unternehmen

Im Hin­blick auf die Ein­füh­rung des revDSG sind Unter­neh­men gefor­dert, fol­gen­de Mass­nah­men zu ergreifen:

Über­prü­fung der Orga­ni­sa­ti­on: Unter­neh­men soll­ten einen Daten­schutz­be­auf­trag­ten ernen­nen. Es ist wich­tig, die inter­ne Zustän­dig­keit für den Daten­schutz zu regeln.

Aktua­li­sie­rung der Doku­men­ta­ti­on: Es gilt die Daten­schutz­er­klä­run­gen auf die neu­en Vor­ga­ben hin zu über­prü­fen, anzu­pas­sen und gege­be­nen­falls neu zu erstel­len, falls sol­che noch nicht vor­han­den sind. Daten­schutz­er­klä­run­gen müs­sen so aus­ge­stal­tet sein, dass Mit­ar­bei­ter, Geschäfts­part­ner und die Öffent­lich­keit über die Daten­ver­ar­bei­tung infor­miert wer­den. Dies ist ein zen­tra­ler Aspekt der Datenschutz-Compliance.

Etwas auf­wen­di­ger ist die inter­ne Prü­fung, ob alle Fäl­le abge­deckt sind, über die das Unter­neh­men Per­so­nen­da­ten beschafft. Nur mit die­sen Anga­ben kann dann jedoch auch das neu vor­ge­schrie­be­ne Ver­zeich­nis der Daten­be­ar­bei­tun­gen erstellt werden.

Imple­men­tie­rung geeig­ne­ter Pro­zes­se: Unter­neh­men müs­sen einen Pro­zess ein­füh­ren zur Erfas­sung, Mel­dung und Bear­bei­tung von Ver­let­zun­gen der Daten­si­cher­heit, wozu auch unbe­ab­sich­tig­te Daten­ver­lus­te und Fehl­ver­sen­dun­gen von Per­so­nen­da­ten zäh­len,. Dabei gilt es zu beach­ten, dass min­des­ten eine Per­son im Unter­neh­men weiss, was in der kon­kre­ten Situa­ti­on zu tun ist oder wie sie her­aus­fin­det, was zu tun ist bei Ein­tritt einer sol­chen Verletzung.

Über­prü­fung von Mass­nah­men zur Daten­si­cher­heit: Unter­neh­men müs­sen dafür sor­gen, dass Per­so­nen­da­ten ange­mes­se­nen geschützt sind. Die getrof­fe­nen orga­ni­sa­to­ri­schen und tech­ni­schen Mass­nah­men sind regel­mäs­sig zu über­prü­fen und gege­be­nen­falls zu aktualisieren.

AvelaLaw AG: L‑QIF Experten der ersten Stunde

AVEL­ALAW AG ZÜRICH ist eine auf das Finanz­markt­recht (mit beson­de­rem Schwer­punkt auf das Asset Manage­ment sowie Schwei­zer und aus­län­di­sche kol­lek­ti­ve Kapi­tal­an­la­gen) spe­zia­li­sier­te Bera­tungs­fir­ma mit Sitz in Zürich. AVEL­ALAW deckt das gesam­te Spek­trum der Rechts­be­ra­tung, der Com­pli­ance und des Risi­ko­ma­nage­ments für ihre Kli­en­ten ab. Zu den Kli­en­ten von AVEL­ALAW zäh­len Ver­mö­gens­ver­wal­ter, Fonds­ma­na­ger, Fonds­lei­tun­gen, Anla­ge­be­ra­ter, Ban­ken, Ver­si­che­run­gen und sons­ti­ge Finanz­dienst­leis­ter aus dem In- und Aus­land. Wir bera­ten Sie ger­ne in deut­scher, eng­li­scher, spa­ni­scher und ita­lie­ni­scher Sprache.

Der Inhalt die­ses Doku­ments stellt kei­ne Rechts- oder Steu­er­aus­kunft dar und darf nicht als sol­che ver­wen­det wer­den. Soll­ten Sie einen auf ihre Umstän­de bezo­ge­ne Bera­tung wün­schen, wen­den Sie sich bit­te an eine der oben auf­ge­führ­ten Per­so­nen bei AVEL­ALAW AG.

Wir freu­en uns auf Ihre Kontaktaufnahme!

Am 1. Januar 2020 sind das Finanzdienstleistungsgesetz FIDLEG und das Finanzinstitutsgesetz FINIG gemeinsam mit den ausführenden Verordnungen FIDLEV, FINIV, AOV in Kraft getreten.

Der regulatorische Rahmen für die Erbringung von Finanzdienstleistungen hat sich in der Schweiz grundlegend geändert. Welchen Einfluss haben FIDLEG und FINIG auf die Kernprozesse Ihres Unternehmens?

simplyFIDLEG besuchen

Ausbildung im Bereich der FIDLEG-Verhaltensregeln

AvelaLaw bietet eine Erstausbildung sowie einen Auffrischungskurs für Kundenberaterinnen und Kundenberater an, die sich gemäss Art. 28ff. des Bundesgesetzes über die Finanzdienstleistungen vom 15. Juni 2018 («FIDLEG») in ein Beraterregister eintragen lassen müssen.

Zur Registrierung

AvelaLaw AG

AVELALAW ist eine auf das Finanzmarktrecht (mit besonderem Schwerpunkt auf das Asset Management sowie Schweizer und ausländische kollektive Kapitalanlagen) spezialisierte Beratungsfirma mit Sitz in Zürich. AVELALAW deckt das gesamte Spektrum der Rechtsberatung, der Compliance und des Risikomanagements für ihre Kunden ab. Zu den Kunden von AVELALAW zählen Vermögensverwalter, Fondsmanager, Fondsleitungen, Anlageberater, Banken, Versicherungen und sonstige Finanzdienstleister aus dem In- und Ausland. Wir beraten Sie gerne in deutscher, englischer, spanischer und italienischer Sprache.

Navigation

Main Menu

More

Main Menu

Rechtliches

Main Menu

Our recent events

Register now

COURSE OFFERING of AvelaLaw AG – Initial Training / Refresher Course for Client Advisers in the Field of Rules of Conduct according to FINSA

Only a few seats available

Register now

Register now

COURSE OFFERING of AvelaLaw AG – Initial Training / Refresher Course for Client Advisers in the Field of Rules of Conduct according to FINSA

Only a few seats available

Register now