Am 1. September 2023 tritt das neue Datenschutzgesetz der Schweiz in Kraft. Worum geht es?   

Thomas Letsch: Das neue Datenschutzgesetz schützt die Persönlichkeit und die Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden. Zu Personendaten gehören alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu gehören typischerweise Name, Adresse, Telefonnummer, Geburtsdatum aber unter Umständen auch genetische Daten und sogar IP-Adressen. Das neue Schweizer Datenschutzgesetz ist weitgehend abgestimmt auf die neuen europäischen Datenschutzregeln. In erster Linie sind darin die Pflichten der Verantwortlichen im Umgang mit und dem Schutz von Personendaten festgelegt. Dies bedeutet, dass man Personendaten rechtmässig bearbeiten muss und dies nach Treu und Glauben sowie verhältnismässig. Zudem darf man Personendaten nur zu einem bestimmten, für die betroffene Person erkennbaren Zweck beschaffen. 

Das Datenschutzgesetz regelt ebenfalls die Weitergabe von Personendaten an Dritte: Sowohl die Auftragsbearbeitenden wie auch die Verantwortlichen müssen durch geeignete technische und organisatorische Massnahmen eine Datensicherheit gewährleisten, die dem Risiko angemessen ist. Das wird in der Praxis typischerweise über sogenannte Datenauftragsbearbeitungsverträge sichergestellt. Beispielsweise wenn ein Unternehmen eine Applikation für den Versand von Newslettern verwendet, muss es die Zugänglichkeit zur Applikation im Allgemeinen sowie den Kreis der Berechtigten regeln und dafür sorgen, dass das Tool auf dem neusten Stand gehalten wird.

Bei der Ausarbeitung des neuen Datenschutzgesetzes hat man generell die technologischen Entwicklungen berücksichtigt und verschiedene Bestimmungen entsprechend angepasst.  

Was ist neu und wer ist von den Neuerungen betroffen? 

Neu wird die Selbstbestimmungen über die persönlichen Daten verstärkt, indem Betroffenen über jede Beschaffung von Personendaten informiert werden müssen – und nicht mehr «nur» bei besonders schützenswerten Personendaten. Zudem sind Unternehmen verpflichtet, Betroffenen die Identität des für die Bearbeitung Verantwortlichen mitzuteilen und den Bearbeitungszweck zu nennen, was typischerweise in der Datenschutzerklärung erfolgt.

Neu gelten auch die Grundsätze «Privacy by Design» und «Privacy by Default». Das bedeutet, dass Verantwortliche bereits bei der Planung und Ausgestaltung von Applikationen die Datenbearbeitungsgrundsätze berücksichtigen und Voreinstellungen so wählen müssen, dass die Einwilligung der Betroffenen für die Datenbearbeitung nur das unbedingt Notwendige abdeckt, soweit eine Wahlmöglichkeit zur Eigensteuerung der Datenbearbeitung angeboten wird. Besteht eine solche Möglichkeit, dann dürfen betroffene Personen den Datenschutz nur dann lockern können, wenn sie die Voreinstellungen aktiv ändern: In der Praxis bedeutet dies, dass bei Webseiten für die Zustimmung zur Verwendung von Personendaten zu Werbezwecken das entsprechende Feld nicht so voreingestellt werden darf, dass das Feld bereits ein Kreuzchen beinhaltet.

Führt eine Datensicherheitsverletzung voraussichtlich zu einem hohen Risiko für Betroffene, so ist der Verantwortliche gemäss dem neuen Datenschutzgesetz gehalten, den Vorfall so rasch als möglich dem Eidgenössischen Datenschutzbeauftragten zu melden. Bei Verletzung können die Verantwortlichen persönlich mit bis zu CHF 250 000 gebüsst werden.

Was sind Ihre Tipps an Berufsleute zum Thema Datenschutz bzw. um in einer digitalen Welt umsichtig mit seinen Daten umzugehen?

Persönliche Daten sollten nur mit Zurückhaltung an Dritte übermittelt werden – dies insbesondere dann, wenn der Empfänger die Daten in ein unsicheres Drittland zur Bearbeitung weiterleitet. Ob dies der Fall ist, geht aus der jeweiligen Datenschutzerklärung hervor.

Möchte eine Person wissen, welche Daten eine Organisation über sie gesammelt hat, dann kann sie das im Rahmen eines Auskunftsbegehrens verlangen. Stellt sich heraus, dass die Daten nicht richtig sind, dann hat die betroffene Person die Möglichkeit, die Korrektur oder ultima ratio die Löschung der Daten zu verlangen.

Arbeitnehmende sollten wissen, welche Datenschutzrichtlinien im Betrieb gelten und wie mit Personendaten umzugehen ist. Sie sollten auch das Datenschutzreglement des Betriebs kennen, welches die unternehmensinternen Leitplanken im Umgang mit und dem Schutz von Personendaten festlegt. 

Erstmals veröffentlicht: 1.9.2023