Das neue Datenschutzgesetz (revDSG) tritt am 1. September in der Schweiz in Kraft. In diesem Artikel werfen wir einen Blick auf die wichtigsten Punkte dieser Reform zusammen mit Bettina Barjon, Datenschutzberaterin bei KHEOPS Technologies.
Das aktuelle Datenschutzgesetz stammt aus dem Jahr 1992. In der Zwischenzeit haben die Einführung und die Verbreitung des Internets zu einer massiven Sammlung personenbezogener Daten geführt. Eine Überarbeitung des Gesetzes war notwendig, um diese technologischen und sozialen Entwicklungen zu berücksichtigen und den Schutz der Privatsphäre und der Persönlichkeit jedes Einzelnen zu gewährleisten.
Die Vereinbarkeit des Schweizer Rechts mit dem europäischen Recht war ebenfalls ein Grund für diese Überarbeitung. Damit personenbezogene Daten über die Grenzen hinweg ohne rechtliche Komplikationen verarbeitet werden können, muss die Schweiz eine Angemessenheitsentscheidung erhalten. Kurz gesagt, das Schutzniveau der Schweiz muss dem der EU gleichwertig sein.
Derzeit genießt die Schweiz eine solche Entscheidung, jedoch wird diese von der Europäischen Kommission erneut überprüft. Die Verabschiedung des neuen Datenschutzgesetzes steht ebenfalls in diesem Zusammenhang.
Im Großen und Ganzen verfolgt das revDSG einen risikobasierten Ansatz und stärkt die Maßnahmen zur Transparenz.
Es wird von einem System der Meldung bestimmter Dateien an den Bundesdatenschutzbeauftragten und zur Transparenz (EDÖB) auf ein System der Nachweispflicht über die Konformität von Organisationen, die personenbezogene Daten verarbeiten, gewechselt, ähnlich der europäischen Gesetzgebung.
Es liegt nun an den Akteuren, die diese Daten verarbeiten, nachweisen zu können, dass ihre Verarbeitungsprozesse konform sind. Dies setzt voraus, dass sie diese Prozesse zuvor kartieren, um ihre Konformität zu prüfen.
In der Praxis wird es nun Pflicht:
- Vor jeder Erhebung personenbezogener Daten eine detaillierte Information bereitzustellen. Nur personenbezogene Daten von natürlichen Personen sind jetzt betroffen;
- Ein Verzeichnis über die Verarbeitungstätigkeiten zu führen (eine Ausnahme gilt für Unternehmen mit weniger als 250 Mitarbeitern, deren Datenverarbeitung ein geringes Risiko darstellt);
- Daten zu löschen oder zu anonymisieren, wenn sie nicht mehr benötigt werden;
- Die Prinzipien „Privacy by Design“ und „Privacy by Default“ anzuwenden;
- Eine Risikobewertung durchzuführen, wenn die Verarbeitung hohe Risiken mit sich bringt;
- Im Falle einer Sicherheitsverletzung (einschließlich unbeabsichtigter Verletzungen) diese umgehend beim EDÖB zu melden, wenn ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person besteht. Die betroffene Person muss ebenfalls informiert werden, wenn dies erforderlich oder vom EDÖB gefordert wird.
Weitere Rechte, wie das Recht auf Datenportabilität und das Recht auf Zugang, zu beachten.
Der Begriff „Profiling“ wird ebenfalls in das Gesetz aufgenommen.
Es ist zu beachten, dass das Datenschutzgesetz sowohl für Ärzte und Privatkliniken als auch für staatliche Krankenhäuser gilt. Kantonale Krankenhäuser unterliegen den kantonalen Datenschutzgesetzen.
Gesundheitsdaten gelten bereits jetzt als sensible Daten. Ab dem 1. September werden auch genetische und biometrische Daten in diese Definition aufgenommen. Darüber hinaus müssen die technischen und organisatorischen Maßnahmen der Verantwortlichen für die Datenverarbeitung und ihrer Auftragsverarbeiter an die Risiken angepasst werden, was praktisch zu einer Verstärkung der Sicherheitsmaßnahmen führt, wenn es um medizinische Daten geht.
Zusätzlich verpflichtet die Verordnung über den Datenschutz zur Protokollierung der Verarbeitung sensibler Daten in großem Umfang und zur Führung eines Verarbeitungsreglements.
Das revDSG enthält mehrere strafrechtliche Bestimmungen, um die Wirksamkeit der auferlegten Pflichten zu verstärken.
Die Befugnisse des EDÖB wurden ebenfalls überprüft, allerdings ohne ihm direkte administrative Sanktionen zu erteilen (wie sie beispielsweise die CNIL in Frankreich hat). Er kann jedoch eine Verarbeitung verbieten.
Die Höhe der Bußgelder wurde erhöht und kann bis zu 250.000 CHF für eine natürliche Person im Falle einer vorsätzlichen Verletzung betragen. Dies ist strenger als zuvor (10.000 CHF), aber immer noch weit entfernt von den 20 Millionen Euro oder 4% des weltweiten Umsatzes, die das GDPR vorsieht (für juristische Personen).
Ohne es als Sanktion zu betrachten, sollte meiner Meinung nach das Reputationsrisiko im Zusammenhang mit der neuen Meldepflicht für Sicherheitsverletzungen berücksichtigt werden.
Der Datenschutz ist eine ständige Sorge.
Wir achten seit dem Inkrafttreten der europäischen Verordnung im Jahr 2018 auf deren Umsetzung. Unsere Mitarbeiter sind für den Datenschutz sensibilisiert, des Weiteren wurden verschiedene Maßnahmen sowohl auf technischer als auch auf rechtlicher Ebene ergriffen. Zudem bieten wir unseren Kunden und Partnern spezielle Verträge zum Datenschutz an, die die Rechte und Pflichten aller Parteien festlegen. Dies bietet die Möglichkeit, eine echte Zusammenarbeit in diesem Bereich aufzubauen.
Was das revDSG betrifft, so müssen Unternehmen, die bereits dem GDPR entsprechen, nur wenige Änderungen vornehmen.
Für alle anderen bietet die Website des EDÖB präzise und detaillierte Informationen. Dort gibt es auch ein neues Portal „Databreach“, über das Sicherheitsverletzungen online gemeldet werden können.
Für Fragen oder weitere Informationen können sich unsere Kunden und Partner an folgende Adresse wenden: dpo@kheops.ch
