Das neue, revidierte Datenschutzgesetz (nDSG) bedeutet für alle Firmen und Organisationen, die Daten der Kundschaft, von Lieferanten, Geschäftspartnern und Mitarbeitenden bearbeiten, erhöhte Auskunfts-, Informations- und Meldepflichten. Die neuen Bestimmungen sollen das Risiko des Missbrauchs von Personendaten massgeblich reduzieren. Nachfolgend sind die wesentlichen Neuerungen des nDSG aufgeführt:

• Erweiterung des Katalogs der besonders schützenswerten Personendaten: Unter die besonders schützenswerten Personendaten – wozu unter anderem Gesundheitsdaten zählen – fallen neu auch genetische und biometrische Daten, die eine natürliche Person eindeutig identifizieren. Als genetische Daten bezeichnet man all jene Informationen einer Person, die zu ihren ererbten oder auch erworbenen genetischen Eigenschaften gehören. Biometrische Daten sind Daten, die Information zu physischen, physiologischen oder auch verhaltenstypischen Eigenschaften einer Person geben. Zu den biometrischen Daten zählen zum Beispiel Fingerabdrücke, die Gesichtsgeometrie und die DNA. Unter das neue Datenschutzgesetz fallen nur mehr die Daten natürlicher Personen, nicht aber diejenigen von juristischen Personen.

• Erweiterte Betroffenenrechte: Mit dem neuen Datenschutzgesetz werden die Rechte der Betroffenen gestärkt. Natürliche Personen haben das Recht, Auskunft über ihre Daten zu erhalten, die Daten selbst zu erhalten sowie diese ändern oder löschen zu lassen.
   
• «Privacy by design» und «Privacy by default». Das Datenschutzkonzept «Privacy by design» (Datenschutz durch Technikgestaltung) bedeutet, dass der Datenschutz schon mitgedacht werden soll, wenn Systeme und Abläufe geplant und entwickelt werden. Ausserdem sollen von vornherein nur diejenigen personenbezogenen Daten gesammelt werden, die unter den jeweiligen Umständen wirklich benötigt werden. «Privacy by default» (Datenschutz durch Voreinstellung) bedeutet, dass standardmässig datenschutzfreundliche Voreinstellungen implementiert werden sollen. Die beiden Datenschutzkonzepte sind eng miteinander verbunden.

• Verzeichnis der Bearbeitungstätigkeiten. Der Kern dieses Verzeichnisses stellt die Identifikation und Dokumentation aller Verfahren im Unternehmen dar, in deren Rahmen Personendaten bearbeitet werden. Das Führen eines solchen Verzeichnisses wird für Unternehmen obligatorisch. Ausnahmen können bei KMU gemacht werden, soweit deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit betroffener Personen birgt.

• Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig transparent informiert werden. Ebenso besteht eine Informationspflicht im Falle von automatisierten Einzelfallentscheidungen, falls die Entscheidung für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt.

• Datenschutz-Folgenabschätzung: Bei der Datenschutz-Folgenabschätzung handelt es sich um eine strukturierte Risikoanalyse bezüglich eines geplanten Datenverarbeitungsprozesses. Die Datenschutz-Folgeabschätzung muss gemacht werden, sofern die beabsichtigte Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt.

• Meldung von Datensicherheitsverletzungen: Firmen sind verpflichtet, Datensicherheitsverletzungen möglichst rasch beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden.

• Sanktionen: Verstösst eine Organisation oder ein Unternehmen gegen das neue Datenschutzgesetz, drohen den Verantwortlichen empfindliche strafrechtliche Sanktionen. Doch machen solche Bussen grossen Firmen überhaupt Eindruck? Der auf Datenschutzrecht spezialisierte Anwalt Roman Böhni sagt dazu: «Gemäss meiner Erfahrung machen die neuen Strafbestimmungen durchaus Eindruck. Der Bussenrahmen des neuen Datenschutzgesetztes fällt mit maximal 250’000 Franken zwar deutlich tiefer aus als derjenige in der Datenschutz-Grundverordnung der EU (20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes). Allerdings richtet sich die Sanktion in der Schweiz gegen die verantwortlichen natürlichen Personen und nicht gegen das Unternehmen. Dazu muss man aber sagen, dass gemäss dem neuen Datenschutzgesetz ‹nur› die vorsätzliche Begehung strafbar ist und der Katalog der Tatbestände deutlich kleiner ausfällt als in der DSGVO.»

Anwalt Roman Böhni sagt zu diesen neuen Vorgaben: «Mit dem nDSG soll die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt werden. Zudem soll die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennen. Dieser Angemessenheitsbeschluss ist wichtig, damit der grenzüberschreitende Datentransfer zwischen der EU und der Schweiz weiterhin ohne zusätzliche Massnahmen möglich bleibt. Im Grossen und Ganzen erachte ich das nDSG als gelungen. Im Vergleich zur DSGVO ist dessen Ausgestaltung sowie der Umsetzungsaufwand für Unternehmen deutlich pragmatischer und mit mehr Augenmass ausgefallen.»

Glossar und Abkürzungen:
nDSG: neues Datenschutzgesetz
Datenschutzberater:in: gemäss dem nDSG Anlaufstelle für die betroffenen Personen und für die Behörden, die in der Schweiz für den Datenschutz zuständig sind. Zudem schult und berät sie oder er die jeweiligen Unternehmen und deren Mitarbeitende und wirkt bei der Anwendung der Datenschutzvorschriften mit.
DSV: Datenschutzverordnung
DSFA: Datenschutz-Folgenabschätzung
DSGVO: Datenschutz-Grundverordnung der EU
Datenschutzbeauftragte:r: gemäss DSGVO die Fachperson, welche die Verarbeitung von personenbezogenen Daten in einem Unternehmen beaufsichtigt
EDÖB: Eidgenössische:r Datenschutz- und Öffentlichkeitsbeauftragte:r