Das EDI-Podium 2023 vom 30. Juni im Luzerner Kantonsratssaal stand ganz im Zeichen des nDSG, das ohne Übergangsfrist per 1. September 2023 in Kraft treten wird. Was ändert sich rechtlich für das Gesundheitswesen und was bleibt gleich? Rechtsanwalt Roman Böhni von ADLEGEM Rechtsanwälte klärt auf.

Roman Böhni, Rechtsanwalt bei ADLEGEM, begleitet Unternehmen und Privatpersonen insbesondere in den Rechtsangelegenheiten bezüglich IT, Datenschutz, Immaterialgüterrecht, Verträgen, Arbeit und Mieten. Als Rechtsanwalt und Wirtschaftsinformatiker befasst er sich seit mehreren Jahren insbesondere mit Rechtsfragen im digitalen Umfeld und hat sich daher eingehend mit dem revidierten Datenschutzgesetz und den damit einhergehenden Änderungen auseinandergesetzt.

Paradigmenwechsel?
In seinem Referat bot Böhni den Teilnehmendem am EDI-Podium einen sachlichen Überblick über die neue Gesetzgebung, nahm eine vergleichende Analyse vor und zeigte juristische Auswirkungen auf Institutionen in der Schweiz auf: «Was verändert sich? Was bleibt gleich? Stehen wir gar vor einen Paradigmenwechsel?» Die primären Ziele des nDSG und somit auch des Gesetzgebers fasst Böhni so zusammen: «Als Erstes soll die Bearbeitung von Personendaten transparenter von statten gehen. Des Weiteren sollen bereits bestehenden Betroffenenrechte gestärkt respektive ausgebaut werden – ebenso die Durchsetzbarkeit des neuen Gesetzes. Unser bestehendes Gesetz gleicht einem zahnlosen Tiger – das soll sich nun ändern. Und ein vierter zentraler Punkt ist die Bewahrung des Angemessenheitsbeschlusses aus der EU für einen reibungslosen Datenaustausch zwischen der Schweiz und den EU-Staaten.»

Was bleibt bestehen?
Wichtiges Element, das bestehen bleibt: Das Prinzip der Erlaubnis mit Verbotsvorbehalt. Das heisst, eine Datenbearbeitung von Personendaten in der Schweiz bleibt grundsätzlich erlaubt. «Das ist ein fundamentaler Unterschied zur europäischen DSGVO. In der EU ist jede Bearbeitung von Personendaten per se verboten und nur mit einem Rechtfertigungsgrund erlaubt. Das heisst, dass in der Schweiz auch nach dem 1. September 2023 keine grundsätzliche Einwilligungspflicht besteht. Man muss nicht immer und überall Bewilligungen einholen, um Daten zu bearbeiten. Die Grundsätze der Datenbearbeitung bleiben bestehen.»  Im Unterschied zur DSGVO wird mit dem nDSG auch keine umfassende Rechenschaftspflicht eingeführt. «Es gibt klar mehr Dokumentationspflichten, aber nicht in demselben Masse wie in der EU. Daher mein erstes Fazit: Es kommt nicht zum eingangs erwähnten Paradigmenwechsel – aber es besteht eindeutig Handlungsbedarf.»

Diverse Anpassungen
«In einigen Bereichen gibt es tiefgreifende Änderungen, in anderen ist kaum etwas spürbar – aber es kommt zu Änderungen.» In seinem Referat beschränkte sich Böhni auf zehn Punkte, wie z. B. den Geltungsbereich. Neu sind nur noch natürliche Personen durch das nDSG geschützt. Zudem müssen auch die kantonalen Datenschutzgesetze beachtet werden. «Jede Institution muss sich hier im Klaren sein, welche Rechtsgrundlagen anwendbar sind: Gilt das kantonale Recht, sind mehrere Kantone involviert oder kommt das Bundesrecht zum Tragen?»

Bearbeitungsverzeichnis
«Dies ist das Herzstück der gesamten Datenschutz-Compliance: die Identifikation und Dokumentation der personenbezogenen Datenflüsse. Wer ist verantwortlich, was ist der Zweck eines Prozesses, welche Kategorien von Personendaten werden bearbeitet, wer sind die Empfänger:innen? Gehen die Daten ins Ausland? Wenn ja, wohin? Sind zusätzliche Massnahmen nötig, um den Transfer abzusichern?» Dies sind Fragen, die es zu stellen gilt. «Für Behörden ist dieses Verzeichnis zwingend, für ein Unternehmen nur dann, wenn es mehr als 250 Mitarbeitende zählt, sensitive Daten in grossem Umfang bearbeitet und ein Profiling mit hohem Risiko aufweist.»

Weitere Anpassungen
Auch geht Böhni auf Änderungen bei der Informationspflicht ein. Neu z. B. müssen Bundesorgane bei Auswahlverfahren auf automatisierte Einzelentscheidungen hinweisen und auch als solche kennzeichnen. Weitere Anpassungen gibt es bei Auftragsbearbeitung, wo neu der Auftragsbearbeiter Subunternehmen beiziehen darf, jedoch nur mit Zustimmung der Verantwortlichen. Daher wird hier die Identifikation der Rollen der Geschäftspartner und Dienstleister empfohlen – eine Aufgabe, die insbesondere bei firmenübergreifenden Projekten sehr anspruchsvoll sein kann. 

Eine wichtige Gesetzesänderung betrifft auch die Meldepflicht. Neu sind sogenannte Data Breaches oder Datensicherheitsverletzungen zwingend zu melden, sofern sie voraussichtlich zu einem hohen Risiko für die betroffene(n) Person(en) führen. Sind Vertraulichkeit, Integrität und/oder Verfügbarkeit von Personendaten verletzt worden, muss in solchen Fällen so rasch als möglich eine Meldung an den EDÖB erfolgen und je nachdem auch an die betroffene(n) Person(en). Daher empfiehlt Böhni «die Festlegung des Prozesses und der Zuständigkeiten bei Data Breaches.» Gegen Personen, die  vorsätzlich gegen die gesetzlichen Vorgaben verstossen, können Sanktionen ausgesprochen werden, Diese können empfindlich hoch ausfallen – bis zu CHF 250'000 – und sind weder versicherbar noch dürfen sie vom Unternehmen übernommen werden.

Fazit:
Ja, das neue Datenschutzgesetz macht gewisse Massnahmen erforderlich, stellt aber nicht alles auf den Kopf. Bei allen Massnahmen ist für Böhni zentral, das Bewusstsein der involvierten Personen zu schärfen. «Man kann noch so gut organisiert und dokumentiert sein – wenn die Mitarbeitenden nicht wissen, wie sie sich verhalten sollen, kann es früher oder später zu Verstössen kommen. Daher ist es immens wichtig, sie zu schulen und zu befähigen, richtig zu handeln.»

Download Präsentation (PDF)