Revision des Schweizer Datenschutzgesetzes

Die beiden Räte haben am 25. September 2020 dem Entwurf zur Totalrevision des Datenschutzgesetzes (N-DSG) zugestimmt. In Kraft treten dürfte das N-DSG frühestens Anfang 2022. Es soll dem technologischen Fortschritt Rechnung tragen und den Schutz persönlicher Daten von natürlichen Personen stärken. Denn abgesehen von einen einigen Gesetzesanpassung, gab es seit dem Inkrafttreten im Jahr 1992 keine grundlegenden Revisionen.

Mit dem N-DSG bezweckt das Gesetz weiterhin den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. Der Datenschutz beinhaltet somit das Recht jedes Menschen, grundsätzlich selbst darüber zu entscheiden, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Nach geltendem Gesetz fallen auch juristische Personen unter den Schutzzweck. Im N-DSG werden sie jedoch aus dem Schutzbereich gestrichen.

Im Gegensatz zum geltenden DSG sieht das N-DSG klare Sanktionen vor. So können Verletzungen mit einem Bussgeld von bis zu 250 000 Franken bestraft werden!

Was sind Personendaten?

Personendaten gemäss DSG sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Als besonders schützenswerte Personendaten gelten gemäss dem geltenden DSG Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, Daten über die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, sowie Daten über administrative oder strafrechtliche Verfolgungen und Sanktionen. Das N-DSG erweitert die Auflistung von Daten, die unter die Kategorie «besonders schützenswerte Personendaten» fallen. So werden genetische sowie biometrische Daten (z.B. Fingerabdruck), die eine natürliche Person eindeutig identifizieren, neu ebenfalls berücksichtigt. Die Bedingungen für die Bearbeitung besonders schützenswerter Daten sind strenger als bei Personendaten. In der Regel enthalten Personaldossiers besonders schützenswerte Daten wie Krankheiten, administrative oder strafrechtliche Sanktionen usw.

Was gilt es bei der Bearbeitung von Personendaten zu beachten?

Personendaten müssen in jedem Unternehmen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Das N-DSG führt erstmals eine Meldepflicht für Verletzungen der Datensicherheit ins Schweizer Recht ein. Jeder Fall von unberechtigtem Zugriff Dritter auf das Computersystem eines Unternehmens (Viren, Trojaner, etc.) muss daher den Behörden gemeldet werden. Der Verantwortliche im entsprechenden Unternehmen muss jede Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeitsrechte der betroffenen Personen führt, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. Es ist eine rasche Meldung notwendig.

Das geltende sowie das N-DSG sprechen stets von «Bearbeiten» von Daten. Unter Bearbeiten ist jeder Umgang mit Personendaten zu verstehen, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten.

Bei der Bearbeitung von Personendaten sind stets die im DSG geregelten Grundsätze zu beachten. So muss die Bearbeitung von Personendaten rechtmässig erfolgen, d.h. es bedarf u.a. der Einwilligung der betroffenen Person. Des Weiteren dürfen keine Personendaten ohne Wissen und gegen den Willen des Betroffenen beschafft werden. Bearbeitet werden dürfen ferner nur diejenigen Daten, die benötigt werden und geeignet sind, den vorgesehenen Zweck zu erfüllen. Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein.

Die Grundsätze der Datenbearbeitung bleiben im N-DSG materiell weitgehend unverändert. Neu wird jedoch ausdrücklich geregelt, dass die Daten vernichtet oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.

Obwohl das N-DSG voraussichtlich erst im Jahr 2022 in Kraft treten wird, sollten Unternehmen vorausschauend Massnahmen zur Einhaltung der kommenden Gesetzesregelung ergreifen (insbesondere technische und organisatorische Massnahmen). Bauunternehmen sind geraten, die Konformität der Prozesse der Datenbearbeitungen zu prüfen und, falls nötig, die Dokumentation (z.B. Datenschutzerklärungen, Arbeitsverträge, Personaldossiers, Verträge mit – und Daten über Geschäftspartner, Inventare etc.) zur Gewährleistung des Datenschutzes aufzuarbeiten und anzupassen.

Wie am Anfang dieses Artikels erwähnt, können die Strafen für Verstösse bis zu CHF 250’000 CHF betragen. Unternehmen, die bereits Berufserfahrung in der EU gesammelt haben, wissen, dass diese Beträge im Vergleich zum europäischen Datenschutzrecht immer noch bescheiden sind. Die Bussen in der EU können bis zu 20 Millionen Euro oder bis zu einem Betrag, der 4% des Umsatzes ausmacht, steigen.

Der Schweizerische Baumeisterverband (SBV) wird seine Mitglieder im Laufe 2021 weiterhin über die Konkrete Anwendung dieses neuen Gesetzes informieren und beraten.

Vladan Lazic, Rechtsdienst SBV

Autor: admin

Artikel teilen