{"id":446,"date":"2017-01-25T08:17:11","date_gmt":"2017-01-25T07:17:11","guid":{"rendered":"https:\/\/wildhaber.com\/?p=446"},"modified":"2018-09-11T18:45:14","modified_gmt":"2018-09-11T17:45:14","slug":"revision-des-schweizerischen-datenschutzgesetzes","status":"publish","type":"post","link":"https:\/\/wildhaber.com\/index.php\/revision-des-schweizerischen-datenschutzgesetzes\/","title":{"rendered":"Revision des Schweizerischen Datenschutzgesetzes"},"content":{"rendered":"<h1><a name=\"_Toc346899884\"><\/a>Worum geht es?<\/h1>\n<p>Kurz vor Weihnachten 2016 hat der Bundesrat den <a href=\"http:\/\/www.ejpd.admin.ch\/ejpd\/de\/home\/aktuell\/news\/2016\/2016-12-21.html\">Entwurf f\u00fcr das neue Datenschutzgesetz<\/a> der Schweiz pr\u00e4sentiert. Seit l\u00e4ngerem hat man darauf gewartet, dass die Verwaltung einen Vorschlag pr\u00e4sentiert, wie das in die Jahre gekommene Datenschutzgesetz erneuert werden soll. Zudem besteht ein hoher Druck, die geltende Gesetzesvorschrift anzupassen. Dieser Druck kommt von der Europ\u00e4ischen Gemeinschaft, die mit der neuen <a href=\"http:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/?uri=uriserv:OJ.L_.2016.119.01.0001.01.DEU&amp;toc=OJ:L:2016:119:TOC\">Datenschutz Grundverordnung<\/a> (DS-GVO), eine Rechtsgrundlage geschaffen hat, um den Datenschutz den neuen Gegebenheiten anzupassen und europaweit zu standardisieren.<\/p>\n<p>Es herrscht folglich ein grosser Zugzwang, da die EU-Verordnung ab 25.5.2018 direkt Wirkung entfaltet, auch wenn keine nationale Umsetzung stattfindet. Damit die Schweiz nicht als unsicheres Drittland gilt (und damit faktisch ein Datenbearbeitungs- und Weitergabeverbot f\u00fcr EU-Unternehmen greift), muss sie ihre gesetzlichen Grundlagen anpassen. Dies ist einer der wesentlichen Gr\u00fcnde, wieso vor Weihnachten ein neuer Gesetzesentwurf in die Vernehmlassung geschickt worden ist. Auf Grund der Dauer der Vernehmlassung und der folgenden parlamentarischen Behandlung wird es schwierig sein, das Gesetz bis zum Inkrafttreten der EU Verordnung in der Schweiz in Kraft zu setzen.<\/p>\n<h1><a name=\"_Toc346899885\"><\/a>Was sind die wichtigsten Inhalte und wo gibt es wesentliche \u00c4nderungen?<\/h1>\n<p>Die Schweiz \u00fcbernimmt die wesentlichen \u00c4nderungen, welche in der DS-GVO aufgenommen wurden. Dieser Artikel beleuchtet vorab einige zentrale Aspekte des Datenschutzgesetzes. Es w\u00fcrde zu weit f\u00fchren, hier s\u00e4mtliche \u00c4nderungen aufzulisten, hierzu wird noch ausf\u00fchrlich Stellung genommen. Eine Arbeitsgruppe des <a href=\"http:\/\/www.swico.ch\">SWICO<\/a> wird den Vorentwurf detailliert analysieren und eine umfassende Stellungnahme abgeben (der Schreibende ist Mitglied dieser Arbeitsgruppe).<\/p>\n<h1><a name=\"_Toc346899886\"><\/a>Grundprinzipien<\/h1>\n<p>Voraus sei gesagt: <strong>Vom Grundsatz der \u201eInformationellen Selbstbestimmung\u201c wird nicht abgewichen<\/strong>. Dies ist zumindest schon mal bemerkenswert, denn damit wird das verfassungsm\u00e4ssige Grundrecht, dass jede Person \u00fcber ihre Daten selbst entscheiden kann, weitergef\u00fchrt. Das Nutzungsverhalten bei modernen Kommunikationsdiensten (Social Media wie Facebook, Messenger wie Whatsapp, Instagram oder Snapchat,) sieht allerdings anders aus. Diese Dienste verleiten die Benutzer zu einem leichtfertigen Umgang mit pers\u00f6nlichen Daten, was bis anhin allerdings kaum auf Kritik stiess. Man kann sich deshalb also durchaus fragen, ob dieser Schutz der Pers\u00f6nlichkeit noch einem gesellschaftlichen Bed\u00fcrfnis entspricht,. Diese Diskussion muss zwingend gef\u00fchrt werden, hat jedoch derzeit keinen Einfluss auf die mittelfristige Umsetzung. Es ist sicher damit zu rechnen, dass die Durchsetzung der europ\u00e4ischen Prinzipien international auf starken Widerstand stossen wird (vgl. die <a href=\"https:\/\/de.wikipedia.org\/wiki\/Datenschutz-Grundverordnung\">Lobbyarbeit der amerikanischen Anbieter<\/a> im Rahmen der Verhandlungen im EU-Parlament).<\/p>\n<p>Es wurden viele begriffliche Anpassungen gemacht. Dies insbesondere, um die Begriffe mit der EU abzustimmen. Das vereinfacht die Abstimmung und das Verst\u00e4ndnis. Der Schutz der juristischen Personen wurde aufgehoben, damit passt man sich den europ\u00e4ischen Regelungen an.<\/p>\n<h1><a name=\"_Toc346899887\"><\/a>Ber\u00fccksichtigung neuer Techniken<\/h1>\n<p>Eine wesentliche Neuerung betrifft die <strong>Ber\u00fccksichtigung neuer Techniken<\/strong>, die sich in den letzten Jahren im Internet etabliert haben. Dazu z\u00e4hlt zum Beispiel das so genannte Profiling (Art. 3 Abs.1 lit. f.), also die Generierung von Pers\u00f6nlichkeitsprofilen aufgrund \u00f6ffentlich vorhandener Daten (Teilbereich von \u201eBig Data\u201c). Ebenfalls von grosser Bedeutung sind so genannte automatische oder autonome Entscheide (Art. 15). Dabei handelt es sich um Online-Entscheide, die aufgrund von automatischen Prozessen gef\u00e4llt werden (keine Interaktion durch einen Menschen, wie z.B. die vollautomatische Bonit\u00e4tspr\u00fcfungen).<\/p>\n<h1><a name=\"_Toc346899888\"><\/a>Rechte der Betroffenen<\/h1>\n<p><strong>Die Rechte der Betroffenen wurden massiv verbessert<\/strong>. Es gibt mehr Arbeit f\u00fcr den eidgen\u00f6ssischen Datenschutzbeauftragten. Sein Aufgabenkatalog wurde wesentlich erweitert (u.a. Art. 37, Art. 5, Art. 7, Art. 16, Art. 17), was einen gr\u00f6sseren Ausbau dieser Beh\u00f6rde zur Folge haben wird. Hier d\u00fcrften die R\u00fcckmeldungen aus der Vernehmlassung, je nach politischer Gesinnungslage, entsprechend kritisch ausfallen.<\/p>\n<h1><a name=\"_Toc346899889\"><\/a>Pflichten des Verantwortlichen und des Bearbeiters<\/h1>\n<p>Den Verantwortlichen treffen nur wenig neue Pflichten. Allerdings haben es einige davon in sich. Der Bearbeiter muss z.B. in der Lage sein, <strong>Daten zu berichtigen<\/strong> und den Datenschutzbeauftragten zu informieren, wenn <strong>Manipulationen oder Verluste von Personendaten<\/strong> zu bef\u00fcrchten sind (Art. 17).<\/p>\n<p>Der Betroffene hat ein <strong>jederzeitiges Auskunftsrecht<\/strong> \u00fcber alle Datenbest\u00e4nde und Aktionen, welche diese Daten betreffen (Art. 20). Dies ist zwar nicht neu, wird jedoch im Gesetz nochmals ausdr\u00fccklich festgehalten. <strong>Das Auskunftsrecht bezieht sich explizit auch auf die Aufbewahrungsdauer.<\/strong><\/p>\n<p>Neu festgehalten wird ein explizites <strong>Recht auf L\u00f6schung<\/strong>, welches auch durch die Erben ausge\u00fcbt werden kann (\u201eDigitaler Tod\u201c, Art. 12). Auch dieses gilt selbstverst\u00e4ndlich \u00fcber alle angelegten Datenbest\u00e4nde. Nach wie vor gilt nat\u00fcrlich auch das <strong>Recht auf die Datenberichtigung<\/strong>. Offensichtlich <strong>unrichtige Daten m\u00fcssen durch den Verantwortlichen oder durch den Bearbeiter jederzeit angepasst werden k\u00f6nnen<\/strong>. Hier gibt es einen Konflikt mit den Vorschriften des Aufbewahrungsrechts, welche gel\u00f6st werden m\u00fcssen. Der Verantwortliche muss also Verfahren zur Verf\u00fcgung stellen, die es den Betroffenen erm\u00f6glichen, unrichtige Daten so anzupassen, dass sie mit der \u00e4usseren Realit\u00e4t in Einklang stehen. <strong>Das ist eine Herausforderung f\u00fcr die Archivierung, bzw. die Gestaltung des Daten-Management-Konzepts.<\/strong><\/p>\n<p>Neu werden die <strong>Pflichten im Rahmen der Auftragsdatenverarbeitung<\/strong> explizit geregelt und es soll dazu eine Verordnung erstellt werden (Art. 7). Der Verantwortliche hat umfassende <strong>Pflichten zur Meldung verschiedenster Tatbest\u00e4nde<\/strong> rund um den Datenschutz. Im europ\u00e4ischen Ausland ist die Regelung der Auftragsdatenbearbeitung ein wesentlicher Ausl\u00f6ser von vertraglichen und technischen Kontrollsystemen und wird damit auch f\u00fcr die Schweiz wesentlich wichtiger.<\/p>\n<p>Neu aufgenommen und von grosser Bedeutung f\u00fcr die Unternehmen ist die <strong>Pflicht zur Dokumentation der Verfahren<\/strong>. <strong>Art. 19 fordert explizit eine Dokumentation aller Verfahren.<\/strong> Damit bewegt man sich auf einem \u00e4hnlichen Terrain, wie bei der <strong>Verfahrensdokumentation<\/strong> im Rahmen der Aufbewahrungspflichten der Gesch\u00e4ftsb\u00fccherverordnung, der Mehrwertsteuer und damit auch allen Rechtsnormen, welche auf diese grundlegenden Vorschriften verweisen.<\/p>\n<h1><a name=\"_Toc346899890\"><\/a>Risikoanalyse, Pr\u00fcfung und Zertifizierung<\/h1>\n<p>Neu verlangt das Gesetz nach einer Vorpr\u00fcfung, wenn die Rechte der Betroffenen durch die geplante Bearbeitung gef\u00e4hrdet sein k\u00f6nnten. Diese Pr\u00fcfung wird <strong>Datenschutz-Folgenabsch\u00e4tzung<\/strong> genannt (Art. 16). Auch hier handelt es sich um eine \u00dcbernahme aus dem EU-Recht. Dabei geht es im wesentlichen um eine <strong>Risikoanalyse<\/strong>, welche durchgef\u00fchrt werden muss, bevor die Datenbearbeitung (App, Service) in Betrieb geht. Diese Datenschutz-Folgenabsch\u00e4tzung muss erstellt werden und ist dem eidgen\u00f6ssischen Datenschutzbeauftragten vorzulegen. Hierbei handelt es sich folglich um eine pr\u00e4ventive Massnahme, die aber etwas schwerf\u00e4lliger ausgestaltet wurde. Der eidgen\u00f6ssische Datenschutzbeauftragte hat drei Monate Zeit, um diese Folgenabsch\u00e4tzung zu beurteilen. Diese Frist, wird sich h\u00f6chstwahrscheinlich in der Praxis nicht durchsetzen k\u00f6nnen. Es ist damit zu rechnen, dass es hier Widerstand im Rahmen der Vernehmlassung auszugeben geben wird. <strong>Das Instrument der Datenschutz-Folgenabsch\u00e4tzung ist unbedingt zu begr\u00fcssen.<\/strong> Es verhindert Implementationen von L\u00f6sungen, die sp\u00e4ter mit viel Aufwand angepasst werden m\u00fcssen (und unter Umst\u00e4nden zur strafrechtlichen Verantwortlichkeit f\u00fchren).<\/p>\n<p>Nach wie vor m\u00f6glich ist die <strong>Zertifizierung<\/strong>, d.h. sie wird im Rahmen der Neugestaltung des Rechts wesentlich verbessert (Art. 10). Da sie sich an den europ\u00e4ischen Vorgaben orientiert, wird es m\u00f6glich sein, auch <strong>europ\u00e4ische Zertifizierungen zu nutzen<\/strong>, die auf Produkte wie auch auf Verfahren ausgestellt wurden.<\/p>\n<h1><a name=\"_Toc346899891\"><\/a>Strafandrohungen<\/h1>\n<p>Inhaltlich hat die Revision des Datenschutzgesetzes wenig Brisanz. Es gibt eine zentrale Ausnahme, das ist die <strong>neue Strafandrohung<\/strong>. Die Schweiz muss sich den EU Vorgaben anpassen, indem Sie die Strafbestimmungen wesentlich versch\u00e4rft. In der EU gilt eine Strafandrohung von <strong>2-4 % des weltweiten Konzernumsatzes<\/strong> bei Verletzung der zentralen Datenschutzpflichten. In der Schweiz hat man auf eine Prozentzahl verzichtet, nimmt jedoch als <strong>H\u00f6chstgrenze den absoluten Betrag von Fr. 500&#8217;000.- <\/strong>an (Art. 50, allerdings nur bei Vorsatz, bei Fahrl\u00e4ssigkeit gilt die H\u00e4lfte). In der Praxis d\u00fcrfte es kaum je zu Verurteilungen kommen, bei denen der Vorsatz nachweisbar ist. Das d\u00fcrfte noch zu Diskussionen Anlass geben. Ob diese Grenze im Rahmen der Vernehmlassung so standhalten wird, kann man derzeit schwer beurteilen. <strong>Die Schweiz hat hier allerdings wenig Spielraum<\/strong>, denn es gilt der Grundsatz, dass der Datenschutz nur dann mit der EU kompatibel ist, wenn auch die wesentlichen Strafbestimmungen mit der DSG-VO mithalten k\u00f6nnen. Da die maximale Geldbusse in der DS-GVO 20 Millionen Euro betr\u00e4gt ist f\u00fcr Diskussionsstoff gesorgt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Worum geht es? Kurz vor Weihnachten 2016 hat der Bundesrat den Entwurf f\u00fcr das neue Datenschutzgesetz der Schweiz pr\u00e4sentiert. Seit &hellip; <a href=\"https:\/\/wildhaber.com\/index.php\/revision-des-schweizerischen-datenschutzgesetzes\/\" class=\"more-link\"><span class=\"more-button\">Continue reading &gt;<span class=\"screen-reader-text\">Revision des Schweizerischen Datenschutzgesetzes<\/span><\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":448,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7,1],"tags":[12,13,14],"class_list":["post-446","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-unkategorisiert","tag-datenschutz","tag-revision","tag-schweiz"],"_links":{"self":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts\/446","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/comments?post=446"}],"version-history":[{"count":1,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts\/446\/revisions"}],"predecessor-version":[{"id":447,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts\/446\/revisions\/447"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/media\/448"}],"wp:attachment":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/media?parent=446"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/categories?post=446"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/tags?post=446"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}