Der am 21. Dezember 2016 veröffentlichte Vorentwurf des revidierten Datenschutzgesetzes des Bundes (VE-DSG) wurde in der Vernehmlassung von verschiedenen Seiten scharf kritisiert. Der vorliegende Beitrag erläutert kurz die wesentlichen Neuerungen und gibt Tipps, worauf sich die Unternehmen im Zusammenhang mit den kommenden Datenschutzbestimmungen einstellen müssen.

Ein wirksames Datenschutzgesetz ist sowohl im Interesse der Wirtschaft als auch der betroffenen Personen sehr wünschenswert. Foto: Antje Delater/pixelio.de

Ziele der Revision des DSG

Die Revision des Datenschutzgesetzes des Bundes (DSG) war nötig, um die Schwächen des geltenden Datenschutzgesetzes, die auf die rasche technologische Entwicklung zurückzuführen sind, zu beheben. Zudem erfolgt eine Anpassung an die EU-Datenschutzgrundverordnung (DSGVO) und die Europarats-Konvention 108 (SEV-108).

Einige Neuerungen

Die Revision des DSG wird keine vollkommene Abkehr von den bewährten Prinzipien des Datenschutzes bringen, was als sehr positiv hervorgehoben werden kann. Die bisher bereits geltenden Bearbeitungsgrundsätze wurden übernommen und können daher auch weiterhin angewandt werden. Die revidierten Bestimmungen werden aber einige neue Begriffe und auch neue Pflichten für Unternehmen mit sich bringen, von denen die wichtigsten im Folgenden kurz erörtert werden.

Neu werden die Daten von juristischen Personen nicht mehr vom Geltungsbereich des DSG erfasst, was zu begrüssen ist, da der datenschutzrechtliche Schutz von Daten juristischer Personen in der Praxis kaum eine Rolle spielt.

Zudem wird der Begriff des Persönlichkeitsprofils, der in der praktischen Anwendung wegen seiner Unbestimmtheit oft zu Problemen führte, abgeschafft. Stattdessen wird neu der Begriff des „Profilings“ eingeführt, was eine Annäherung an die europäischen Datenschutzvorschriften bringen wird. Werden Entscheide, die für die betroffene Person rechtliche Wirkungen oder erhebliche Auswirkungen haben, automatisiert getroffen, so hat sie in Zukunft ein Anhörungsrecht. Da heute viele Entscheidungen basierend auf Algorithmen und somit automatisiert getroffen werden, wird die genaue Auslegung dieser Bestimmung grosse Auswirkungen auf die Digitalisierung der Unternehmensprozesse haben.

Um die Rechte der betroffenen Personen zu stärken und die Transparenz der Datenbearbeitungen zu erhöhen, werden die Informationspflichten, die Unternehmen bei der Beschaffung von Personendaten zu erfüllen haben, verschärft. Ob dies tatsächlich zu einer Verbesserung des Datenschutzes durch mehr Transparenz oder nur zu viel umfangreicheren Datenschutzbestimmungen führen wird, bleibt abzuwarten.

Ist eine Einwilligung erforderlich, so ist diese neu nur mehr gültig, wenn sie eindeutig und bei besonders schützenswerten Personendaten und beim Profiling zudem ausdrücklich erfolgt. Die genaue Bedeutung dieser gesetzlichen Vorgaben ist allerdings unklar. So soll zwar gemäss den Erläuterungen zum VE-DSG die Einwilligung weiterhin an keine Formvorschriften gebunden und auch durch sogenanntes konkludentes Handeln möglich sein, gänzliche Untätigkeit der betroffenen Person führt jedoch nicht zu einer Einwilligung.

Die Meldepflicht für Datensammlungen wird abgeschafft, stattdessen müssen die Datenbearbeitungen dokumentiert werden. Der Umfang dieser Dokumentationspflicht ist noch unklar, sie muss jedoch so erfolgen, dass Melde- und Informationspflichten erfüllt werden können und auch Verletzungen des Datenschutzes umfassen.

Ist eine geplante Datenbearbeitung voraussichtlich mit erhöhten Risiken für die betroffenen Personen verbunden, so muss in Zukunft eine sogenannte Datenschutz-Folgenabschätzung durchgeführt werden, bevor mit der Datenbearbeitung begonnen wird. Diese umfasst unter anderem eine Beschreibung der geplanten Datenbearbeitung, die Risiken, die für die betroffenen Personen entstehen und die Massnahmen, mit denen diese Risiken eingeschränkt oder verringert werden.

Zudem wird mit den Grundsätzen „Privacy by Design“ und „Privacy by Default“ die Verpflichtung des Verantwortlichen eingeführt, vorsorglich mittels geeigneter Massnahmen das Risiko von Datenschutzverletzungen zu verringern. Durch geeignete Voreinstellungen der verwendeten Systeme muss sichergestellt werden, dass nur die Daten bearbeitet werden, die für den geplanten Verwendungszweck erforderlich sind.

Kommt es zu einer unbefugten Datenbearbeitung oder zu einem Verlust von Daten, muss der EDÖB unverzüglich informiert werden. Die betroffenen Personen müssen zusätzlich informiert werden, wenn dies zu deren Schutz erforderlich ist oder der EDÖB es verlangt.

Wesentliche Kritikpunkte

Im Rahmen der Vernehmlassung wurde vor allem vonseiten der Wirtschaft sehr viel Kritik am VE-DSG geäussert. Die wesentlichen Kritikpunkte werden im Folgenden kurz zusammengefasst:

  • Der VE-DSG sieht bei einer Verstössen gegen das VE-DSG eine Bestrafung der verantwortlichen natürlichen Personen, und somit der Mitarbeitenden, vor.
  • Der VE-DSG sieht zahlreiche Meldepflichten an den EDÖB vor, die zu einem unverhältnismässigen administrativen Aufwand führen würden, ohne einen Mehrwert für den Datenschutz zu bringen.
  • Der VE-DSG geht in einigen Bereichen über die Anforderungen der DSGVO hinaus und würde daher zu einer unnötigen Verschärfung der datenschutzrechtlichen Vorgaben führen.
  • Der betriebliche Datenschutzbeauftragte, der heute in der Praxis eine sehr wichtige Rolle in den Unternehmen spielt, ist im VE-DSG nicht mehr erwähnt. Es wäre sinnvoll, wenn Unternehmen, die freiwillig diese Funktion besetzen, gewisse Vorteile, insbesondere bei der Erfüllung von Meldepflichten, haben.

 Wie geht es weiter?

Die Botschaft zum revidierten Datenschutzgesetz wird in den nächsten Wochen erwartet. Es ist zu hoffen, dass zahlreiche der kritisierten Punkte noch verbessert werden. Ein wirksames Datenschutzgesetz ist sowohl im Interesse der Wirtschaft als auch der betroffenen Personen sehr wünschenswert. Gesetzliche Vorgaben, die den Datenschutz nicht stärken, aber grosse administrative Aufwände zur Folge haben, sollten hingegen unbedingt vermieden werden.