Teil 1 – Einleitung: Anforderungen an Schweizer Unternehmen nach dem revidierten Datenschutzgesetz

Seit einiger Zeit ist es kaum mehr möglich im Internet zu surfen, ohne von «Cookie-Banner» verschont zu bleiben. Es scheint einiges in Bewegung geraten zu sein bezüglich Datenschutz im Internet und es steht die lang erwartete Revision des Schweizer Datenschutzgesetzes an. Mit dieser Arbeit soll Klärung über die Anwendbarkeit und die Begrifflichkeiten der verschiedenen Gesetze, namentlich des Datenschutzgesetzes (DSG), des revidierten Datenschutzgesetzes (DSGneu) sowie der europäischen Datenschutz-Grundverordnung (DSGVO) gebracht werden. Zudem soll sie vor allem als Leitfaden für Internetseiten-Betreiber und Datenschutzver-antwortliche dienen, damit Unternehmen & Internetseiten datenschutzkonform angepasst oder erstellt werden können. 

Zuerst gilt es den Begriff „Internetseiten“ zu definieren. Von der kleinen Web-Visitenkarte eines Einzelunternehmers über private Familienportraits bis zur internationalen Airline mit Such- und Buchungsmöglichkeit ist darunter jeder Internetauftritt zu zählen, ganz unabhängig davon, ob ein Gewerbe dahintersteht oder die Internetseite aus einem beliebig anderen Motiv betrieben wird. Selbsterklärend, dass die datenschutzrechtlichen Anforderungen ziemlich weit auseinanderklaffen können. Weil Surfen im Internet üblicherweise nicht an der Landesgrenze aufhört, gilt es weiter zu klären, ob die Internetseite sich wirklich nur am schweizerischen DSG ausrichten kann oder ob allfälligerweise doch die europäische DSGVO zur Anwendung gelangt.

Sobald die Internetseite nämlich auch Angebote für in der Europäischen Union (EU) lokalisierte Personen bereithält, was in der Praxis vermutlich sehr oft der Fall sein dürfte, kommt die DSGVO zur Anwendung. Beispiele wären ein Newsletter, der nicht explizit nur für Schweizer Bürger und in der Schweiz wohnhafte Personen gedacht ist; oder wenn das Surfverhalten von in der EU lokalisierten Personen, bei einer laufenden Besucher-Statistik, beobachtet wird. 

Grundsätzlich gilt: Je mehr Daten erhoben oder veröffentlicht werden, desto mehr Aufwand entsteht die Rechtmässigkeit zu prüfen und allenfalls die betroffenen Personen darüber zu informieren.

Da es sich bei Internetseiten um digitale Daten handelt, ist ein besonderes Augenmerk auf die IT-Sicherheit zu richten, welche mit dieser Arbeit auch ausführlich erläutert werden soll.

Datenschutz: Status quo in der EU

Die DSGVO ist seit dem 25. Mai 2018 in Kraft. Nach einer Übergangsfrist von zwei Jahren unterstehen der DSGVO alle EU-Mitgliedstaaten sowie auch nicht in der EU niedergelassene Datenverarbeiter, wenn die Datenverarbeitung auf in der EU lokalisierte Personen zielt (Art. 3 DSGVO).

Da die DSGVO schon einige Zeit in Kraft steht, existieren bereits viele den Datenschutz betreffende Rechtsprechungen, verhängte Bussgelder und Schadensersatzklagen. Die DSGVO ist leider ein sehr komplexes Gesetz, was dessen Umsetzung im „daily business“ nicht ganz einfach macht. Des Weiteren besteht die Problematik, dass die Bussgeldhöhen und Rechtsprechungen je nach Land oder Bundesland unterschiedlich ausfallen und somit weiterhin gewisse Rechtsunsicherheit besteht. 

Um diesem Umstand entgegenzuwirken, ist mit dem Europäischen Datenschutzausschuss (EDSA) eine unabhängige europäische Einrichtung entstanden mit dem Ziel, die Anwendung der DSGVO zu vereinheitlichen und die Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden der EU zu fördern. Die ausländischen Datenschutzaufsichtsbehörden sind zuständig für die Verhängung von Bussgeldern und somit massgeblich an der Gesetzesauslegung beteiligt. 

Ziele der Revision des Schweizer Datenschutzgesetzes (DSG)

Durch neue technische Entwicklungen resultieren in immer kürzerer Zeit mehr und mehr Daten. Man denke nur an das Smartphone: Zu jeder Zeit und an (fast) jedem Ort ist es möglich, mit der ganzen Welt verbunden zu sein, im Internet einzukaufen, Dienste wie Google Maps als Navigationssystem zu nutzen, Fotos zu schiessen und mit einem Klick auf diversen Kanälen zu verteilen. Mit jeder Aktivität werden Daten generiert und diese Daten sind grösstenteils personenbezogen, d. h. sie können einer bestimmten Person zugeordnet werden.

Das seit 1992 in Kraft stehende DSG bedarf einer Aktualisierung, es stammt aus einer Zeit ohne Internet. Es soll den Daten-schutz stärken und die Kontrollmöglichkeiten der betroffenen Personen über ihre Daten verbessern. Das Verantwortungsbewusstsein der Datenverarbeiter soll erhöht werden, bspw. mit der Verpflichtung, bereits ab Planung neuer Datenbearbeitungen die Einhaltung der Datenschutzvorschriften zu berück-sichtigen. 

Im selben Zug bzw. vielleicht hauptsächlich – denn so viel hat sich mit dem DSGneu grundlegend gar nicht verändert – soll eine Angleichung an die DSGVO gemacht werden, damit das schweizerische DSG weiterhin als Gesetz mit gleichwertigem Datenschutz akzeptiert wird und somit ein ungehinderter Datenfluss zwischen den Ländern gewährleistet werden kann. Am 3. Juni 2020 sollte die Europäische Kommission darüber entscheiden, ob die Schweiz für Personendaten ein angemessenes Schutzniveau bietet.

Bis heute wurde kein erneuter Äquivalenzentscheid gefällt, somit bleibt die Entscheidung vom 26. Juli 2000 zur Angemessenheit weiterhin gültig. Wann mit der erwarteten Entscheidung gerechnet werden kann, bleibt vorerst offen. Es darf vermutet werden, dass das in Kraft treten des DSGneu dabei eine entscheidende Rolle spielen wird.

Neu soll das DSGneu nur den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Daten bearbeitet werden, bezwecken (Art. 1 DSGneu). Der Schutz der Daten von juristischen Personen wurde aufgehoben. Juristische Personen können sich weiterhin auf den Schutz ihrer Persönlichkeit durch Art. 28 ZGB berufen. Ansonsten ist, wie bereits erwähnt, sehr viel aus dem bestehenden DSG übernommen worden.

Bei der Begriffsdefinition ist eine Angleichung an die DSGVO ersichtlich. Wurde bisher vom „Inhaber einer Datensammlung“ gesprochen, heisst dieser neu „Verantwortlicher“ (vgl. DSGVO: „Verantwortlicher“). Wird in der DSVGO von „Verarbeitung personenbezogener Daten“ gesprochen, heisst es im DSGneu weiterhin „Bearbeitung“. Die Begrifflichkeiten wurden neu um „Profiling“, „Profiling mit hohem Risiko“ und „Verletzung der Datensicherheit“ erweitert, auf welche später noch eingegangen wird. 

Art. 4 DSGneu unterstellt die Beaufsichtigung und Anwendung des DSGneu dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Er muss neu Verfügungen erlassen und mittels ordentlichen Verwaltungsverfahren gegen die Verantwortlichen vorgehen, das ist ebenfalls eine Angleichung an die europäischen Datenschutzaufsichtsbehörden. Es bleibt abzuwarten, wie sich in Zukunft eine internationale Zusammenarbeit auswirkt, ob der EDÖB, wie die europäischen Datenschutzaufsichtsbehörden, vermehrt Bussgelder sprechen und nach welchem Massstab sich diese berechnen werden. 

Das DSGneu ist prinzipienbasiert und viel weniger detailliert als die DSGVO. Nichtsdestotrotz haben sich auch einige nicht sehr sinnvolle Regelungen, teils europarechtlichen Vorgaben geschuldet, teils durch politische Kompromisse verursacht, im DSGneu niedergeschlagen. Im Grossen und Ganzen kann aber gesagt werden, dass das DSGneu wesentlich schlanker und einfacher in der Umsetzung ist als die DSGVO. Das DSGneu wird vermutlich frühestens zwischen Ende 2021 und Sommer 2022 in Kraft treten.

Fragen zur Revision des Schweizer Datenschutzgesetzes?

Nutzen Sie die Chance und vereinbaren Sie einen Termin

Fenster schliessen
Jetzt anrufen