- 20.12.2024 -

Ein Jahr unter dem revidierten schweizerischen Datenschutzgesetz: Die wichtigsten Änderungen und Erkenntnisse

Um den Artikel als PDF herunterzuladen, klicken Sie bitte hier.

 

 

1.   Einleitung

 

 

Am 1. September 2023 ist das revidierte Bundesgesetz über den Datenschutz (DSG) in Kraft getreten, zusammen mit der neuen Verordnung über den Datenschutz (DSV) und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ). Seither ist mehr als ein Jahr vergangen, und es ist an der Zeit, auf dieses erste Jahr unter der neuen Datenschutzgesetzgebung zurückzublicken, die wichtigsten Änderungen zu rekapitulieren und die neuesten Entwicklungen zusammenzufassen.

 

2.   Zusammenfassung der wichtigsten Änderungen

 

Dieser Abschnitt enthält eine kurze, nicht erschöpfende Zusammenfassung der wichtigsten Änderungen für Unternehmen. Eine detailliertere und umfassendere Auflistung und Erläuterung der Änderungen unter dem revidierten DSG finden Sie im 2023 veröffentlichten Artikel "Neues Schweizer Datenschutzgesetz - Die wichtigsten Neuerungen für Unternehmen".

 

  • Beschränkung auf natürliche Personen: Das revidierte Gesetz schützt nur natürliche Personen, juristische Personen sind nicht mehr gedeckt.

 

  • Erweiterter räumlicher Geltungsbereich: Das DSG gilt neu auch für im Ausland veranlasste Sachverhalte, die sich in der Schweiz auswirken.

 

  • Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Unternehmen müssen den Datenschutz bereits in der Planungsphase in ihre Prozesse und Systeme integrieren (Datenschutz durch Technik / Privacy by Design) und durch geeignete Standardeinstellungen sicherstellen, dass die Bearbeitung auf das erforderliche Mindestmass beschränkt wird, soweit die betroffene Person nicht etwas anderes bestimmt (Datenschutz durch datenschutzfreundliche Voreinstellungen / Privacy by Default).

 

  • Verzeichnis der Bearbeitungstätigkeiten: Verantwortliche und Auftragsbearbeiter müssen ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Ausgenommen sind Unternehmen mit weniger als 250 Beschäftigten, deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.

 

  • Bekanntgabe von Personendaten ins Ausland: Der Bundesrat legt nun verbindlich fest, welche Länder ein angemessenes Datenschutzniveau gewährleisten1 . Die Bekanntgabe von Personendaten in andere Länder ist nur mit zusätzlichen Garantien oder in gesetzlich vorgesehenen Ausnahmefällen erlaubt.

 

  • Verschärfte Informationspflicht: Betroffene Personen müssen in jedem Fall über die Beschaffung ihrer Personendaten informiert werden. Zu den Mindestinformationen gehören u.a. Informationen über grenzüberschreitende Datenübermittlungen, auch wenn sie in ein angemessenes Land erfolgen, und automatisierte Einzelentscheidungen.

 

  • Datenschutz-Folgenabschätzung (DSFA): Verantwortliche müssen eine DSFA durchführen, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Ergibt die DSFA, dass die Bearbeitung trotz der vorgesehenen Massnahmen zu einem hohen Risiko führt, muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) konsultiert werden.

 

  • Meldung von Verletzungen der Datensicherheit: Verantwortliche müssen dem EDÖB so rasch wie möglich jede Verletzung der Datensicherheit melden, die zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen kann. Die betroffenen Personen müssen informiert werden, wenn dies zu ihrem Schutz erforderlich ist oder wenn der EDÖB es verlangt.

 

  • Erweiterte Datenschutzrechte: Betroffene Personen haben neu das Recht auf Datenübertragbarkeit und das Recht, die Überprüfung einer automatisierten Einzelentscheidung durch eine natürliche Person zu verlangen.

 

  • Verschärfte Strafbestimmungen: Privatpersonen (d.h. natürliche Personen, nicht Unternehmen) können mit einer Busse von bis zu 250 000 Franken bestraft werden, z.B. bei vorsätzlicher Verletzung der Informationspflicht, Verweigerung der Mitwirkung an Untersuchungen des EDÖB, Verletzung der gesetzlichen Vorschriften für grenzüberschreitende Datenübermittlung und Beauftragung von Auftragsbearbeitern, Nichteinhaltung der Mindestanforderungen an die Datensicherheit, usw.

 

3.   Neuste Entwicklungen

 

3.1.   Anleitungen des EDÖB

 

Der EDÖB hat mehrere Leitfäden, Merkblätter und Empfehlungen herausgegeben, die Unternehmen dabei unterstützen sollen, die Anforderungen des revidierten Gesetzes zu erfüllen. Die Dokumente sind alle auf der Website des EDÖB2 zu finden und beinhalten unter anderem:

 

  • Aktualisierter Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM)
  • Technische Empfehlungen für die Protokollierung
  • Merkblatt zur Datenschutz-Folgenabschätzung (DSFA)
  • Vorlagen für Bearbeitungsreglemente
  • Merkblatt betreffend die Untersuchung von Verstössen gegen Datenschutzvorschriften durch den EDÖB

 

3.2.   Online-Meldeformulare

 

Im Hinblick auf das Inkrafttreten des revidierten DSG hat der EDÖB verschiedene Online-Meldeformulare eingerichtet, um eine sichere elektronische Übermittlung zu gewährleisten: 

 

  • Online-Dienst zur Meldung von Datensicherheitsverletzungen3
  • Register der Bearbeitungstätigkeiten für Bundesorgane (DataReg)4
  • Meldeportal für Datenschutzberater/innen (DSB-Portal)5
  • Online-Formular zur Anzeige von Datenschutzverletzungen (für Betroffene und Dritte)6

3.3.   Jüngste Entwicklungen

 

Angemessenheitsbeschluss für den schweizerisch-amerikanischen Datenschutzrahmen

 

Der Bundesrat hat den neuen Swiss-US Data Privacy Framework als sicheren Rahmen für die grenzüberschreitende Datenübermittlung anerkannt. Seit dem 15. September 2024 können somit Personendaten ohne zusätzliche Garantien aus der Schweiz an zertifizierte Unternehmen in den USA übermittelt werden. Die Liste der zertifizierten Unternehmen ist auf der offiziellen Website des Data Privacy Framework7 zu finden.

 

Stellungnahme des EDÖB zur KI-gestützten Datenbearbeitung

 

Angesichts der rasanten Zunahme der KI-gestützten Datenbearbeitung hat der EDÖB in einer Medienmitteilung festgehalten, dass das DSG unabhängig vom Ansatz für künftige KI-Regulierungen direkt auf die KI-gestützte Datenbearbeitung anwendbar ist. Hersteller, Anbieter und Nutzer von KI-Systemen müssen insbesondere den Zweck, die Funktionsweise und die Datenquellen der KI-gestützten Bearbeitung transparent machen und sicherstellen, dass die betroffenen Personen über ein Höchstmass an digitaler Selbstbestimmung verfügen. Der vollständige Text der Medienmitteilung ist auf der Website des EDÖB8 zu finden.

 

3.4.   Jüngste Untersuchungen des EDÖB

 

Ransomware-Vorfall bei Xplain

 

Nach einem Ransomware-Vorfall beim IT-Sicherheitsdienstleister Xplain wurde eine grosse Menge an Personendaten aus der Bundesverwaltung, darunter auch besonders schützenswerte Personendaten, die auf den Servern von Xplain gespeichert waren, im Darknet veröffentlicht. Der EDÖB eröffnete eine Untersuchung gegen das Bundesamt für Polizei (fedpol), das Bundesamt für Zoll und Grenzschutz (BAZG) und Xplain.

 

In seinen Schlussberichten an fedpol9 und das BAZG10 führte der EDÖB aus, dass keines der beiden Bundesämter eine klare Vereinbarung mit Xplain hatte, ob und unter welchen Bedingungen Personendaten im Rahmen der Supportdienstleistungen auf den Servern von Xplain gespeichert werden sollten. Die Daten wurden an Xplain übermittelt, ohne dass genaue Anforderungen an die Übermittlung und die Datensicherheit definiert worden waren. Der EDÖB stellte zudem fest, dass unnötig viele Personendaten an Xplain übermittelt wurden.

 

Gemäss dem Schlussbericht des EDÖB an Xplain11 hat der Auftragsbearbeiter keine angemessenen Datensicherheitsmassnahmen getroffen und die Grundsätze der Zweckbindung und der Verhältnismässigkeit verletzt, indem er Personendaten der Bundesverwaltung aufbewahrt und nicht vertragsgemäss gelöscht hat.

 

Aus den Empfehlungen des EDÖB lassen sich die folgenden allgemeinen Schlussfolgerungen ziehen:

 

  • Datenminimierung und Datensicherheit müssen unbedingt beachtet werden

 

  • Die Bearbeitung durch Auftragsbearbeiter muss durch klare vertragliche Vereinbarungen geregelt werden

 

  • Auftragsbearbeiter müssen sorgfältig ausgewählt, instruiert und laufend überwacht werden, um die Einhaltung aller Vorschriften zu gewährleisten

 

  • Auftragsbearbeiter müssen die Anforderungen betreffend Datensicherheit, Aufbewahrung und Löschung von Daten erfüllen

 

Untersuchung gegen Digitec Galaxus

 

Nach Meldungen von betroffenen Personen, die eine Vielzahl von Datenbearbeitungen akzeptieren mussten, bevor sie eine Bestellung tätigen konnten, eröffnete der EDÖB eine Untersuchung über die Bearbeitung von Kundendaten bei Digitec Galaxus, einem der grössten Schweizer Online-Shops. Die Untersuchung betraf einerseits die Datenschutzerklärung von Digitec Galaxus und andererseits die Verpflichtung, ein Kundenkonto anzulegen, um eine Bestellung im Online-Shop aufgeben zu können.

 

In seinem Schlussbericht12 stellt der EDÖB unter anderem fest, dass Digitec Galaxus die Grundsätze der Transparenz und der Verhältnismässigkeit verletzt hat. Aus den Empfehlungen des EDÖB lassen sich folgende Schlussfolgerungen ziehen:

 

  • Datenminimierung und Verhältnismässigkeit sind essenzielle Grundsätze, die unbedingt eingehalten werden müssen

 

  • Datenschutzerklärungen müssen klar und transparent sein und unter anderem angeben, welche Personendaten zu welchen Zwecken bearbeitet werden und an wen sie weitergegeben werden

 

Untersuchung gegen Ricardo / TX Group

 

Nach Berichten und Beschwerden von Nutzern der Auktionsplattform Ricardo, die in einer neuen Datenschutzerklärung darüber informiert wurden, dass ihre Daten zu Sicherheits- und Marketingzwecken innerhalb der TX Group weitergegeben werden und dass ihr Konto deaktiviert wird, wenn sie einer solchen Weitergabe und/oder Verwendung ihrer Daten widersprechen, hat der EDÖB eine Untersuchung gegen Ricardo und deren Muttergesellschaft TX Group eingeleitet.

 

In seinem Schlussbericht13 hält der EDÖB unter anderem fest, dass Ricardo den Grundsatz der Transparenz verletzt und keine gültige Rechtsgrundlage für die Bearbeitung von Personendaten zu Marketing- und Analysezwecken hat, da die betroffenen Personen nicht angemessen informiert wurden und nicht eingewilligt haben. Aus den Empfehlungen des EDÖB lassen sich folgende Schlussfolgerungen ziehen:

 

  • Nutzungsdaten gelten als Personendaten, auch wenn sie nicht direkt mit dem jeweiligen Nutzer in Verbindung gebracht werden, solange der Nutzer ohne unverhältnismässigen Aufwand identifizierbar bleibt

 

  • Betroffene Personen müssen klar und transparent informiert werden über die Verwendung ihrer Personendaten für Marketing- und Tracking-Zwecke sowie über die Erstellung von Persönlichkeitsprofilen (gemäss dem bisherigen DSG) oder Profiling (gemäss dem revidierten DSG)

 

  • Das überwiegende berechtigte Interesse des Verantwortlichen muss sorgfältig gegen die Interessen der betroffenen Personen und ihr Recht auf Kontrolle über ihre Daten abgewogen werden, wenn es als Rechtfertigungsgrund dienen soll

 

Eine detailliertere Analyse der Untersuchungen gegen Digitec Galaxus und Ricardo / TX Group finden Sie in dem Artikel "Datenschutz-Compliance: Erkenntnisse aus den jüngsten Untersuchungen des EDÖB".

 

4.   Schlussfolgerungen

 

Ein Jahr nach Inkrafttreten des neuen schweizerischen Datenschutzgesetzes haben sich einige Schwerpunkte herauskristallisiert, die von allen Organisationen, die Personendaten bearbeiten, besonders beachtet werden sollten:

 

Bearbeitung von Personendaten durch Auftragsbearbeiter / Outsourcing

 

Gemäss dem Tätigkeitsbericht des EDÖB 2023/2024 war bei einigen der gemeldeten Datenschutzverletzungen ein Dienstleister, d.h. ein Auftragsbearbeiter involviert, und in all diesen Fällen war eine grosse Zahl betroffener Personen einem hohen Risiko ausgesetzt. Für Unternehmen ist es daher unerlässlich, ihre Auftragsbearbeiter sorgfältig auszuwählen und zu bewerten, die notwendigen vertraglichen Vereinbarungen zu treffen und die Einhaltung der Datenschutz- und Sicherheitsanforderungen durch die Auftragsbearbeiter kontinuierlich zu überwachen.

 

Datensicherheit

 

Der EDÖB hat in seinen Richtlinien und Empfehlungen der Datensicherheit einen hohen Stellenwert eingeräumt, mit besonderem Augenmerk auf den neu eingeführten risikobasierten Ansatz. Zudem haben einige der prominentesten Untersuchungen des EDÖB gezeigt, dass Datensicherheit ein äusserst wichtiges Thema ist und dies aufgrund der stetigen technologischen Entwicklung sicher auch bleiben wird. 

 

Informationspflicht/Transparenz

 

Angesichts der erweiterten Informationspflicht unter dem revidierten DSG und mehrerer Untersuchungen des EDÖB, die diesbezügliche Mängel aufdeckten, sollten Unternehmen besonders auf ihre Datenschutzerklärungen achten und diese regelmässig überprüfen, um sicherzustellen, dass sie jederzeit klar, korrekt und vollständig sind.

 

Datenminimierung

 

Datenminimierung ist nicht nur eine gesetzliche Anforderung, sondern trägt auch dazu bei, das Risiko schwerwiegender, grossflächiger Datenschutzverletzungen zu verringern. Indem nur die zur Erfüllung des Zwecks erforderlichen Personendaten gespeichert und an Auftragsbearbeiter weitergegeben werden und die Daten gelöscht oder anonymisiert werden, sobald sie nicht mehr benötigt werden, kann nicht nur die Einhaltung des DSG gewährleistet, sondern auch das Risiko minimiert werden.

 

FABIAN PRIVACY LEGAL steht Ihnen bei Fragen oder Unterstützungsbedarf gerne zur Verfügung.

 

 

1      Die Liste der angemessenen Länder finden Sie hier: https://www.fedlex.admin.ch/eli/cc/2022/568/de#annex_1/lvl_u1

2      https://www.edoeb.admin.ch/edoeb/de/home/deredoeb/infothek/infothek-ds.html

3      https://databreach.edoeb.admin.ch/report 

4      https://datareg.edoeb.admin.ch/search 

5      https://www.dpo-reg.edoeb.admin.ch/welcome 

6      https://www.edoeb.admin.ch/edoeb/de/home/deredoeb/kontakt.html

7      https://www.dataprivacyframework.gov/list 

8      https://www.edoeb.admin.ch/edoeb/de/home/kurzmeldungen/2023/20231109_ki_dsg.html

9      https://www.newsd.admin.ch/newsd/message/attachments/87347.pdf

10    https://www.newsd.admin.ch/newsd/message/attachments/87363.pdf

11    https://www.newsd.admin.ch/newsd/message/attachments/87361.pdf

12    https://www.newsd.admin.ch/newsd/message/attachments/87062.pdf

13    https://www.newsd.admin.ch/newsd/message/attachments/90127.pdf