Konsum & Internet
7 Antworten zum neuen Datenschutzgesetz
Der Bundesrat hat das neue Datenschutzgesetz auf den 1. September 2023 in Kraft gesetzt.
Die Revision des geltenden Datenschutzgesetzes war aus zwei Gründen nötig. Zum einen hat sich seit 1992, dem Inkrafttretensdatum des früheren Datenschutzgesetzes, technisch und gesellschaftlich einiges getan, sodass das Gesetz in seiner bisherigen Form den Datenschutz nicht mehr gewährleisten konnte. Zum anderen musste der Schweizerische Gesetzgeber das Gesetz so ausgestalten, dass es mit der seit 2018 geltenden Datenschutz-Grundverordnung (DSGVO) der Europäischen Union kompatibel ist.
Entscheidend für das Recht im Alltag ist zunächst, dass das neue Datenschutzgesetz die Informationsrechte ausweitet: Wer Personendaten bearbeitet, muss die betroffenen Personen umfassend darüber informieren. Dies gilt neu generell, also nicht nur, wenn es um besonders schützenswerte Personendaten geht. Zudem verstärkt das neue Datenschutzgesetz die Massnahmen bei Datenschutzverletzungen. So muss die in einem Unternehmen für den Datenschutz verantwortliche Person Verletzungen der Datensicherheit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDOEB) melden und schliesslich drohen massiv höhere Bussen bei vorsätzlichen Verstössen gegen das Datenschutzgesetz.
Im Folgenden beantworten wir sieben praktische Fragen, welche sich in Ihrem Alltag rund um den Datenschutz stellen können.
1. Was ändert das neue Datenschutzgesetz am Arbeitsplatz?
Die Arbeitgeberin muss die betroffene Person angemessen über die Beschaffung der Personendaten informieren. Sie muss sie namentlich darüber aufklären, wofür sie die Daten braucht und wem sie allenfalls die Daten bekanntgibt.
Hat sie mehr als 250 Mitarbeitende, muss die Arbeitgeberin ein Bearbeitungsverzeichnis führen. In dieses muss sie die bearbeiteten Personendaten wie Rekrutierungsunterlagen, Lohninformationen oder Beurteilungsdokumente aufnehmen und etwa vermerken, wie lange sie die Personendaten aufbewahrt.
Aufgepasst: Bearbeitet das Unternehmen besonders schützenswerte Personendaten im grossen Umfang oder führt es ein Profiling mit hohem Risiko durch, muss es unabhängig von seiner Grösse ein Bearbeitungsverzeichnis führen.
2. Hat das neue Datenschutzgesetz Auswirkungen auf das Mietverhältnis?
Das neue Datenschutzgesetz erweitert die Informationspflicht der Vermieterin. Unter dem bisherigen Recht bestand diese Informationspflicht nur beim Beschaffen von besonders schützenswerten Personendaten. Neu gilt die Informationspflicht unabhängig davon für alle Personendaten. Die Vermieterin muss den Mieter darüber informieren, welche Daten sie zu welchem Zweck bearbeitet und allenfalls bekanntgibt. Sie muss dem Mieter diese Informationen «in präziser, transparenter und leicht zugänglicher Form mitteilen». Denkbar ist so beispielsweise eine Information auf der Website und eine Integration der Information in den Mietvertrag.
Aufgepasst: Bei bestehenden Mietverhältnissen muss die Vermieterin den Mieter nur dann informieren, wenn sie die Personendaten seit Inkrafttreten zu einem anderen Zweck verwendet oder neue Personendaten beschafft.
3. Darf ein öV-Unternehmen biometrische Daten sammeln?
Neu gelten biometrische Daten, welche eine Person eindeutig identifizieren, also beispielsweise digitale Fingerabdrücke, Bilder der Iris oder Aufnahmen der Stimme als «besonders schützenswerte Personendaten». Auch für die Bearbeitung dieser ist jedoch nach wie vor nicht generell eine Einwilligung erforderlich. Hingegen muss das Unternehmen die Personen, deren biometrische Daten es bearbeitet, angemessen informieren. Dies wiederum dürfte in einem öffentlichen Raum schwierig sein.
4. Muss ein Unternehmen meine Daten neu elektronisch herausgeben?
Ja. Das neue Datenschutzgesetz verankert das Recht auf Datenportabilität. Ein Kunde kann die Herausgabe seiner Daten , welche er dem Unternehmen bekanntgegeben hat, in einem gängigen elektronischen Format verlangen. Das Unternehmen muss die Daten entweder direkt dem Kunden oder einem vom Kunden gewünschten (Konkurrenz-) Unternehmen übertragen.
Dies unter zwei Voraussetzungen. Das Unternehmen muss die Daten automatisiert verarbeiten und es muss sie mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person bearbeiten.
Die Übertragung hat grundsätzlich kostenlos zu erfolgen. Ist die Erteilung mit einem unverhältnismässigen Aufwand verbunden, kann das Unternehmen eine Kostenbeteiligung von maximal 300 CHF verlangen.
5. Muss es meine Ärztin melden, wenn sie mein Dossier verloren hat?
Ja. Das neue Datenschutzgesetz verpflichtet die verantwortliche Person, dem EDOEB «so rasch wie möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt» zu melden. Dies ist der Fall, wenn eine Arztpraxis ein Dossier mit Gesundheitsdaten verliert, da es sich bei diesen um besonders schützenswerte Personendaten handelt. Dasselbe gilt, wenn eine Arztpraxis Opfer einer Cyberattacke wird.
6. Gilt das neue Datenschutzgesetz auch im privaten Freundes- und Familienkreis?
Das Datenschutzgesetz gilt nach wie vor erst dann, wenn die Daten den privaten Freundes- und Familienkreis verlassen.
Anders als die DSGVO der EU schliesst auch das neue Datenschutzgesetz sämtliche «Personendaten, die von einer natürlichen Person ausschliesslich zum persönlichen Gebrauch bearbeitet werden» vom sachlichen Geltungsbereich aus. So muss jemand, der persönliche Notizen erstellt, sich erst dann an die datenschutzrechtlichen Grundsätze halten, wenn er die Informationen mit anderen teilt. Dies gilt auch, wenn er die Notizen im beruflichen Umfeld aufnimmt.
Wer aber Daten ausserhalb des privaten Freundes- oder Familienkreises weitergibt, muss das Datenschutzgesetz beachten. Dies selbst dann, wenn es sich um beim Thema an sich um ein privates und nicht um ein berufliches Thema handelt.
7. Welche Bussen sind nach dem neuen Datenschutzgesetz möglich?
Während das bisherige Datenschutzgesetz bei einem Verstoss eine maximale Busse von 10 000 CHF vorgesehen hat, ist heute eine Maximalbusse von 250 000 CHF möglich. Strafbar sind namentlich Verletzungen von Informations-, Auskunfts- und Mitwirkungspflichten, der beruflichen Schweigepflicht oder die Missachtung einer Verfügung des EDOEB oder einer Rechtsmittelinstanz.
Aufgepasst: Haftbar sind grundsätzlich die natürlichen verantwortlichen Personen und nicht das Unternehmen.