Das Ende der Debatten
Das Parlament debattierte nun mehr als drei Jahren darüber, wie das neue Schweizer Datenschutzgesetz wohl aussehen könnte. Der ursprüngliche Erlass zum Datenschutz galt bereits seit 1992 und konnte mit den technologischen und gesellschaftlichen Veränderungen im Land nicht mehr Schritt halten. Er wurde an die neuen Verhältnisse angepasst, wobei eine Anlehnung an die Regelungen in ganz Europa erkennbar ist. Vor allem die Datenschutzgrundverordnung der Europäischen Union bildete die Grundlage für die Debatten bzw. für die daraus gezogenen Schlussfolgerungen. Die DSGVO ist bereits seit 2018 in Kraft.
Die Modernisierung der Datenschutzverordnung in der Schweiz war notwendig geworden, weil der Informationsaustausch mit internationalen Partnern auch weiterhin uneingeschränkt möglich sein und kein Schweizer Unternehmen dadurch Nachteile erfahren soll. Die EU hatte mit der DSGVO eine Norm geschaffen, die nun auch für die Schweizer Unternehmen bindend ist.
Hintergrund der notwendigen Überarbeitung der Verordnung war auch, dass nicht immer ganz klar sein kann, ob ein Unternehmen aus der Schweiz in den Anwendungsbereich der Europäischen Union gerechnet werden muss. Nun hatten sich zwei Standards entwickelt: Auf der einen Seite die DSGVO und auf der anderen Seite die Schweizer Datenschutzverordnung. Rechtsunsicherheiten und ein verwalterischer Mehraufwand waren die Folge. Gleichzeitig wurde aber eine Gleichwertigkeit des Datenschutzes gefordert, sodass sich Schweiz und EU auf dieser Ebene annähern.
Probleme und Neuerungen bei der Datenschutzverordnung
Die vollständige Revision des Datenschutzgesetzes erwies sich als durchaus problematisch und es war allen Beteiligten wichtig, dass in erster Linie intelligente und nicht nur andere Lösungen gefunden wurden. Die Besonderheiten der Schweizer Wirtschaft und der Unternehmen hier musste berücksichtigt werden. Dies sollte verhindern, dass die Wirtschaft künftig mehr als nötig belastet würde und gleichzeitig sicherstellen, dass das Schweizer System dem der EU ebenbürtig wird.
Neu ist zum Beispiel, dass sich der Geltungsbereich des Datenschutzgesetzes nun auf die Daten von Menschen, also von natürlichen Personen bezieht. Vorher ging es nur um juristische Personen. Ausserdem beinhaltet die neue Verordnung eine Auflistung der besonders schützenswerten Daten sowie mögliche Rechtsfolgen bei Speicherung und Verarbeitung dieser Daten. Die Regelungen betreffen hier zum Beispiel:
-
- Einwilligung in die Datenspeicherung
- Datenschutz-Folgenabschätzung
- Weitergabe der Daten an Dritte
- Bonitätsprüfungen
Daten, die eine Person eindeutig identifizieren, gelten nun als besonders schützenswert. Ausserdem gibt es eine neue Regelung zum Profiling, was immer dann vorliegt, wenn die Daten einer Person automatisiert bearbeitet werden und anhand der Daten eine Beurteilung des Betreffenden und seiner Persönlichkeit vorgenommen wird bzw. werden kann. Beim Profiling mit hohem Risiko muss eine ausdrückliche Einverständniserklärung des Betreffenden vorliegen. Ein hohes Risiko ist zum Beispiel vorhanden, wenn es um die Überprüfung der Kreditwürdigkeit einer Person geht.
Die neue Datenschutzverordnung verlangt von KMU, dass ein Verzeichnis zu den Datenbearbeitungen geführt wird. Ausnahmen gelten für die Firmen, die bis zu 250 Personen beschäftigen und die bei der Verarbeitung der Daten nur ein geringes Risiko aufweisen, die Persönlichkeit von Personen zu verletzen.
„Privacy by Design“ und „Privacy by Default” werden per Gesetz festgeschrieben.
Das heisst in ersterem Fall, dass die Datenschutzvorschriften schon bei der Datenbearbeitung ab der Planung eingehalten werden müssen. Die zweite Variante meint, dass App- und Website-Voreinstellungen so ausfallen müssen, dass Personendaten nur auf das Mindeste beschränkt bearbeitet werden.
Jeder hat nach der neuen Verordnung ein Recht auf Datenübertragbarkeit und so können Personen die Übertragung der eigenen Daten an andere Unternehmen verlangen. Dieser Service soll kostenlos möglich sein.
Fazit: Das neue Datenschutzgesetz schützt natürliche Personen
Einst waren es juristische Personen, die durch das Datenschutzgesetz in der Schweiz besonders geschützt wurden. Durch die Notwendigkeit der Anpassung eigener Verordnungen an die Vorgaben der Europäischen Union sind es nun die natürlichen Personen, die durch KMU geschützt werden müssen.
Ein umfassender Schutz der Menschen und ihrer Daten ist vor allem bei der Datenverarbeitung mit hohem Risiko vorgesehen. Ein solches liegt unter anderem bei der Beantragung von Krediten und der zugehörigen Bonitätsprüfung vor. Zugleich haben die Menschen das Recht, eine Weitergabe ihrer Daten an andere Firmen zu verlangen. Die neuen Regelungen werden wahrscheinlich erst gegen Ende 2021 in Kraft treten.