Das Schweizer Datenschutzgesetz soll der neuen EU-Gesetzgebung und den neuen technologischen Anforderungen angepasst werden.
Das Bundesgesetz für den Datenschutz (DSG) trat am 01. Juli 1993 in Kraft, die letzten Änderungen wurden am 30. September 2011 beschlossen. Zu einer Zeit, wo es noch kein Internet und kaum Mobilfunktelefone gab, Computer langsam waren und über wenig Speicherplatz verfügten. Der Bundesrat will das DSG nun modernisieren. Ende Dezember 2016 wurde eine entsprechende Vernehmlassungsvorlage präsentiert.
Bei der Anpassung des Gesetzes werden vorrangig zwei Ziele verfolgt: Zum einen ist es erforderlich, dass die Gesetzgebung an die technologische Entwicklung angepasst wird. Zum anderen wird am 25. Mai 2018 ein neues EU-weites Datenschutzgesetz gültig – die Datenschutzgrundverordnung (DSGVO). Entsprechende gesetzliche Anpassungen sind notwendig, damit der Marktzugang für Schweizer Unternehmen in die EU weiterhin gewährleistet ist.
Folgende Änderungen werden u. a. angestrebt:
- Die Strafbestimmungen sollen verschärft werden.
Bisher war ein maximales Bußgeld (Busse) bei einem Gesetzesverstoß von 10 000 Franken vorgesehen. Dieses soll auf 500 000 Franken erhöht werden. Die EU hat die Sanktionen drastisch erhöht. Gemäß Art. 83 DSGVO sollen diese „verhältnismäßig und abschreckend“ sein. In Abhängigkeit des Verstoßes kann ein Bußgeld bis zu 10 000 000 EUR (Organisationsregeln) oder im Fall eines Unternehmens von bis zu 2 % seines weltweiten Jahresumsatzes des Vorjahres bzw. bei Verstößen u. a. gegen die Betroffenenrechte bis zu 20 000 000 EUR oder 4 % des weltweiten Jahresumsatzes (je nach dem was höher ist) verhängt werden. - Informationspflicht
Personen, deren Daten genutzt oder verarbeitet werden, sollen besser informiert werden. Die Nutzer sollen auch informiert werden, wenn ein Algorithmus entscheidet, persönliche Daten zu verwenden oder zu bearbeiten. Ähnliches ist in Art. 13 DSGVO zu finden. - Recht auf Löschung
Das Recht persönliche Daten löschen zu können, soll explizit verankert werden. Dies ist vergleichbar mit Art. 17 DSGVO „Recht auf Vergessenwerden“ (right to be forgotten) Auch das Auskunftsrecht (Art. 8 DSG) über die eigenen persönlichen Daten soll gestärkt werden (Art. 15 DSGVO). - Erweiterung der Verantwortung des Inhabers einer Datensammlung
In der Verantwortung soll nicht mehr nur der Inhaber sein, sondern sämtliche private und auch juristische Personen, die über den Zweck, die Mittel und den Umfang einer Datenbearbeitung entscheiden. Der Inhaber einer Datensammlung soll zukünftig als „Verantwortlicher“ bezeichnet werden. Dies Begrifflichkeit wurde auch in der DSGVO eingeführt.
Ziel des Bundesrates ist es, die umfassende und laufende Revision bis spätestens zum Sommer 2018 abzuschließen, um den Marktzutritt für Schweizer Unternehmen in der EU weiterhin zu sichern. Ab 25. Mai 2018 gilt EU-weit das neue Datenschutzgesetz, die Datenschutzgrundverordnung.
Die Schweiz gehört nicht zu den EU-Mitgliedsstaaten. Sie garantiert, wie auch Kanada, Neuseeland, Argentinien und weitere, nach Auffassung der EU-Kommission (Art. 26 Abs. 6 EU-Datenschutzrichtlinie) einen adäquaten Datenschutz. Mit den geplanten Anpassungen sollte auch weiterhin ein angemessenes Schutzniveau gewährleistet sein. Es spricht also nichts dagegen, dass die Schweiz auch weiterhin als Drittland mit angemessenem Datenschutzniveau gilt und die EU-Kommission gemäß Art. 45 DSGVO den Status auch nach dem 25. Mai 2018 bestätigt.
Weitere Artikel: Datenschutzrisiko Drittland. Schweiz vs. Deutschland
White Paper: Datenschutzvergleich Schweiz – Deutschland
Die Autorin:
Regina Mühlich, Inhaberin der Managementberatung AdOrga Solutions in München, ist Expertin für Datenschutz und Qualitätsmanagement. Zu ihrer Kernkompetenz zählen der internationale Datenschutz, Implementierung BCM (ISO 22301) und ISO 9001 (zert. Datenschutz-Auditorin, anerk. + geprf. Sachverständige für IT und Datenschutz, zert. Qualitätsmanagementbeauftragte sowie Auditorin für Qualitätsmanagement).