Neue Leitlinien zum überarbeiteten Schweizer Datenschutzgesetz, veröffentlicht von der Schweizer Regulierungsbehörde
Am 5. März 2021 veröffentlichte der Bundeskommissar für Daten- und Informationsschutz (FDPIC) ein Short Position Paper zu einem überarbeiteten Schweizer Datenschutzgesetz (revDPA). Das Positionspapier enthält Leitlinien für Unternehmen, die dem Gesetz zum Schutz und zur Verbesserung der Leistung unterliegen, hinsichtlich der Erfüllung ihrer Anforderungen nach dessen Inkrafttreten. Dies wird voraussichtlich in der zweiten Hälfte des Jahres 2022 erfolgen, nachdem die Bundesverwaltung die Ausarbeitung der entsprechenden Exekutive abgeschlossen hat Dekrete.
RevDPA wird trotz des gelegentlichen Schweizer Booms viele der Anforderungen der Allgemeinen Datenschutzverordnung (DSGVO) der Europäischen Union in Schweizer Recht umsetzen. In den Worten von FDPIC „neu [revDPA] In Übereinstimmung mit der Schweizer Rechtstradition hat es einen hohen Abstraktionsgrad und ist technisch neutral. Es unterscheidet sich von der DSGVO nicht nur durch sein Akronym, sondern auch durch die unterschiedliche Terminologie, die es manchmal verwendet. “
Die FDPIC-Richtlinien bieten einige hilfreiche Einblicke in die praktische Anwendung von revDPA:
- Personenbezogene Daten natürlicher Personen: Dies wäre für viele eine Erleichterung in Bezug auf den materiellen Umfang, da revDPA im Einklang mit der Allgemeinen Datenschutzverordnung (DSGVO) steht und die personenbezogenen Daten von juristischen Personen wie Handelsorganisationen, Verbänden und Unternehmen nicht schützt. Es ist jedoch wichtig zu beachten, dass juristische Personen weiterhin nach Artikel 28 des Schweizerischen Zivilgesetzbuchs Schutz der Privatsphäre beantragen können. Das Geheimnis der Herstellung und des Handels bleibt auch nach Artikel 162 des Schweizerischen Strafgesetzbuches sowie nach dem Bundesgesetz gegen unlauteren Wettbewerb, dem Bundesgesetz über Kartelle und anderen Wettbewerbsbeschränkungen geschützt.
- Grenzüberschreitende Datenübertragung: Leider bietet FDPIC keine Anleitung zu den Auswirkungen der Schrems II-Entscheidung. Die FDPIC hat in einem Positionspapier bestätigt Am 8. September 2020 bietet der schweizerisch-amerikanische Datenschutzschild keinen angemessenen Schutz für die Übermittlung personenbezogener Daten aus der Schweiz in die USA. Bisher hat die FDPIC keine Anleitung gegeben, inwieweit bestehende Standardvertragsklauseln (SCCs) angepasst und / oder welche zusätzlichen ergänzenden Schutzmaßnahmen umgesetzt werden sollten. Die FDPIC bestätigt jedoch, dass sie SCCs anerkennen wird, die von der Europäischen Kommission gemäß der Allgemeinen Datenschutzverordnung genehmigt wurden. Diese werden wahrscheinlich überarbeitete SCCs enthalten, die voraussichtlich bald von der Europäischen Kommission veröffentlicht werden. Im Gegensatz dazu stellt sich die Frage, ob die FDPIC weiterhin frühere Versionen der SCCs der Europäischen Union akzeptieren wird oder ob Unternehmen die derzeit verwendeten SCCs und Transportvereinbarungen anpassen müssen.
- Die Verpflichtung zur Meldung von Verstößen gegen personenbezogene Daten: Gemäß § 24 revDPA muss der für die Verarbeitung Verantwortliche FDPIC „so bald wie möglich“ einige schwerwiegende Verstöße gegen personenbezogene Daten melden. FDPIC stellt fest, dass „die für die Verarbeitung Verantwortlichen zuvor die möglichen Auswirkungen des Verstoßes vorhergesagt und vorläufig beurteilt haben sollten, ob ein unmittelbares Risiko besteht, ob die Inhaber der Daten eine Benachrichtigung benötigen und wie dies getan werden kann.“ Controller müssen FDPIC nicht über die Angriffe benachrichtigen. Erfolglose elektronische. Obwohl freiwillige Berichte an die FDPIC übermittelt werden können.
- Datenschutzbeauftragte (DPO): Das Gesetz zum Schutz personenbezogener Daten sieht ausdrücklich die freiwillige Ernennung eines Datenschutzbeauftragten vor (§ 10 der Überprüfung des Datenschutzgesetzes). Im Gegensatz zur DSGVO ist die Ernennung eines Datenschutzbeauftragten für private Kontrolleure immer optional. In ihren Richtlinien (und im Einklang mit der DSGVO) betont die FDPIC die Bedeutung der Unabhängigkeit des Datenschutzbeauftragten, was bedeutet, dass ihre Aktivitäten von den anderen Geschäftstätigkeiten des für die Verarbeitung Verantwortlichen, einschließlich anderer Rechtsberatung und Vertretung, getrennt bleiben müssen. Es ist anzumerken, dass ein Unternehmen bei der Ernennung eines Datenschutzbeauftragten kein FDPIC konsultieren muss, wenn das Ergebnis der Datenschutz-Folgenabschätzung ein hohes Risiko für betroffene Personen feststellt. In diesem Fall reicht es aus, den Datenschutzbeauftragten zu konsultieren. Da auf die Ansichten von FDPIC unter FOIA zugegriffen werden kann, kann der Schutz von Geschäftsgeheimnissen einen weiteren Anreiz für die Benennung eines Datenschutzbeauftragten und die Vermeidung zusätzlicher Interaktionen mit FDPIC darstellen.
- Datenschutz-Folgenabschätzungen (DPIA): Gemäß Artikel 22 revDPA müssten nicht nur Bundesbehörden (wie dies nach geltendem Recht der Fall ist), sondern auch private Beobachter vor der Verarbeitung von Hochrisikodaten eine DPIA durchführen. Laut FDPIC (und im Einklang mit der Allgemeinen Datenschutzverordnung) „ergeben sich hohe Risiken aus Art, Umfang, Kontext und Verwendungszwecken – insbesondere beim Einsatz neuer Technologien. Insbesondere bei sensiblen Daten wird die Verarbeitung als hohes Risiko angesehen geplant, profiliert oder umfassend verarbeitet zu werden. „
- Strafen: Das nach dem Code Re-Issue Act eingeführte Strafsystem unterscheidet sich erheblich von der Allgemeinen Datenschutzverordnung (DSGVO). Im Falle eines vorsätzlichen Verstoßes gegen das Gesetz zum Schutz personenbezogener Daten können Einzelpersonen (nicht das Unternehmen) davon betroffen sein kriminell Strafen bis 250.000,00 Schweizer Franken (Artikel 54 revDPA). Darüber hinaus können Unternehmen mit einer Geldstrafe von höchstens 50.000,00 Schweizer Franken bestraft werden, wenn es nicht möglich ist, die im Unternehmen für solche vorsätzlichen Verstöße verantwortliche Person zu identifizieren. Im Gegensatz zur DSGVO kann die FDPIC diese Geldbußen nicht verhängen. Diese Befugnisse verbleiben in den Händen der kantonalen Strafverfolgungsbehörden. Die FDPIC kann diese Behörden einfach über die Nichteinhaltung der revDPA informieren, die ihrer Ansicht nach mit einer Geldstrafe belegt werden sollte. Die Zukunft wird zeigen, wie diese Behörden zusammenarbeiten und wie diese Geldbußen durchgesetzt werden.
- Die Rolle der FDPIC: RevDPA gewährt FDPIC neue Befugnisse. Es wird nun alle Verstöße gegen das Gesetz zum Schutz personenbezogener Daten untersuchen, es sei denn, es handelt sich um einen geringfügigen Verstoß (§ 49 revDPA). Die FDPIC macht jedoch geltend, dass der für die Verarbeitung Verantwortliche formelle Sanktionen zurückhalten kann, wenn er Mängel in der Strafverfolgung innerhalb eines angemessenen Zeitraums nach Benachrichtigung durch die FDPIC feststellt oder korrigiert. Interessanterweise bestätigt die FDPIC, dass sie aufgrund ihrer begrenzten Ressourcen weiterhin Untersuchungen zum Grundsatz der diskretionären Strafverfolgung priorisieren wird. Darüber hinaus hat die FDPIC jetzt die Befugnis, verbindliche Entscheidungen zu treffen, gegen die ein bestimmter für die Verarbeitung Verantwortlicher Berufung einlegen kann. FDPIC kann von einem für die Verarbeitung Verantwortlichen verlangen, personenbezogene Daten zu löschen oder sogar seine Verarbeitungsaktivitäten anzupassen, auszusetzen oder einzustellen, einschließlich des Sendens spezifischer Benachrichtigungen an betroffene Personen.
- Aufwand: FDPIC wird dem für die Verarbeitung Verantwortlichen nun zusätzliche Gebühren auferlegen, beispielsweise für die Abgabe von Stellungnahmen zu DPIAs und Verhaltenskodizes und für die Erteilung der Zustimmung zu Standard-Datenschutzklauseln. Außerdem gibt FDPIC an, dass private Konsolen nicht mehr kostenlos konsultiert werden.
Darüber hinaus hat FDPIC die Verpflichtung zur Bereitstellung von Datenschutzhinweisen, Rechten betroffener Personen, Datenschutzgrundsätzen durch Design (Datenschutz durch Technologiedesign) und Datenschutz standardmäßig (nur Daten, die für einen bestimmten Zweck unbedingt erforderlich sind) kommentiert verarbeitet werden) zusätzlich zu der Fähigkeit, Daten, Zertifikate und Verpflichtungen zur Aufbewahrung von Aufzeichnungen über Verarbeitungsaktivitäten zu übertragen.
Ein kurzer Kommentar zu FDPICs ist verfügbar Website.
„Böser Kaffee-Nerd. Analyst. Unheilbarer Speckpraktiker. Totaler Twitter-Fan. Typischer Essensliebhaber.“