Grundkonzept
Im Gegenteil zu DSGVO und zu dem dort verankerten Grundsatz des Verbots der Datenverarbeitung, bleibt das Grundkonzept des schweizerischen Datenschutzgesetzes unverändert: Datenbearbeitung ist grundsätzlich erlaubt, sofern Bearbeitungsgrundsätze eingehalten werden. Sollte es zu einer Verletzung der Grundsätze kommen, braucht es eine Rechtfertigung.
Kein Schutz für juristische Personen mehr
Das revidierte DSG befasst sich nicht mehr mit den Daten von juristischen Personen, sondern bietet die rechtlichen Grundlagen zum Schutz der Persönlichkeit von natürlichen Personen, deren Daten bearbeitet werden (Art. 1 revDSG).
Privacy by Design and Default
Art. 7 revDSG sollte zwei neue Grundsätze des modernen Datenschutzes verankern: „Privacy by Design“ (Datenschutz durch Technik) und „Privacy by Default“ (Datenschutz durch Datenschutzfreundliche Voreinstellungen). Unternehmen und Behörden sind somit verpflichtet, angemessene technische und organisatorische Datenschutzmassnahmen bereits ab der Planung ihrer entsprechenden Vorhaben zu treffen. Technische Anwendungen und Applikationen sollten so ausgestaltet werden, dass sie Daten anonymisieren und löschen. Zudem müssen sie über datenschutzfreundliche Voreinstellungen verfügen.
Bekanntgabe von Personendaten ins Ausland
Neu dürfen Daten ins Ausland bekanntgegeben werden dürfen, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des Drittstaates einen angemessenen Schutz gewährleistet (Art. 16 revDSG). Zu diesem Zweck wird eine Liste der Länder publiziert. Falls der Staat nicht auf der Liste des Bundesrates ist, dürfen Daten trotzdem dorthin bekanntgegeben werden, wenn ein geeigneter Datenschutz auf andere Weise gewährleistet wird (z.B. durch einen völkerrechtlichen Vertrag, Datenschutzklauseln, Binding Corporate Rules etc.). Ausnahmen im Art. 17 revDSG sind zu beachten.
Informationspflichten
Durch den Art. 19 revDSG werden Informationspflichten massiv ausgebaut. Kommt aktuell die Informationspflicht nur bei Beschaffung besonders schützenswerten Daten zum Tragen, werden künftig private Verantwortliche die betroffenen Personen grundsätzlich bei jeder Beschaffung von Personendaten informieren müssen. Ausnahmen von der Informationspflicht und Einschränkungen im Art. 20 revDSG sind dabei zu beachten.
Datenschutz-Folgenabschätzung
Was bisher nur Bundesorgane betraf, muss nun auch durch private Unternehmen berücksichtigt werden: Wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, müssen die Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung erstellen (Art. 22 revDSG). Es könnte beispielsweise im Falle von Profiling mit hohem Risiko oder umfangreiche Bearbeitungen besonders schützenswerter Personendaten relevant sein.
Auskunftsrecht
Ebenso wird durch die Neuerungen im Gesetz das Auskunftsrecht ausgebaut, indem in Art. 25 revDSG die Liste an Mindestinformationen erweitert wird, die vom Verantwortlichen durch die betroffene Person verlängert werden kann. Neu können grundsätzlich alle Informationen verlangt werden, die für die betroffene Person unabdingbar wären, um ihre durch DGS gewährleistete Rechte geltend zu machen.
Quellen:
https://www.parlament.ch/centers/eparl/curia/2017/20170059/Schluzssabstimmungstext%203%20NS%20D.pdf
https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#-1884461268
gerne darfst du mit mir Kontakt aufnehmen, Gemeinsam lassen wir deine Vision in der digitalen Welt erstrahlen