20
RECHT & UNTERNEHMUNG
1-2021 mandat
sche Daten (Art. 5 Bst. c nDSG).
Bisher waren solche Daten nur
soweit umfasst, wie sie Auskunft
über die Gesundheit oder
die Zugehörigkeit zu einer Rasse
gegeben haben.
Ebenfalls neu eingeführt wurde
der Begriff des Profiling (mit
und ohne hohem Risiko; Art. 5
Bst. f und g DSG), welcher den
früheren Begriff des Persönlichkeitsprofils
ersetzt, wobei beide
Begriffe nicht ganz deckungsgleich
sind.
Neu eingeführt wurde auch der
Begriff des Verantwortlichen (Art.
5 Bst. j DSG). Der Verantwortliche
ist die (natürliche oder juristische)
private Person oder des
Bundesorgans, die oder das alleine
oder zusammen mit anderen
über den Zweck und die Mittel
der Bearbeitung entscheidet.
Eine wichtige Neuerung für die
Datenbearbeitung ist, dass eine
ausdrückliche Einwilligung nicht
nur bei der Bearbeitung von besonders
schützenswerten
Personendaten
sondern auch bei
einem Profiling mit hohem
Risiko durch eine
private Person, eingeholt
werden muss.
Auch was die Datenbearbeitung
anbelangt
so wird neu
verlangt, dass die Planung
und technische
Ausgestaltung des
Systems hinsichtlich
des Stands der Technik,
dem Umfang der
Bearbeitung und dem
mit der Bearbeitung
einhergehenden Datenschutzrisiko
angemessen ist (Art. 7
Abs. 2 nDSG). Wie dies umzusetzen
ist, wird sich erst in der
Praxis des EDÖB zeigen. Zudem
müssen datenschutzfreundliche
Voreinstellungen getroffen werden,
so dass sich die Datenbearbeitung
auf ein Mindestmass
reduziert, wenn die betroffene
Person nicht etwas anderes
bestimmt. Die Umsetzung einer
entsprechenden Norm in der EU
ist für Anwender bei den Einstellungen
für Cookies auf Webseiten
ersichtlich, welche akzeptiert
werden müssen und wo man
entsprechende Einstellungen
tätigen kann.
Auch wurde der Begriff der Datenschutzberaterin
oder des
-beraters aufgenommen, der
den bisher eher missverständlichen
Begriff des Datenschutzverantwortlichen
ersetzt. Eine
Pflicht für Private zur Anmeldung
einer Datensammlung besteht
nicht mehr. Diese wurde für Privatpersonen
vielmehr durch die
Pflicht ein Verzeichnis der Bearbeitungstätigkeiten
zu führen ersetzt
(Art. 12 nDSG). Ebenfalls
eingeführt wurden erweiterte
Pflichten für private Datenbearbeiter
mit Sitz oder Wohnsitz im
Ausland (Art. 14 nDSG).
Bei der Bekanntgabe von Personendaten
ins Ausland müssen,
wenn der Bundesrat kein
angemessenes Schutzniveau
festgestellt hat, entsprechende
Garantien vom Datenbearbeiter
gewährleistet und dem EDÖB
vorgängig mitgeteilt werden (Art.
16 Abs. 2 Bst. b-e nDSG). Dies
bedeutet für Bearbeiter, die Daten
in ein Land ohne ausreichendes
Schutzniveau transferieren,
dass sie Garantien ausarbeiten
und dem EDÖB vorgängig vorlegen
müssen. Die Ausnahme der
Einwilligung im Einzelfall ist nur
noch möglich, wenn diese ausdrücklich
erfolgt (Art. 17 Abs. 1
Bst. b nDSG).
Pflichten für Daten-
bearbeiter
Explizit geregelt werden im neuen
Datenschutzgesetz verschiedene
Pflichten, die ein Datenbearbeiter
zu berücksichtigen hat.
Die bisher nur für besonders
schützenswerte Personendaten
und Persönlichkeitsprofile
geltenden Informationspflichten
bei der Beschaffung von Personendaten
wird neu auf sämtliche
Personendaten ausgeweitet (Art.
19 Abs. 1 nDSG). Falls die Personendaten
nicht bei der betroffenen
Person beschafft werden,
so sind die Informationspflichten
(Art. 19 Abs. 2 bis 4 nDSG) spätestens
einen Monat, nachdem
der Bearbeiter die Daten erhalten
hat, zu erfüllen (Art. 19 Abs.
5 nDSG).
Für automatisierte Einzelentscheidungen
wurden ebenfalls
besondere Informationspflichten
in das nDSG aufgenommen.
Zudem haben betroffene
Personen die Möglichkeit, dass
eine automatisierte Einzelentscheidung
durch eine natürliche
Person überprüft wird. Dies kann
je nach Datenbearbeitung zu einem
erheblichen Aufwand beim
Datenbearbeiter führen.
Eine wichtige grundlegende
Neuerung ist die Datenschutz-
Folgeabschätzung (Art. 22
nDSG). Eine solche ist notwendig
und vorgängig zu erstellen,
wenn eine Bearbeitung ein hohes
Risiko für die Persönlichkeit
oder die Grundrechte der
betroffenen Personen mit sich
bringt. Das nDSG bezieht für die
Risikobeurteilung auf der einen
Seite die technologische Ausgestaltung
sowie die Art, den
Umfang, die Umstände und den
Zweck der Bearbeitung und auf
der anderen Seite die Sensibilität
der Daten mit ein. Die eigentlich
Risikoabschätzung bleibt aber
insgesamt unklar und wird sich
wohl erst in der Praxis des EDÖB
herausbilden. Eine Datenschutz-
Folgeabschätzung wird wohl immer
dann notwendig sein, wenn
eine Gesamtbeurteilung ein
noch von der Praxis zu bestimmendes
Schädigungspotenzial
ergibt. Falls die Datenschutz-
Folgeabschätzung ein hohes
Risiko für die Persönlichkeit
oder die Grundrechte der betroffenen
Person zur Folge hat,
ist vom EDÖB eine Stellungnahme
einzuholen (Art. 23 nDSG).
Damit sind für die Einholung einer
Stellungnahme vom EDÖB
nur die Risiken für die betroffenen
Personen massgeblich. So
kann für die Bearbeitung einer
grossen Anzahl an weniger sensiblen
Personendaten durchaus
die Pflicht zu einer Datenschutz-
Folgeabschätzung bestehen, die
aber nicht notwendigerweise zur
Pflicht der Einholung einer Stellungnahme
beim EDÖB führt.
Zur Sicherheit wird die Einholung
einer Stellungnahme im
Eine wichtige Neuerung für
die Datenbearbeitung ist,
dass eine ausdrückliche
Einwilligung nicht nur bei
der Bearbeitung von besonders
schützenswerten
Personendaten sondern
auch bei einem Profiling
mit hohem Risiko durch
eine private Person, eingeholt
werden muss.