Die Definition «besonders schützenswerten Personendaten” wird erweitert

Neben den bereits bestehenden “besonders schützenswerte” Personenangaben wie beispielsweise Daten bezüglich Gesundheit, Religion oder politische Meinung werden weitere Daten ergänzt, die digital erfasst werden können. Darunter zählen biometrische Daten (Fingerabdruck, Retina-Scan) und genetische Daten.

Profiling ist sehr relevant im neuen DSG

Profiling beinhaltet Daten, die es ermöglichen ein genaues Profil einer Person zu erstellen. Informationen wie beispielsweise Vorlieben und Interessen, Hobbys, wirtschaftliche Lage oder auch der Gesundheitszustand können für zum Beispiel Marketingzwecke eine wichtige Rolle spielen.

Diese Daten dürfen zwar weiterhin verwendet werden, jedoch nur, wenn die Persönlichkeitsrechte nicht verletzt werden. Wenn ein “Profiling mit hohem Risiko” gegeben ist, dann dürfen diese Informationen nur mit einer Einwilligung der betroffenen Person verarbeitet werden.

Privacy-By-Default und Privacy-By-Design nehmen eine besondere Rolle ein

Privacy-by-Design (Datenschutz durch Technikgestaltung) bedeutet für die Entwickler, das Einhalten und den Schutz der Privatsphäre zu gewährleistenden. Dienstleistungen und der Aufbau der Produkte, die personenbezogene Daten sammeln, müssen demnach dem User einen ausreichendne Schutz bieten.  

Privacy by Default (Datenschutz durch Voreinstellung) liefert bereits die nötigen Massnahmen, um die höchste Sicherheitsstufe der Privatsphäre zu ermöglichen. Somit muss der User selsbt nicht aktiv werden, sondern wird mit Hilder der getroffenen Voreinstellugnen ausreichend geschützt.  

“Data Breach Notification” – Benachrichtigungspflicht bei Datenverlust

Datenverluste müssen sofort gemeldet werden. Die Meldung erfolgt an die Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Ausserdem müssen die betroffenen Personen informiert werden, dessen Daten abhandengekommen sind, wenn in dem Fall Persönlichkeits- oder Grundrechte in Gefahr sind.

Informationspflicht wird erweitert

Die Informationpflicht der betroffenen Personen über bestimmte Mindestkriterien wird eingeführt. Unternehmen müssen also mindestens die folgenden Punkte offenlegen:

• Die Identität sowie die Kontaktdaten der Verantwortlichen
• den Bearbeitungszweck
• die Empfänger beziehungsweise die Empfängerkategorie
• Hinweis auf eine mögliche automatische Datenerhebung

Bei einer Weitergabe von Daten ins Ausland sollte die Einwilligung der betroffenen Person vorliegen. Zusätzlich müssen Sie als KMU nachweisen können, dass auch im Zielland alle datenschutzrechtlich notwendigen Bestimmungen eingehalten werden.

DSG bezieht sich nur noch auf natürliche Personen

Für Unternehmen wichtig zu wissen ist, dass die Revision des DSG für Sie bedeutet, dass sie selbst sich als Betrieb, also als juristische Person, nicht mehr auf das Gesetz berufen können. Die Schutzinhalte gelten nur noch für natürliche Personen. Firmen finden ihre Rechte jedoch nach wie vor in Gesetzbüchern, die sich auf das Firmenrecht beziehen. Unternehmen können sich auch an den Inhalten diverser anderer Rechtsgrundlagen wie dem ZGB oder UWG orientieren.

Risikoplanung kann Pflicht sein

Eine wichtige Neuerung im überarbeiteten Datenschutzgesetz (DSG) sind Daten-Folgenabschätzungen. Diese werden in Fällen, in denen die Datenverarbeitung mit hohem Risiko verbunden ist, zur Pflicht.

Bei Daten-Folgenabschätzungen ist es Aufgabe der Verantwortlichen, im Voraus die möglichen Risiken abzuschätzen und Maßnahmen zu ergreifen, um sie zu reduzieren. Das Ziel besteht darin, die zusammenhängenden Gefahren auf ein Minimum zu reduzieren und dies im Zweifelsfall auch nachweisen zu können.