Datenbearbeitung bleibt zulässig

13. November 2020 agvs-upsa.ch – Das neue Datenschutzgesetz (DSG) bringt einige Änderungen mit sich. So werden beispielsweise die Personendaten stärker geschützt. AGVS-Juristin Olivia Solari erklärt, was sich mit dem Gesetz für die Garagisten ändert. Der AGVS bietet zudem ein Webinar an.


Quelle: Istock

sco. Frau Solari, das neue Datenschutzgesetz ist im Parlament verabschiedet. Der AGVS hat sich stark engagiert. Wie zufrieden ist er mit dem Resultat?
Olivia Solari: Mit Blick auf den Angemessenheitsbeschluss der EU ist es wichtig, dass die Gesetzesrevision erfolgreich abgeschlossen werden konnte. Der Beschluss ist zwingend notwendig, um den Datentransfer aus der EU in die Schweiz weiterhin sicherzustellen. Dieser ist aus dem heutigen Geschäftsverkehr nicht mehr wegzudenken. Für den erfolgreichen Abschluss der Revision waren – wenig überraschend – einige Kompromisse erforderlich. Immerhin hat sich am Grundsatz nichts geändert, wonach Datenbearbeitungen zulässig sind, solange die Bearbeitungsgrundsätze eingehalten werden. Trotzdem sind neue Informations- und Dokumentationspflichten sowie weitere Governance- und Compliance-Regelungen zu beachten. Das wird für die Unternehmen zu einem erhöhten administrativen Aufwand führen.

Unter anderem werden Personendaten stärker geschützt. Was heisst das für den Garagisten? Darf er die «History» seiner Kunden mit Geburtstagen, Informationen über Kinder, Haustiere, Ferien etc. nicht weiterführen?
Das revidierte Datenschutzgesetz erlaubt – wie gesagt – weiterhin die Bearbeitung von Personendaten unter Einhaltung der Bearbeitungsgrundsätze. Dazu gehören unter anderem Transparenz, Treu und Glauben, Verhältnismässigkeit und Datensicherheit. Neu müssen die Garagisten die betroffenen Personen, zum Beispiel ihre Kunden, über gewisse Aspekte der Bearbeitung informieren – wie beispielsweise über deren Zweck. Die Garagisten müssen ihre Datenbearbeitungen grundsätzlich auch in einem Verzeichnis mit Mindestangaben dokumentieren, sofern keine vorgesehene Ausnahme vorliegt. 

Eine Knacknuss war das sogenannte Profiling, also die automatisierte Bearbeitung von Personendaten, um bestimmte persönliche Aspekte zu bewerten. Was sagt das neue Gesetz dazu?
Profiling ist – wie jede Datenbearbeitung – erlaubt, sofern die Bearbeitungsgrundsätze eingehalten werden. Gemäss neuem DSG besteht grundsätzlich keine Pflicht, im Falle von Profiling eine Einwilligung einzuholen. Eine allenfalls erforderliche Einwilligung für ein «Profiling mit einem hohen Risiko» muss dafür «ausdrücklich» sein.

Sie sprechen es an: Unterschieden wird zwischen «normalem Profiling» und ­«Profiling mit hohem Risiko». Wo liegen die Unterschiede?
Als «normales Profiling» gilt gemäss gesetzlicher Definition jede Art der automatisierten Bearbeitung von Personendaten. Diese besteht darin, dass die Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, zu analysieren oder vorherzusagen. Dazu zählen besonders Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlichen Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel. 

Und «Profiling mit hohem Risiko»?
«Profiling mit hohem Risiko» wird definiert als «normales» Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt. Diese Bewertung führt zu einer Verknüpfung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Damit knüpft das neue Recht an den Begriff des heute geltenden Persönlichkeitsprofils, zu dem jedoch keine umfangreiche Behörden- und Gerichtspraxis besteht. Ich hoffe daher, dass die Verordnung des Bundesrats mit Blick auf die Abgrenzung von «normalem Profiling» und «Profiling mit hohem Risiko» mehr Klarheit schaffen wird.

Ein heisses Thema während der Verhandlungen in den eidgenössischen Räten waren die möglichen Bussen bis zu 250'000 Franken. Wie ist der Stand hier?
Neu können verschiedene vor allem vorsätzliche Verstösse gegen das DSG mit einer Busse von maximal 250 000 Franken sanktioniert werden. Die Busse richtet sich – wie unter geltendem Recht und anders als in der EU – gegen natürliche Personen, also die datenschutzrechtlich fehlbaren Entscheidungsträger.

Und wann tritt das neue DSG in Kraft?
Mit dem Inkrafttreten des revidierten DSG ist aufgrund der Referendumsfrist sowie der noch ausstehenden Ausarbeitung der Verordnung wohl frühestens per 1. Januar 2022 zu rechnen.

Hier gibt es weitere Informationen zum neuen Gesetz.
 
Webinar DSG
Der AGVS bietet in der Business Academy einen halbtägigen Kurs an, an dem die Teilnehmenden die wichtigsten Grundlagen zum neuen Gesetz lernen. Daten, Informationen und Anmeldemöglichkeiten gibt es online in der AGVS Business Academy.
Feld für switchen des Galerietyps
Bildergalerie

Kommentar hinzufügen

Bild-CAPTCHA
Geben Sie die Zeichen ein, die im Bild gezeigt werden.

Kommentare