Künftig soll es eine Meldepflicht für Datenschutzverletzungen geben und generell ist zu beobachten, dass der Ruf nach stärkeren Regulierungen lauter wird.
Datenschutz – wo geht es hin? (2/2)
Der Datenschutz und die dazugehörigen Bestimmungen sind derzeit in aller Munde. Ein detaillierter Pflichtenkatalog hilft bei der Orientierung und die Experten der Wenger & Vieli AG geben eine Einschätzung zum Thema ab.
Pflichtenkatalog gibt Orientierung
Für datenbearbeitende Unternehmen sollen die Sorgfaltspflichten, welche im geltenden Recht nur allgemein geregelt sind, mittels detailliertem und umfangreichem Pflichtenkatalog ausgebaut werden. So muss im Falle einer Datenbearbeitung, die voraussichtlich zu einem erhöhten Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt, vorgängig eine Datenschutz-Folgenabschätzung (Privacy Impact Assessment) durchgeführt werden.
Sodann soll eine Meldepflicht für Datenschutzverletzungen (unbefugte Datenbearbeitung oder Datenverlust) eingeführt werden. Diese greift allerdings nicht, wenn die Verletzung des Datenschutzes voraussichtlich nicht zu einem Risiko für die Persönlichkeit und die Grundrechte der betroffenen Person führt. Die Prinzipien Data Privacy by Default und Data Privacy by Design sind einzuhalten. Es besteht also die Pflicht, angemessene Massnahmen zu treffen, die das Risiko von Verletzungen der Persönlichkeit oder der Grundrechte verringern beziehungsweise diesen vorbeugen. Weiters besteht die Pflicht, mittels geeigneter Voreinstellungen sicherzustellen, dass standardmässig nur diejenigen Personendaten bearbeitet werden, die für den jeweiligen Verwendungszweck erforderlich sind. Datenbearbeitungen unterliegen einer Dokumentationspflicht und es besteht eine Informationspflicht bei Bekanntgabe an Dritte.
Strengere Sanktionen bei Datenschutzverletzungen
Zur Verbesserung der Durchsetzung werden die Kompetenzen der Aufsichtsbehörde erweitert. Auch wird der gerichtliche Zugang für die betroffenen Personen erleichtert. Strengere Sanktionen bei Datenschutzverletzungen (namentlich substantielle Bussen) sollen diese Ziele untermauern. Eher wider Erwarten hat der Bundesrat in seinem Entwurf auf die Einführung von Verwaltungssanktionen verzichtet, dafür aber die strafrechtliche Verantwortung der mit Datenbearbeitungen befassten natürlichen Personen mit Bussen bis zu fünfhunderttausend Franken ausgebaut und verschärft.
Dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten hingegen wurden zusätzliche Untersuchungs- und Verfügungskompetenzen eingeräumt, die zu einer erhöhten Kontrolle von Datenbearbeitungen führen dürfte. So soll der EDÖB neu selbständig Verfügungen erlassen können, deren Nichtbeachtung mit hohen Bussen sanktioniert werden kann.
Einschätzung zur Entwicklung
Insgesamt ist der Bundesrat in seinem Entwurf unserer Meinung nach über das Ziel der Abgleichung mit der SEV 108 und der EU-DSGVO hinaus geschossen. Betrachtet man den Entwurf zum revidierten DSG, besteht die Gefahr, dass im Bereich Datenschutz eine Überregulierung erfolgt, welche Unternehmen mit umfangreichen Compliance-Aufgaben belasten. Diese stellen insbesondere für mittlere und kleinere Unternehmen eine organisatorische und finanzielle Bürde dar. Gerade die oben beschriebenen Sorgfaltspflichten erhöhen den Aufwand der Datenbewirtschaftung.Die Prinzipien des Privacy by Design und Privacy by Default können erhebliche Auswirkungen auf die Werbeaktivitäten eines Unternehmens haben.
Personenbezogene Datenbearbeitungen rechtzeitig analysieren
Entsprechend wird eine grosse Anzahl an kritischen Eingaben im Rahmen des Vernehmlassungsverfahrens erwartet. Vor diesem Hintergrund wird die weitere Diskussion im Rahmen der Auswertung der Vernehmlassungen und der parlamentarischen Beratungen spannend bleiben. Aufgrund der mit einer Datenschutzverletzung verbundenen Sanktionsmöglichkeiten sind Unternehmen gut beraten, die personenbezogenen Datenbearbeitungen in ihren Betrieben rechtzeitig zu analysieren. So sind sie auf die kommenden strengeren Informations- und Transparenz- und Sorgfaltspflichten vorbereitet. Die Analyse der unternehmensinternen Datenbearbeitungsvorgänge und der damit verbundenen Risiken für die von der Datenbearbeitung betroffenen Personen, sowie die Implementierung der zur Einhaltung der datenschutzrechtlich notwendigen Compliance-Prozesse beansprucht erfahrungsgemäss Zeit. Dies sollte besser nicht unter Zeitdruck erfolgen müssen.
>> zu Teil 1 der Artikelreihe «Datenschutz - wo geht es hin?»
(Bildquelle: © AKodisinghe/iStockphoto)
