Das Datenschutzgesetz von 1992 ist in die Jahre gekommen und wird einer Totalrevision unterzogen. Im vergangenen Herbst haben beide Räte des Parlaments dem Entwurf zugestimmt. Mitte Januar 2021 ist die Referendumsfrist ungenutzt abgelaufen. Damit könnte das neue Datenschutzgesetz im Laufe des Jahres 2022 in Kraft treten. Im Moment werden die Verordnungen für das neue Datenschutzgesetz ausgearbeitet und in die Vernehmlassung geschickt.
Ziel der Gesetzesrevision
Notwendig wurde die Revision des Gesetzes aus zwei Gründen: Das bestehende Gesetz kann mit der rasanten technologischen Entwicklung nicht mehr mithalten. Es sind Schwächen und Lücken entstanden, die mit dem neuen Gesetz behoben werden sollen. Zudem soll mit der Revision des Gesetzes den Entwicklungen in der Europäischen Union Rechnung getragen und das Gesetz an die Europäische Datenschutz-Grundverordnung (DSGVO) angeglichen werden. Diese ist seit Mai 2018 in Kraft.
Das revidierte Datenschutzgesetz soll die Aufsicht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) über private und bundesbehördliche Datenbearbeiter stärken. Sein Repertoire an Aufsichts- und Arbeitsinstrumenten wird der aktuellen digitalen Realität angepasst und die Wirtschaft wird neue Meldepflichten wahrzunehmen haben.
Was ist neu?
Mit der Revision des Gesetzes werden nur noch die natürlichen Personen in den Geltungsbereich des Datenschutzgesetzes fallen. Die juristischen Personen wie beispielsweise Aktiengesellschaften werden daraus gestrichen. Damit gleicht die Schweiz den Schutzbereich des Gesetzes dem Europäischen Recht an.
Das Datenschutzgesetz gilt bloss für die Bearbeitung von Personendaten durch Bundesbehörden und Private. Die Datenbearbeitung durch kantonale Behörden fällt unter die kantonalen Datenschutzgesetze.
Funktion der Datenschutzberatenden
Neu können Unternehmen eine Datenschutzberaterin oder einen -berater ernennen. Diese Person überwacht, ob die Datenschutzvorschriften innerhalb des Unternehmens eingehalten werden und schult die Verantwortlichen. Diese Funktion innerhalb eines Unternehmens zu schaffen, ist jedoch freiwillig.
Bisher bestand die Pflicht, ein Register der Datensammlungen zu führen. Neu ist dies nicht mehr nötig. Es wird abgelöst von der Pflicht, ein Verzeichnis der Bearbeitungstätigkeiten von Daten zu führen. Im Moment sind diesbezüglich Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitenden und geringerem Risiko von Persönlichkeitsverletzungen vorgesehen.
Datenschutz-Folgenabschätzung
Neu eingeführt wird die Datenschutz-Folgenabschätzung. Diese orientiert sich massgeblich am europäischen Recht. Ergibt die Datenschutz-Folgenabschätzung, dass Datenbearbeitungen trotz Schutzmassnahmen ein hohes Risiko für die Persönlichkeit einer Person bergen, so muss der Unternehmensverantwortliche die Stellungnahme des EDÖB einholen. Davon befreit sind diejenigen Unternehmen, die eine Datenschutzberaterin oder einen -berater ernannt und für die Datenbearbeitung konsultiert haben.
Personendaten ins Ausland exportieren
Der Bundesrat wird mit der Revision des Datenschutzgesetzes eine verbindliche Liste derjenigen Staaten erstellen, deren Gesetzgebung ein angemessenes Datenschutzniveau gewährleistet. In die auf der Liste aufgeführten Staaten dürfen neu Personendaten exportiert werden. Davon darf abgewichen werden, wenn eine ausdrückliche Bewilligung der betroffenen Personen vorliegt.
Sanktionsmöglichkeiten
Neu hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage grössere Kompetenzen. Er kann nicht nur wie bisher Massnahmen empfehlen, sondern auch Verwaltungsmassnahmen verordnen. Jedoch kann er nach wie vor keine Bussen und Sanktionen aussprechen, diese Kompetenz liegt bei den Strafverfolgungsbehörden der Kantone. Er hat aber ein Anzeigerecht und kann als Privatkläger auftreten.
Schützenswerte Daten
Im revidierten Datenschutzgesetz wird ausserdem der Katalog der besonders schützenswerten Personendaten um biometrische und genetische Daten erweitert. Zu ihrer Bearbeitung gelten strengere Anforderungen als zu normalen Personendaten. Unter Umständen bedarf es dazu einer ausdrücklichen Bewilligung.
Konkrete Auswirkungen
Grundsätzlich darf der Arbeitgeber Daten über Arbeitnehmende nur bearbeiten, wenn sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Dies gilt bereits mit dem bestehenden Gesetz.
Doch was ändert sich mit dem neuen Gesetz für die Unternehmen und für’s Recruiting? Unternehmen, welche die Anforderungen der neuen Datenschutz-Grundverordnung (DSGVO) der EU befolgen, müssen nicht mehr viele Massnahmen ergreifen. Denn die Revision gleicht sich hauptsächlich an den europäischen Standard an. Es sind vor allem drei wichtige Massnahmen, die im Personalbereich umzusetzen sind.
Art der Datenbeschaffung
Mit einer Datenschutz-Folgenabschätzung stellt das verantwortliche Unternehmen fest, ob eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person nach sich ziehen können. Was ein ‘hohes Risiko’ ist, wird allerdings nicht abschliessend definiert.
Die Datenschutz-Folgenabschätzung beschreibt die die Art und Weise, wie Unternehmen die Daten ihrer Mitarbeitenden und Bewerbenden einholen und überprüfen. Eingehalten werden müssen auch die Zweckbestimmung der Daten, die Notwendigkeit und die Verhältnismässigkeit, etwa zur Speicherdauer. Überdies muss in einer technischen Studie die Datensicherheit und die Auswirkungen der Daten für das Privatleben festgehalten werden. Eine entsprechende Beurteilung zur Sicherheit der Datenbearbeitung kann eine unabhängige Zertifizierungsstelle beibringen.
Wird die Datenbeschaffung, also beispielsweise das Einholen von Betreibungs- oder Strafregisterauszügen von Bewerbenden an einen dritten Anbieter ausgelagert, so muss sichergestellt sein, dass der Schutz und die Privatsphäre der Betroffenen gewahrt bleibt und die vorherige Zustimmung der Betroffenen eingeholt wird.
Datenschutzberater ernennen
Künftig wird ein Datenschutzberater, der gemeinhin auch als DPO (Data Protection Officer) bezeichnet wird, die Verantwortlichen in den Unternehmen beraten, wie in heiklen Situationen mit Personendaten umgegangen werden darf. Dies betrifft nicht nur die Mitarbeitenden, sondern auch Personen, die sich bei einem Unternehmen beworben haben und den Job nicht erhalten haben.
Sie dürfen beispielsweise Einsicht in ihr Dossier verlangen, in dem auch die Referenzauskünfte sind, die vielleicht dazu führten, dass die Person nicht eingestellt wurde. Ein DPO kann Sie auch unterstützen im Umgang mit den personenbezogenen und deshalb besonders schützenswerten Daten eines Talent Pools. Welche Daten dieser Personen dürfen in welcher Art und Weise bearbeitet werden? Hier lohnt sich das Investment in Fachwissen, um als verantwortliche Person eines Unternehmens die gesetzlichen Vorgaben zu befolgen.