Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Das neue Schweizer Datenschutzgesetz

10/2020 – Fachartikel Swiss Infosec AG

Eckpunkte zur Revision des schweizerischen Datenschutzgesetzes

1     Ausgangslage

Am 25. September 2020 haben National- und Ständerat dem Entwurf zur Totalrevision des Datenschutzgesetzes (DSG) zugestimmt. Vom Fall eines erfolgreichen Referendums abgesehen, bei dem das Volk die Vorlage verwerfen würde, steht der Inkraftsetzung des neuen Schweizer Datenschutzgesetzes somit nichts mehr im Weg. Das dürfte frühestens Ende 2021 der Fall sein. Eine Übergangsfrist ist nicht mehr vorgesehen, das neue Datenschutzgesetz würde somit mit Inkrafttreten sofort gelten.

Das schweizerische Datenschutzrecht soll der Europäischen Datenschutzgrundverordnung (DSGVO) angeglichen werden. Diese gilt seit dem 25. Mai 2018. Noch immer ausstehend und mit Spannung zu erwarten ist die Überprüfung der EU-Kommission, ob aus ihrer Sicht der Datenschutz in der Schweiz noch angemessen ist.

2     Einige der wichtigsten Eckpunkte zum neuen DSG

  • Das DSG wird auf Daten juristische Personen nicht mehr anwendbar sein und beschränkt sich somit auf den Schutz der Daten natürlicher Personen.
  • Die Führung eines Verzeichnisses der Datenbearbeitungen wird für Unternehmen obligatorisch sein, die mindestens 250 Mitarbeitende beschäftigen. Für Unternehmen mit weniger Angestellten und geringen Risiken wird der Bundesrat ermächtigt Ausnahmeregelungen zu erlassen.
  • Privacy by Design und Privacy by Default werden gesetzlich verankert.
  • Eine weitreichende Informationspflicht über Datenbearbeitungen mit gewissen Ausnahmen (aber nicht nur generell bei unverhältnismässigem Aufwand) wird eingeführt.
  • Neu hinzukommt die Durchführung einer proaktiven Datenschutz-Folgenabschätzung für Bearbeitungen, die ein hohes Risiko bergen (insbesondere bei Verwendung neuer Technologien).
  • Verletzungen der Datensicherheit sind zukünftig dem EDÖB zu melden.
  • Es wird ein Recht auf Datenportabilität eingeführt. Jede Person kann demnach verlangen, ihr gewisse sie betreffende Personendaten in einem gängigen elektronischen Format herauszugeben, oder diese Daten einem anderen Unternehmen zu übergeben.
  • Gewerkschaftliche Ansichten oder Tätigkeiten und Massnahmen über soziale Hilfe fallen weiterhin in die Kategorie der besonders schützenwerten Personendaten; neu dazu kommen biometrische und genetische Daten, unabhängig davon, ob sie «eine natürliche Person eindeutig identifizieren» oder nicht.
  • Bis zuletzt im Parlament heftig umstritten, soll der Begriff «Profiling mit hohem Risiko» doch ins DSG aufgenommen werden. Als Profiling mit hohem Risiko gilt, wenn Daten so verknüpft werden, dass eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person möglich wird (was dem heutigen Persönlichkeitsprofil entspricht).
  • Für die Bearbeitung besonders schützenswerter Personendaten und das Profiling mit hohem Risiko muss die Einwilligung ausdrücklich erfolgen, ohne dass die anderen Rechtsfertigungsgründe deswegen irrelevant werden. Ist für das Bearbeiten «normaler» Personendaten eine Einwilligung erforderlich, so hat sie nach angemessener Information freiwillig zu erfolgen.
  • Es gelten strafrechtliche Sanktionen in der Höhe von bis maximal CHF 250’000. Mit einer Busse bestraft werden kann neu, wer die Mindestanforderungen an die Datensicherheit nicht einhält. Gleichermassen strafbar ist auch eine unzulässige Auslandsübermittlung, eine nicht den Vorgaben entsprechende Auftragsbearbeitung oder die Verletzung der Informationspflichten. Nach wie vor können nur vorsätzlich handelnde natürliche Personen, namentlich (aber nicht nur) die Führungskräfte eines Unternehmens, juristisch belangt werden.
  • Auch für ausländische Unternehmen, die auf dem schweizerischen Markt tätig sind, soll das DSG zukünftig explizit gelten; gewisse ausländische Unternehmen sollen einen Vertreter in der Schweiz benennen.

3     Nützliche Hinweise und Links

Den Schlussabstimmungstext finden Sie hier:
https://www.parlament.ch/centers/eparl/curia/Schlussabstimmungstext.pdf

Alle Beiträge zur Revision des DSG (Geschäfts-Nr. 17.059) finden Sie hier:
https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20170059

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.  

Swiss Infosec AG; 30.09.2020

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

Kategorie: Datenschutz | Fachartikel Swiss Infosec AG
Dimitri Korostylev
Head of Legal & Data Privacy Consulting
Anfrage
Dimitri Korostylev
Head of Legal & Data Privacy Consulting
Anfrage

E-Evidence-Verordnung

Blindes Vertrauen gegenüber Polizeibehörden

Die Überwachung unseres digitalen Lebens boomt. Die globalen Proteste der vergangenen Monate gegen die Diskriminierung von Schwarzen und People of Color durch die Polizei haben dabei gezeigt, welche zentrale Rolle digitale Technologien für die Antwort der Polizeibehörden auf soziale Bewegungen spielen. Über die Vielzahl existierender Überwachungswerkzeuge wie Drohnen, Gesichtserkennung, Kameraüberwachung und Standorterfassung hinaus, spielen Internetunternehmen daher in den Augen der Behörden – auch europäischer Polizeien – eine wichtige Rolle als Informationsquelle.

Die Rolle von Facebook und Co. ist so groß, dass man in Polizeikreisen gar das Mantra zu hören bekommt, die Digitalkonzerne seien unverzichtbare Partner im Kampf gegen Kriminalität. Es verwundert daher nicht, dass europäische Strafverfolgungsbehörden – von der lokalen Polizei bis zur EU-Polizeibehörde Europol – erheblichen Druck auf ihre Regierungen ausüben, damit diese die Zugriffsregeln für unsere persönlichen Daten immer weiter lockern. Dabei ist der Polizei der Datenzugriff so wichtig, dass zuweilen grundlegende Schutzmechanismen des Rechtsstaates links liegen gelassen werden.

Daten in Zukunft an jede Polizeibehörde der EU

Der neueste Vorstoß in diese Richtung ist die sogenannte E-Evidence-Verordnung, mit vollem Namen: „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“. Diese Verordnung, die die EU-Kommission 2017 vorgeschlagen hat, zielt eben darauf ab, den Zugriff der Behörden auf private Daten von Bürger*innen zu vereinfachen. Dafür will die EU-Kommission die fundamentalen Leitplanken aufweichen, die normalerweise den missbräuchlichen Zugriff auf sensible Nutzer*innen-Daten verhindern sollen.

Mehr noch: Diese Aufweichung soll in Zukunft grenzüberschreitend stattfinden. Die E-Evidence-Verordnung sieht vor, dass Internetunternehmen persönliche Daten ihrer Nutzer*innen an jede Strafverfolgungsbehörde in der EU herausgeben müssen. Die Behörde des Landes, in dem das Unternehmen seinen Sitz hat, soll gar keine Möglichkeit mehr bekommen, die Legalität solcher Datenabfragen zu überprüfen. Die Legalitätsprüfung läge dann allein bei Unternehmen wie Facebook oder Google.

Die E-Evidence-Verordnung würde damit neue Möglichkeiten für aufdringliche Überwachung und andere Verletzungen der Bürgerrechte eröffnen. Denkbar wäre etwa die Identifizierung, Verfolgung und präventive Verhaftung von Koordinatoren von Protestkundgebungen auf Facebook oder von Personen, die friedliche Protestaktionen per E-Mail planen. Die Polizeibehörden versuchen zunehmend, die Identitäten von Menschen zu erfassen, die an sozialen Bewegungen teilnehmen – wenn möglich, noch bevor sie es tun. Aus dieser Perspektive ist es nur logisch, dass die Demonstranten in Hongkong es vermieden haben, U-Bahn- und Kreditkarten zu benutzen, die mit ihrer Identität in Verbindung stehen.

Regelung lädt zu Missbrauch ein

Man muss gar nicht die offenkundigen Menschenrechtsverletzungen amerikanischer Polizisten im Kontext der Black-Lives-Matter-Demonstrationen bemühen, um zu sehen, wo das Problem liegt. Es reicht, sich mit ungarischen Journalisten oder polnischen LGBQT-Aktivisten zu unterhalten, um zu verstehen, wie groß das Missbrauchspotenzial eines solchen EU-weit schrankenlosen Datenzugriffsrechts ist. In beiden Ländern untergräbt die jeweilige Regierung mit viel Verve den Rechtsstaat und die freie Presse, um missliebige Berichterstattung und Kontrolle durch höchste Gerichte zu verhindern.

Man denke zudem an die regelmäßigen Rechtsbrüche in deutschen Polizeibehörden: In Mecklenburg-Vorpommern hat ein Polizist die Telefonnummer eines minderjährigen Missbrauchsopfers abgegriffen, um ihm sexuelle Avancen zu machen. In Hamburg haben gleich mehrere Polizeibeamte unberechtigt die privaten Kontaktdaten der Journalistin Hengameh Yaghoobifarah abgefragt, die Drohbriefe erhalten hat. In Frankfurt war es die Anwältin Seda Başay-Yıldız, die rechtsradikale Drohungen per Post bekam – auch nach einem eigentlich geheimen Wohnsitzwechsel.

Ohne ordnungsgemäße Regulierung lädt eine umfassende Überwachung zum potenziellen Machtmissbrauch ein. Das hat das Bundesverfassungsgericht am 17. Juli festgestellt. Die bestehenden Gesetze, nach denen die Bundespolizei im Rahmen von Ermittlungen bei Telekommunikationsanbietern personenbezogene Daten (etwa Personenname, Telefonnummern, Haus- oder IP-Adressen und Geburtsdatum) einholen kann, gewährleisteten den Schutz der Privatsphäre und der personenbezogenen Daten nicht ausreichend. Dadurch habe die deutsche Polizei heute „übermässigen Zugang“ zur Mobil- und Internetkommunikation der Bürger*innen.

Aber auch in anderen europäische Ländern könnten solche Zugriffsrechte missbraucht werden: Frankreich etwa hat seit 2010 mehrmals die Macht der Polizei ausgeweitet, um die präventive Festnahme von Demonstranten zu ermöglichen und deren angebliche Intention – nicht die Tat selbst – zu bestrafen, Gewalt auszuüben oder Sachschaden anzurichten. Diese Gesetze wurden zur Unterdrückung von Klimaschutz-Aktivisten und der Gelbe-Westen-Bewegung eingesetzt.

Blindes Vertrauen gegenüber Behörden in 27 Staaten

Mit der E-Evidence-Verordnung setzt die EU-Kommission auf blindes Vertrauen gegenüber den Strafverfolgungsbehörden der 27 Mitgliedstaaten – heute und in der Zukunft. Sollte ein EU-Land noch weiter seinen Rechtsstaat aushöhlen, bietet die Verordnung keinerlei Schutz, selbst im EU-Ausland nicht. Egal, welche verfassungsrechtlichen Schutzmechanismen andere Länder haben mögen, E-Evidence würde diese Checks und Balances einfach aushebeln und die Verfolgung von Aktivisten, das Aufdecken von Whistleblowern und journalistisch geschützten Quellen oder den illegitimen Zugriff auf Gesundheitsdaten ermöglichen.

Diese Woche wird der Entwurf für die E-Evidence-Verordnung nach der Corona-bedingten Pause wieder im zuständigen Ausschuss des Europäischen Parlaments verhandelt. Der aktuelle Text der Berichterstatterin Birgit Sippel (SPD) hat sich im Gegensatz zum ursprünglichen Vorschlag der EU-Kommission zwar verbessert, ist aber bei weitem nicht stark genug, um die genannten Gefahren zu bannen. Daher hat eine breite Koalition aus Anwalts- und Wohlfahrtsverbänden, europäischen Internetunternehmen, Journalisten, Medienvertretern und Nichtregierungsorganisationen einen offenen Brief an die Abgeordneten gerichtet – mit der Aufforderung, in der E-Evidence-Verordnung rechtsstaatliche Mindeststandards zu schützen.

Netzpolitik.org, Chloé Barthélémy; 16.09.2020

http://creativecommons.org/licenses/by-nc-sa/4.0/

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO als DPO und BDSV.  

Swiss Infosec AG; 02.10.2020

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

Kategorie: Datenschutz
© Swiss Infosec AG 2026