32. FFHS-Business Breakfast: Das neue Datenschutzgesetz

Was ändert sich mit welchen Konsequenzen im neuen Datenschutzgesetz? Am 32. FFHS-Business Breakfast beleuchteten unsere Referenten aus Praxis und Wissenschaft die relevanten Aspekte unter Berücksichtigung der digitalen Technologien.

Im ersten Teil stellte Simon Schnetzler, Rechtsanwalt und Dozent an der FFHS im MAS Business Law, das bislang gültige Datenschutzgesetz (DSG) dem neuen gegenüber, das ab 2022 in Kraft treten wird.

Der Treiber einer Revidierung des DSG war/ist die Digitalisierung mit dem Ziel, den Datentransfer insbesondere innerhalb des europäischen Wirtschaftsraumes aufrechtzuerhalten. Es galt, den schweizerischen Datenschutz dem Niveau jenes der EU anzupassen, wobei die Schweiz in einigen Punkten weiterhin liberaler bleibt als die EU.

Die wichtigsten Punkte sind:

• Das Profiling, die dynamische, automatische Verarbeitung von Personendaten, die oft in Verbindung mit KI gebracht wird, was für Unbehagen sorgt.
• Die Informations- und Auskunftspflichten, die den zentralen Pfeiler des Datenschutzes ausmachen und bei welchem der Grundsatz der Transparenz und Erkennbarkeit gilt. Neu gelten das angepasste Auskunftsrecht und die aktive Informationspflicht als genereller Grundsatz statt nur bei Risikodaten.
• Das Verarbeitungsverzeichnis, das neu eine Übersicht umfasst, welche Daten, für welchen Zweck und in welcher Form listet.
• Die Sanktionen und die Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB): Leider scheint Datenschutz nur mit Hilfe von möglichen Sanktionen zu funktionieren. Während Bussen in Millionenhöhe wie in der EU nicht zu befürchten sind, sollte man sich jedoch bewusst sein, dass in der Schweiz die Bussen persönlich anfallen. D.h. dass derjenige, der die Daten bearbeitet, persönlich belangt werden kann. Neu fällt darunter auch die Verletzung der Sorgfaltspflichten. Beispielsweise bei illegalem Datentranfer ins Ausland, einer unsorgfältigen Aufbewahrung der Daten, oder einer Verletzung der Datensicherheit. Die Rolle der EDÖB wird in Zukunft viel stärker ausfallen als bislang.

Martin Berweger und Claudia Keller, beide Rechtsanwälte bei der Kanzlei Vieli & Wenger, gingen in ihren Erläuterungen speziell auf den Bereich «Legal Tech» ein und wie diese zum einen helfen können, die neuen und komplexeren Aspekte des DSG umzusetzen und zum anderen, wie sie Treiber von Innovationen darstellen. 

Beim Nutzen digitaler Technologien im Rechtswesen gibt es drei Dimensionen:

• Legal Tech 1.0 beschreibt die Hilfestellung bei Rechtsdienstleistungen, die Technologie wird zur Unterstützung eingesetzt. Ein gutes Beispiel ist Swisslex
• Legal Tech 2.0 geht weiter und ersetzt menschliches Handeln. Beispiele sind SwissAnwalt, das Datenschutzerklärungen generiert oder Smartlaw, das Rechtsdokumente erstellt.
• Legal Tech 3.0 ist die dritte und weitestreichende Dimension und imitiert menschliches Handeln. Beispielsweise gibt es die Anwendung Flightright, die das Entschädigungen von Flugreisenden automatisiert oder SmartContracts, die das blockchainbasierte Vertragswesen darstellen, oder die Due-Diliigence-Prüfungen mit Hilfe von künstlicher Intelligenz.

Möchte man solche digitalisierten Dienstleistungen nutzen, ist es wichtig, die Anbieter dafür genau zu evaluieren, um sicherzustellen, dass die Resultate durch die Nutzung datenschutzkonform sind. Zu den Auswahlkriterien gehören u.a. die Transparenz bei der Datenerhebung, vorliegende Zertifizierungen des Anbieters und Mitarbeit eines Datenschutzberaters.

Des Öfteren fiel der Ausdruck «man kommt am Datenschutz ja nicht vorbei». Frau Keller betonte, dass man das DSG jedoch nicht nur als mühsames Übel, sondern als Chance sehen solle, um Verbesserungen in der Abwicklung von Prozessen und im Umgang mit Kunden, Lieferanten etc. herbeizuführen. Beispielsweise gibt es Ausnahmen beim Bearbeitungsverzeichnis beruhend auf der Grösse des Unternehmens oder dem Risikolevel der Daten. Frau Keller jedoch plädierte für eine grundsätzliche Anwendung, die es dem Unternehmen erlaubt, zu identifizieren, welche Daten man wie ver- und bearbeitet.

Insbesondere sollte man nicht davor scheuen, die o.g. technischen Lösungen in Betracht zu ziehen. Zum Beispiel haben rechtskonforme Einwilligungen zur Datenverarbeitung eine Laufzeit. Bei einer grossen Datenmenge können digitale Technologien dabei helfen, den Überblick über Ablauftermine bzw. dem Einholen der neuen Einwilligung zu behalten.

Die angeregten Diskussionsgruppen im zweiten Teil des Business Breaksfasts legten offen, dass viele Unternehmen sich allein gelassen fühlen und nicht wirklich wissen, wie das Thema anzupacken ist. Vielerorts erschien das dafür notwendige Know-how ein Hindernis. Insbesondere im Hinblick der personellen Haftung der Datenverarbeitenden wird die Mitarbeiterinformation, -sensibilisierung und –schulung einer der wichtigsten Schritte der Unternehmen sein, auf dem Weg zur Datenschutzcompliance.