RECHT | STAAT | WIRTSCHAFT
Diese Informationen müssen kostenlos und schriftlich zur Verfügung gestellt werden. Im Falle einer Verweigerung kann die betroffene Person die Angelegenheit einem Richter vorlegen, um den für die Verarbeitung Verantwortlichen zum Erteilen der Auskunft zu zwingen. Das DSG präzisiert auch den Begriff der Persönlichkeitsverletzung in Bezug auf Daten sowie die Voraussetzungen, unter denen das Opfer Persönlichkeitsschutzklagen erheben kann (ZGB 28 ff., siehe oben). Insbesondere nennt er die Gründe für die Aufhebung der Rechtswidrigkeit (vgl. ZGB 28 Abs. 2). Ein überwiegendes Interesse kann z. B. die Tatsache sein, dass die verarbeite- ten Daten im Zusammenhang mit der Erfüllung eines Vertrages (Arbeitsvertrag, Mandat eines Rechtsanwalt usw.) stehen. Eine weitere Rechtfertigung kann z. B. das Recht von Polizei und Gerichten sein, bestimmte Daten (Strafregister, Telekommunikationsregister, Internet-Zugangs- daten usw.) einzusehen oder anzufordern.
DSG 32 sieht auch gewisse Ergänzungen zu Klagen vor, die sich aus dem Zivilgesetzbuch ergeben.
Neues Gesetz über den Datenschutz
Das erste Bundesgesetz über den Datenschutz wurde 1992 verabschiedet. Dreissig Jahre spä- ter hat sich die Lebensweise der Schweizer stark verändert: tägliche Nutzung von Internet und Smartphones, spektakuläre Entwicklung der sozialen Netzwerke, Datenspeicherung via Cloud, Internet der Dinge usw. Vor diesem Hintergrund wurde eine umfassende Überarbeitung des Da- tenschutzgesetzes notwendig. Am 1. September 2023 trat daher eine umfassende Revision des DSG in Kraft, die darauf abzielt, den betroffenen Personen mehr Transparenz zu bieten und damit ihre Rechte über ihre eigenen Daten zu stärken («informationelle Selbstbestimmung»), aber auch, um die Kompatibilität des Schweizer Rechts mit dem europäischen Recht, insbesondere mit der 2016 verabschiedeten Eu- ropäischen Datenschutzverordnung (DSGVO), zu verbessern.
Hier einige der wichtigsten Änderungen, die das neue Gesetz mit sich bringt:
1 Es werden künftig nur noch Daten von natürlichen Personen erfasst, nicht mehr die von ju- ristischen Personen.
2 Genetische und biometrische Daten wurden in die Definition von sensiblen Daten aufgenommen.
3 Die Grundsätze des «Privacy by Design» und des «Privacy by Default» wurden eingeführt. Wie der Name schon sagt, bedeutet das Prinzip «Privacy by Design» (Datenschutz durch Design), dass Entwickler den Schutz und die Achtung der Privatsphäre der Nutzer in die Struktur des Produkts oder der Dienstleistung, das/die personenbezogene Daten sammelt, integrieren müssen. Das Prinzip «Privacy by Default» (Datenschutz durch Voreinstellung) gewährleistet das höchste Sicherheitsniveau, sobald ein Produkt oder eine Dienstleistung in Umlauf gebracht wird, indem alle notwendigen Massnahmen zum Schutz der Daten und zur Einschränkung ihrer Nutzung standardmässig, d. h. ohne Eingreifen der Nutzer, aktiviert wer- den. Mit anderen Worten: Alle Software, Hardware und Dienste müssen so konfiguriert sein, dass sie die Daten schützen und die Privatsphäre der Nutzer respektieren.
4 Es müssen nun Folgenabschätzungen durchgeführt werden, wenn ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
5 Die Informationspflicht wird ausgeweitet: Bei der Erhebung aller personenbezogenen Daten - und nicht mehr nur von sogenannten sensiblen Daten - muss die betroffene Person vorab informiert werden. 6 Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten wird obligatorisch. Die Durch- führungsverordnung sieht jedoch eine Ausnahme für KMU vor, deren Datenverarbeitung ein begrenztes Risiko der Persönlichkeitsverletzung der betroffenen Personen birgt.
7 Bei einer Verletzung der Datensicherheit ist eine rasche Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten erforderlich.
8 Der Begriff Profiling (d. h. die automatisierte Bearbeitung von Personendaten) hat Eingang in das Gesetz gefunden.
28
Powered by FlippingBook