Worum es geht: der Datenschutz der Zukunft
Mit der Digitalisierung steigen nicht nur die Datenmengen, sondern auch die technologischen Möglichkeiten, die vorhandenen Daten mit Big Data, Machine Learning und künstlicher Intelligenz zu analysieren und zu bearbeiten. Das neue Schweizerische Datenschutzgesetz, das im Herbst 2020 vom Parlament verabschiedet wurde, trägt diesen Entwicklungen Rechnung. Es löst ein Gesetz ab, das aus dem Jahr 1992 stammt – aus einer Zeit also, in der das Internet noch in den Kinderschuhen steckte. «Das neue Datenschutzgesetz greift nun überall dort ein, wo es um die Bearbeitung von Personendaten geht. Bei einer Bank, deren Geschäft datengetrieben und IT-gesteuert ist, schlägt es entsprechend in sehr vielen Bereichen ein», erklärt Jürg Frei, der bei PostFinance das Rahmenprojekt Datenschutz leitet. Zentrale Punkte des neuen Datenschutzgesetzes sind insbesondere:
- Das neue Datenschutzgesetz umfasst nur noch den Schutz natürlicher Personen, was eine Angleichung an relevante, internationale Normen ist.
- Die Informationspflichten gegenüber betroffenen Personen werden sehr viel umfassender und beinhalten Mindestangaben.
- Es gelten zusätzliche Personendaten als besonders schützenswert, wie zum Beispiel genetische und biometrische Daten, mit denen eine Person eindeutig identifiziert werden kann
- Unternehmen ab 250 Mitarbeitenden sind verpflichtet, ein Verzeichnis ihrer Bearbeitungstätigkeiten zu führen.
- Eine Bearbeitung von Personendaten muss so geplant und umgesetzt werden, dass diese von Beginn weg datenschutzkonform erfolgen kann (Privacy by Design).
- Neu besteht ein Recht auf Datenübertragbarkeit: Jede Person kann die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format verlangen.
- Es sind klare Sanktionen definiert, die eine individuelle strafrechtliche Haftung der verantwortlichen Personen vorsehen. Es ist davon auszugehen, dass hier vor allem die Leitungsorgane wie Mitglieder des Verwaltungsrats oder der Geschäftsleitung betroffen sein könnten, bei unsachgemässem Handeln allenfalls auch der Datenschutzberater, wie der Datenschutzbeauftragte neu heisst.