Die wichtigsten Themen des Jahres 2021 im Zusammenhang mit dem Schutz von Personendaten auf einen Blick: Revision Datenschutzgesetz und deren Verordnung; Stand Erneuerung des Angemessenheitsbeschlusses, Neue EU-Standardvertragsklauseln; Übermittlung Personendaten in Land mit unsicherem Datenschutzniveau.
Revision Datenschutzgesetz und deren Verordnung
Nach knapp vierjährigem Gesetzgebungsprozess verabschiedete das Parlament Ende September 2020 die Revision des Schweizer Datenschutzgesetzes (revDSG). Die Referendumsfrist ist am 14. Januar 2021 ungenutzt abgelaufen. Das revDSG führt zu zahlreichen Angleichungen an die EU-Datenschutzgrundverordnung (DSGVO), behält aber weiterhin eine eigene Grundkonzeption und weicht auch in diversen anderen Punkten von der DSGVO ab.
Ausführung
Das revDSG sieht strafrechtliche Sanktionen gegen Einzelpersonen in Form einer Busse von bis zu CHF 250’000.– vor. Im Gesetzgebungsverfahren wurde zum Ausdruck gebracht, dass strafrechtlichen Sanktionen hauptsächlich auf Leitungspersonen und nicht auf die ausführenden Mitarbeiter abzielen. Zugleich wurde aber nicht gänzlich ausgeschlossen, dass es auch Fälle geben kann, in welchen die Sanktion Mitarbeitern ohne Leitungsfunktion auferlegt könnte. Bei Widerhandlungen, bei denen höchstens eine Busse von CHF 50’000.– in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismässig wäre, kann schliesslich auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Busse verurteilt werden. Darüber hinaus kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen. Auch wenn der EDÖB selbst keine Sanktionen anordnen kann, drohen bei Missachtung einer Anordnung des EDÖB, bspw. bei der Weiterbearbeitung von Daten trotz Verbot, Strafsanktionen in der gleichen Höhe. Möglich sind weiterhin auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz.
Weiteres Vorgehen
Damit das revDSG in Kraft treten kann, muss die Verordnung zum Bundesgesetz über den Datenschutz (VDSG) angepasst werden. Sie soll gleichzeitig mit dem revDSG in Kraft treten. Am 23. Juni 2021 hat der Bundesrat die Vernehmlassung zum Entwurf der Verordnung zum revDSG (E-VDSG) eröffnet. Die Vernehmlassungsfrist dauerte bis zum 14. Oktober 2021. Es bleibt abzuwarten, inwiefern der Entwurf vom Bundesamt für Justiz überarbeitet wird. Aufgrund der Diskussionen rund um den E-VDSG rechnet die Branche damit, dass das revDSG erst auf den 1. Januar 2023 in Kraft treten wird. Da im revDSG keine Übergangsfrist vorgesehen ist, wird es mit Inkrafttreten sofort gelten.
Empfehlung
Vor diesem Hintergrund empfiehlt es sich, die vorgesehenen Massnahmen rasch weiter voranzutreiben. Da sich die AEW im bisherigen Prozess zur Erarbeitung der für die Umsetzung des Datenschutzes notwendigen internen Grundlagen stets an den neusten Versionen der revDSG orientiert hat, ist sie diesbezüglich auf gutem Weg. Was es zu tun gibt bis zum Inkrafttreten des revDSG im Blogbeitrag vom Juni 2021.
Stand Erneuerung des Angemessenheitsbeschlusses
Im Sinne der Europäischen Union (EU) bzw. der Europäischen Datenschutz-Grundverordnung (DSGVO) gilt die Schweiz als Drittland. Jedoch liegt für die Schweiz ein Angemessenheitsbeschluss der EU-Kommission aus dem Jahre 2000 vor. In welcher der Schweiz ein der EU gleichwertiges Datenschutzniveau attestiert wird. Somit dürfen Personendaten ohne weitere Schutzvorkehrungen in die Schweiz übermittelt werden. Weiterhin ausstehend ist der Entscheid der EU-Kommission auf die weitere Anerkennung der Äquivalenz der Schweizer Datenschutz-Gesetzgebung. Ohne bestehenden Angemessenheitsbeschluss müsste der Datenverkehr zwischen der Schweiz und der EU/dem EWR im Einzelfall mit „geeigneten Garantien“ abgesichert werden, in der Regel mit sogenannten EU-Standardvertragsklauseln. Der Entscheid der EU-Kommission wird deshalb mit Spannung erwartet.
EDÖB anerkennt die neuen EU-Standardvertragsklauseln (SCC)
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) anerkennt grundsätzlich die neuen SCC. In seiner Stellungnahme zeigt er auf, welche Anpassungen und Ergänzungen notwendig sind, um den schweizerischen Belangen Rechnung zu tragen. Er unterscheidet dabei zwischen Datenübermittlungen, die nur dem DSG unterstehen, und solchen, die neben dem DSG auch der DSGVO unterstehen. Der EDÖB hat hierzu eine ausführliche Stellungnahme veröffentlicht. Die bisherigen SCC durften noch bis zum 27. September 2021 verwendet werden. Danach dürfen sie noch während einer Übergangsfrist bis zum 31. Dezember 2022 in Gebrauch bleiben, sofern sich die „Datenbearbeitung“ und der Vertrag in der Zwischenzeit nicht wesentlich ändern. Mehr hierzu im Blogbeitrag EDÖB anerkennt die neuen EU-Standardvertragsklauseln.
Anleitung des EDÖBs zur Prüfung der Zulässigkeit von Datenübermittlungen von personenbezogenen Daten ins Ausland
Der EDÖB hat am 18. Juni 2021 eine Anleitung veröffentlicht, welche den Datenbearbeitern die Prüfung der Zulässigkeit von Datenübermittlungen von Personendaten ins Ausland erleichtern soll. Anhand eines Schemas erläutert diese Anleitung den Anwendungsfall des Datentransfers ins Ausland, wenn dort eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet, und dieser Mangel durch hinreichende Garantien kompensiert werden muss. Mehr hierzu im Blogbeitrag To Do’s bis zum Inkrafttreten vom neuen Datenschutzgesetz
Exkurs: Vernehmlassung Revision Data Policy des Verbands Schweizerischer Elektrizitätsversorgungsunternehmen
Zur Sicherstellung eines geordneten und rechtskonformen branchenweiten Umgangs mit Daten hat der Verband der Schweizerischen Elektrizitätsversorgungsunternehmen (VSE) im Jahr 2017 eine Data Policy erarbeitet. Die Data Policy bildet ein gesamtheitliches Framework für den Datenaustausch zwischen Marktteilnehmern bzw. Rollen in der Energielandschaft. Sie enthält die Grundsätze für relevante Fragestellungen zu Datennutzung, Datenschutz, Datensicherheit sowie Daten-Governance und berücksichtigt insbesondere die Vorschriften des Gesetzes über die Stromversorgung (StromVG) sowie deren Verordnung (StromVV). Der gesamten Branche dient die Data Policy als wichtiges Instrument zur Umsetzung der Anforderungen an den Datenschutz. Auch die AEW hat ihre Massnahmen danach ausgerichtet. In Anbetracht des revDSG wurde das Branchendokument des VSE überarbeitet und ist nun bis Mitte Januar 2022 in Vernehmlassung. Es wird im Laufe des nächsten Jahres in Kraft treten. Weiteres zum Datenschutz in Smart Grids in meinem Blogbeitrag vom Mai 2021.