Jahresrückblick 2021

Dez 29, 2021

Die wichtigsten Themen des Jahres 2021 im Zusammenhang mit dem Schutz von Personendaten auf einen Blick: Revision Datenschutzgesetz und deren Verordnung; Stand Erneuerung des Angemessenheitsbeschlusses, Neue EU-Standardvertragsklauseln; Übermittlung Personendaten in Land mit unsicherem Datenschutzniveau.

Revision Datenschutzgesetz und deren Verordnung

Nach knapp vierjährigem Gesetzgebungsprozess verabschiedete das Parlament Ende September 2020 die Revision des Schweizer Datenschutzgesetzes (revDSG). Die Referendumsfrist ist am 14. Januar 2021 ungenutzt abgelaufen. Das revDSG führt zu zahlreichen Angleichungen an die EU-Datenschutzgrundverordnung (DSGVO), behält aber weiterhin eine eigene Grundkonzeption und weicht auch in diversen anderen Punkten von der DSGVO ab.

Ausführung

Das revDSG sieht strafrechtliche Sanktionen gegen Einzelpersonen in Form einer Busse von bis zu CHF 250’000.– vor. Im Gesetzgebungsverfahren wurde zum Ausdruck gebracht, dass strafrechtlichen Sanktionen hauptsächlich auf Leitungspersonen und nicht auf die ausführenden Mitarbeiter abzielen. Zugleich wurde aber nicht gänzlich ausgeschlossen, dass es auch Fälle geben kann, in welchen die Sanktion Mitarbeitern ohne Leitungsfunktion auferlegt könnte. Bei Widerhandlungen, bei denen höchstens eine Busse von CHF 50’000.– in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismässig wäre, kann schliesslich auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Busse verurteilt werden. Darüber hinaus kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen. Auch wenn der EDÖB selbst keine Sanktionen anordnen kann, drohen bei Missachtung einer Anordnung des EDÖB, bspw. bei der Weiterbearbeitung von Daten trotz Verbot, Strafsanktionen in der gleichen Höhe. Möglich sind weiterhin auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz.

Weiteres Vorgehen

Damit das revDSG in Kraft treten kann, muss die Verordnung zum Bundesgesetz über den Datenschutz (VDSG) angepasst werden. Sie soll gleichzeitig mit dem revDSG in Kraft treten. Am 23. Juni 2021 hat der Bundesrat die Vernehmlassung zum Entwurf der Verordnung zum revDSG (E-VDSG) eröffnet. Die Vernehmlassungsfrist dauerte bis zum 14. Oktober 2021. Es bleibt abzuwarten, inwiefern der Entwurf vom Bundesamt für Justiz überarbeitet wird. Aufgrund der Diskussionen rund um den E-VDSG rechnet die Branche damit, dass das revDSG erst auf den 1. Januar 2023 in Kraft treten wird. Da im revDSG keine Übergangsfrist vorgesehen ist, wird es mit Inkrafttreten sofort gelten.

Empfehlung

Vor diesem Hintergrund empfiehlt es sich, die vorgesehenen Massnahmen rasch weiter voranzutreiben. Da sich die AEW im bisherigen Prozess zur Erarbeitung der für die Umsetzung des Datenschutzes notwendigen internen Grundlagen stets an den neusten Versionen der revDSG orientiert hat, ist sie diesbezüglich auf gutem Weg. Was es zu tun gibt bis zum Inkrafttreten des revDSG im Blogbeitrag vom Juni 2021.

Stand Erneuerung des Angemessenheitsbeschlusses

Im Sinne der Europäischen Union (EU) bzw. der Europäischen Datenschutz-Grundverordnung (DSGVO) gilt die Schweiz als Drittland. Jedoch liegt für die Schweiz ein Angemessenheitsbeschluss der EU-Kommission aus dem Jahre 2000 vor. In welcher der Schweiz ein der EU gleichwertiges Datenschutzniveau attestiert wird. Somit dürfen Personendaten ohne weitere Schutzvorkehrungen in die Schweiz übermittelt werden. Weiterhin ausstehend ist der Entscheid der EU-Kommission auf die weitere Anerkennung der Äquivalenz der Schweizer Datenschutz-Gesetzgebung. Ohne bestehenden Angemessenheitsbeschluss müsste der Datenverkehr zwischen der Schweiz und der EU/dem EWR im Einzelfall mit „geeigneten Garantien“ abgesichert werden, in der Regel mit sogenannten EU-Standardvertragsklauseln. Der Entscheid der EU-Kommission wird deshalb mit Spannung erwartet.

EDÖB anerkennt die neuen EU-Standardvertragsklauseln (SCC)
Die EU-Kommission hat mit Datum vom 4. Juni 2021 die neuen Standardvertragsklauseln (Standard Contractual Clauses; SCC; deutsch / englisch) veröffentlicht.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) anerkennt grundsätzlich die neuen SCC. In seiner Stellungnahme zeigt er auf, welche Anpassungen und Ergänzungen notwendig sind, um den schweizerischen Belangen Rechnung zu tragen. Er unterscheidet dabei zwischen Datenübermittlungen, die nur dem DSG unterstehen, und solchen, die neben dem DSG auch der DSGVO unterstehen. Der EDÖB hat hierzu eine ausführliche Stellungnahme veröffentlicht. Die bisherigen SCC durften noch bis zum 27. September 2021 verwendet werden. Danach dürfen sie noch während einer Übergangsfrist bis zum 31. Dezember 2022 in Gebrauch bleiben, sofern sich die „Datenbearbeitung“ und der Vertrag in der Zwischenzeit nicht wesentlich ändern. Mehr hierzu im Blogbeitrag EDÖB anerkennt die neuen EU-Standardvertragsklauseln.

Anleitung des EDÖBs zur Prüfung der Zulässigkeit von Datenübermittlungen von personenbezogenen Daten ins Ausland

Der EDÖB hat am 18. Juni 2021 eine Anleitung veröffentlicht, welche den Datenbearbeitern die Prüfung der Zulässigkeit von Datenübermittlungen von Personendaten ins Ausland erleichtern soll. Anhand eines Schemas erläutert diese Anleitung den Anwendungsfall des Datentransfers ins Ausland, wenn dort eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet, und dieser Mangel durch hinreichende Garantien kompensiert werden muss. Mehr hierzu im Blogbeitrag To Do’s bis zum Inkrafttreten vom neuen Datenschutzgesetz 

Exkurs: Vernehmlassung Revision Data Policy des Verbands Schweizerischer Elektrizitätsversorgungsunternehmen

Zur Sicherstellung eines geordneten und rechtskonformen branchenweiten Umgangs mit Daten hat der Verband der Schweizerischen Elektrizitätsversorgungsunternehmen (VSE) im Jahr 2017 eine Data Policy erarbeitet. Die Data Policy bildet ein gesamtheitliches Framework für den Datenaustausch zwischen Marktteilnehmern bzw. Rollen in der Energielandschaft. Sie enthält die Grundsätze für relevante Fragestellungen zu Datennutzung, Datenschutz, Datensicherheit sowie Daten-Governance und berücksichtigt insbesondere die Vorschriften des Gesetzes über die Stromversorgung (StromVG) sowie deren Verordnung (StromVV). Der gesamten Branche dient die Data Policy als wichtiges Instrument zur Umsetzung der Anforderungen an den Datenschutz. Auch die AEW hat ihre Massnahmen danach ausgerichtet. In Anbetracht des revDSG wurde das Branchendokument des VSE überarbeitet und ist nun bis Mitte Januar 2022 in Vernehmlassung. Es wird im Laufe des nächsten Jahres in Kraft treten. Weiteres zum Datenschutz in Smart Grids in meinem Blogbeitrag vom Mai 2021.

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.