News

Am 12. Januar 2018 hat das Schweizerische Parlament entschieden, die Revision des schweizerischen Datenschutzgesetzes (DSG) in zwei Etappen aufzuteilen. Nun ist am 1. März 2019 zuerst das Schengen-Datenschutzgesetz (SDSG; SR 235.3) in Kraft getreten. Das neue Gesetz setzt die Richtlinie (EU) 2016/680 (kurz „Schengen-Richtlinie“) um und regelt insbesondere die Datenbearbeitungen durch die zuständigen Bundesorgane bei der Schengener Zusammenarbeit. Der Schutz natürlicher Personen bei der Bearbeitung ihrer persönlichen Daten wird damit auch beim internationalen Datenaustausch gestärkt. Mit der Anpassung wird auch die Bekämpfung der internationalen Kriminalität und des Terrorismus sichergestellt (siehe dazu die Medienmitteilung des EDÖB).

Bereits per 1. August 2018 hätten Bund und Kantone ihre Datenschutzgesetze an die neuen Anforderungen des Europarates (Europarats-Konvention 108) sowie der EU (Schengen-Richtlinie) anpassen sollen. Mit dem neuen SDSG erfüllt die Schweiz, zumindest auf Bundesebene und immerhin, den „Schengen-Teil“. Das neue SDSG enthält zudem Begriffe, Datenschutzgrundsätze und Themen, welche ihren Ursprung in der Datenschutz-Grundverordnung (DSGVO) haben und auch in das neue DSG einfliessen werden. Somit erhalten Schweizer Unternehmen wie auch Bürgerinnen und Bürger zumindest einen Anhaltspunkt, in welche Richtung das künftige DSG gehen wird. Seitens Kantone haben erst Bern und Aargau ihre Gesetze entsprechend revidiert.

Der „DSGVO-Teil“ bzw. die Totalrevision des DSG wird im Parlament bzw. dessen Kommissionen weiterhin intensiv beraten. Am 15. September 2017 hat der Bundesrat das totalrevidierte DSG erstmals dem Parlament vorgelegt. Die Weiterbehandlung im Parlament wurde bereits mehrmals verschoben und ist neu für die Herbstsession 2019 vorgesehen. Die Totalrevision des DSG hat insbesondere zum Ziel, den Datenschutz an das Internet-Zeitalter anzupassen und die Stellung der Bürgerinnen und Bürger zu stärken. Mit der Anpassung der Gesetzgebung ans europäische Recht soll zudem sichergestellt werden, dass die grenzüberschreitende Datenübermittlung zwischen der Schweiz und den EU-Staaten ohne zusätzlichen Hürden möglich bleibt (weiterführende Informationen zur Datenschutzgesetz-Revision finden sich beim Bundesamt für Justiz).

Gerade das letztere Ziel des angemessenen Datenschutzniveaus der Schweiz scheint zunehmend gefährdet, weil die EU aktuell die Angemessenheit des Datenschutzes in der Schweiz prüft und ihren Bericht bereits im Mai 2020 vorlegen wird. Es bleibt zu hoffen, dass im Parlament die verbleibenden Kritikpunkte raschmöglichst beraten und bereinigt werden, um den Wirtschaftsstandort Schweiz nicht unnötig zu gefährden.

Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Davon betroffen sind auch viele Schweizer Unternehmen, Organisationen und Vereine. Sie alle stehen entsprechend unter (zeitlichem) Druck. Doch Panik ist fehl am Platz. Prüfen Sie jetzt, ob Sie die wichtigsten Datenschutzbestimmungen, welche bereits heute nach Schweizer Datenschutzgesetz gelten (!), umgesetzt haben. So benötigt es ein Inventar (Dokumentation) aller wichtigen Datenbearbeitungen, die Sie tätigen. Weiter ist die durchgängige Beachtung der Datenschutzgrundsätze von essentieller Bedeutung (hier eine Übersicht der Datenschutzgrundsätze, welche im Rahmen von Datenschutzzertifizierungen verwendet wird). Prüfen Sie weiter, ob alle natürlichen Personen, über welche Sie Daten bearbeiten, entsprechend darüber Bescheid wissen (sei es z.B. aufgrund eines Vertrages oder einer Information auf Ihrer Webseite, u.a.). Jederzeitige Transparenz bzgl. der Bearbeitung von Personendaten und der entsprechende Nachweis, dass Sie die Datenschutzgrundsätze einhalten und respektieren, sind sehr wichtig!

Nützliche Anleitungen finden Sie hier: FAQs zur DSGVO bereitgestellt durch die Rechtskommission von swissICT; sowie das Datenschutz Self Assessment Tool (DSAT) von David Rosenthal und David Vasella mit entsprechenden Formularen, welche als Checkliste und zur Dokumentation bzw. als Nachweis dienen.

Die digitale Transformation ist seit Jahren in vollem Gange und nimmt stetig neue Dimensionen an. Kaum ein Lebensbereich der nicht davon betroffen ist und irgendwie mit der Cyberwelt verbunden wäre: Telekommunikation, Energie, Finanzen, Gesundheit, Schulen, Behörden, Privatpersonen, usw. Während die Vorteile und unbegrenzten Möglichkeiten technologischer Entwicklungen täglich hochgepriesen werden, geht die „Kehrseite der Medaille“ beinahe unter. Illegale Aktivitäten im Darknet und gut geplante, im Hintergrund laufende Cyberattacken finden ebenfalls täglich, grenzüberschreitend und bereichsübergreifend statt. Um dieser „dunklen Seite“ der Cyberwelt wirksam zu begegnen, sind ebensolche gut organisierte und geplante Massnahmen unabdingbar. Eine Massnahme wäre ein einheitliches Gesetz, welches die Grundsätze im sicheren Umgang mit Informations- und Kommunikationstechnologien (IKT) festhält.

Die Schweiz steht kurz davor, eine solche gesetzliche Grundlage mit minimalsten Anforderungen an die Sicherheit zu verabschieden. Das Informationssicherheitsgesetz, welches seit Jahren in Entwurf-Form vorliegt, könnte am 13. März 2018 endlich durch den Nationalrat verabschiedet werden (vgl. Geschäft des Bundesrates, 17.028). Der Geltungsbereich bezieht sich in erster Linie (aber immerhin) auf Bundesbehörden, ihre Informationen und Systeme. Während auf europäischer Ebene bereits im August 2016 zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen ein einheitlicher Rechtsrahmen in Kraft getreten ist (vgl. die NIS-Richtlinie), ist man in der Schweiz gerade daran, ein solches Gesetz zu Fall zu bringen. Zitat aus dem Tages-Anzeiger vom 2. März 2018: „(…) Heute seien zu viele Stellen zu unkoordiniert am Werk. Mit dem neuen Informatiksicherheitsgesetz will der Bund das Sicherheitslevel verbessern. Doch der Nationalrat soll am 13. März nicht einmal darüber diskutieren. Dazu rät ihm seine Sicherheitspolitische Kommission (SiK-NR). Zu teuer und zu aufwendig wäre das Ganze (…).“

Nichtstun und Abwarten hat bisher in keinem Lebensbereich zu einem nützlichen Ergebnis geführt. Wieso sollte dies gerade in der Cyberwelt bzw. bezüglich dem neuen Informationssicherheitsgesetz der Schweiz anders sein?