Was ist neu per 1. September 2020?

«Personendaten»
Als Personendaten gelten neu ausdrücklich nur noch Angaben, die sich auf natürliche Personen beziehen. Daten von juristischen Personen und von anderen Personengesellschaften des Handelsrechts gelten nicht mehr als Personendaten.

«Profiling»
Unter den Begriff fallen insbesondere automatisierte Auswertungen von Daten oder Personendaten, um wesentliche persönliche Merkmale zu analysieren oder Entwicklungen vorherzusagen namentlich bzgl. Arbeitsleistung, politischer Meinungsbildung, wirtschaftlicher Lage, Gesundheit, Intimsphäre oder Mobilität.

Verantwortung des Organs
Um die Bedeutung der Verantwortlichkeit der öffentlichen Verwaltung für die rechtskonforme Bearbeitung von Daten der Bürgerinnen und Bürger zu unterstreichen, wurde ein neuer Paragraf aufgenommen. Dieser legt nun ausdrücklich fest, wer die Verantwortung für Datenbearbeitungen trägt und somit den Nachweis erbringen muss, dass die Datenschutzbestimmungen eingehalten werden.

Informationspflicht beim Beschaffen von Personendaten
Organe sind neu verpflichtet, die betroffenen Personen über die Beschaffung von Personendaten zu informieren, insbesondere auch, wenn Personendaten nicht bei der betroffenen Person erhoben werden.

Ausnahmen und Einschränkungen sind abschliessend geregelt. So entfällt die Informationspflicht bspw. wenn die Datenbearbeitung gesetzlich ausdrücklich vorgesehen ist.

Meldung von Datenschutzverletzungen
Neu müssen sog. «Datenpannen», die voraussichtlich zu einem Risiko für die Grundrechte der betroffenen Personen führen, der Datenschutzstelle gemeldet werden. Unter Umständen sind auch die betroffenen Personen zu informieren.

Datenschutz-Folgenabschätzung
Die bisherige Regelung der «Vorabkontrolle» wird neu durch die Bestimmungen zur Datenschutz-Folgenabschätzung (DSFA) und zur Vorabkonsultation konkretisiert.

Mit der DSFA muss ein Organ die Risiken einer Datenbearbeitung für die Privatsphäre und die Grundrechte der betroffenen Personen einschätzen, bewerten und entsprechende Massnahmen ergreifen. Die DSFA dient dem verantwortlichen Organ somit letztlich dazu, den Nachweis über die Einhaltung der Datenschutzbestimmungen zu erbringen. Die Datenschutzstelle stellt hierfür Hilfsmittel zur Verfügung.

Vorabkonsultation
Führt eine geplante Bearbeitung aufgrund der DSFA zu einem hohen Risiko für die Grundrechte der Betroffenen, muss das verantwortliche Organ das Vorhaben der Datenschutzstelle zur Stellungnahme vorlegen. Die Datenschutzstelle veröffentlicht eine Liste der ihr zwingend vorzulegenden Bearbeitungstätigkeiten.

Verzeichnis der Bearbeitungstätigkeiten
Der Begriff «Datensammlung» und das «Register der Datensammlungen» werden aufgehoben. Das Register wird ab 1. September 2020 nicht mehr aktualisiert, bleibt aber voraussichtlich noch bis Ende 2020 auf der Webseite der Datenschutzstelle aufgeschaltet.

Neu gilt die Verpflichtung, ein Verzeichnis der Bearbeitungstätigkeiten zu führen und zu veröffentlichen nur für die Justiz- und Strafverfolgungs-/Strafvollzugsbehörden.