Kontrolle über die "eigenen" Daten

Mit der Mehrfachnutzung und der Datenhoheit befassen sich die EU-Regelwerke "Data Governance Act" und "Data Act". Die EU will damit Anreize für die Weiterverwendung von (sensiblen) Daten setzen und Voraussetzungen für die gemeinsame Nutzung schaffen. Die gleiche Stossrichtung verfolgt auch das europäische Privatprojekt Gaia-X. 

Hierzulande wird über ein Rahmengesetz für die Sekundärnutzung von Daten und über vertrauenswürdige Datenräume diskutiert. In den konkreten Anwendungsfällen wird es auch um personenbezogene Daten gehen. Spätestens mit Inkrafttreten der EU-DSGVO vor fünf Jahren ist das Rechtsbewusstsein über die "eigenen" Daten und deren Weiterverwendung stark gestiegen. Unternehmen befassen sich seither merklich öfter mit konzisen Auskunftsbegehren von Privatpersonen. Das revidierte Schweizer Datenschutzgesetz (revDSG) berücksichtigt diese Entwicklungen.

Auskunftsrecht und Datenportabilität

Das neue Datenschutzgesetz baut die Betroffenenrechte stärker aus und passt sie der EU-Gesetzgebung an. Gemäss Art. 25 f. revDSG können Betroffene jederzeit Auskunft darüber verlangen, ob und welche persönlichen Daten zu welchen Zwecken bearbeitet werden. Die Auskunftspflicht gilt auch, wenn der Verantwortliche Personendaten durch einen Dritten bearbeiten lässt.
Die Datenportabilität nach 28 ff. revDSG geht noch weiter: Künftig können Betroffene von einem Verantwortlichen verlangen, ihre Personendaten in einem gängigen elektronischen Format herauszugeben oder diese Daten einem Drittanbieter zu übermitteln. Dieses Recht auf Datenportabilität – also der Datenherausgabe und -übertragung – wird wohl einige Unternehmen vor technische Herausforderungen stellen. 

Auskunftspflicht für Unternehmen

Unternehmen müssen im Falle eines Auskunftsbegehrens innerhalb von 30 Tagen, und in der Regel kostenlos, Auskunft erteilen. Die Auskunft muss in verständlicher Form erfolgen und folgende Mindestangaben umfassen:

• Identität und Kontaktdaten des Verantwortlichen
• Bearbeitete Personendaten (Name, Vorname, Adresse, E-Mail, Geburtsdatum etc.)
• Bearbeitungszweck (z. B. Durchführung von Werbe- und Marketingmassnahmen)
• Aufbewahrungsfristen oder Kriterien zur Festlegung der Dauer
• Herkunft der Daten, sofern nicht bei der betroffenen Person beschafft
• gegebenenfalls Empfängerinnen oder Kategorien von Empfängerinnen, denen die Personendaten bekanntgegeben werden (z.B. E-Mail-Marketing-Service)
• gegebenenfalls Bekanntgabe von Personendaten ins Ausland und nötige Garantien
• gegebenenfalls Vorliegen einer automatisierten Einzelentscheidung
• Intern ist ein Beantwortungsprozess zu etablieren. Verantwortliche Unternehmen müssen wissen, in welchen Systemen die betroffenen Daten liegen und wofür sie verwendet werden. Die vorsätzliche Verletzung der Auskunftspflicht kann mit einer Busse bis zu 250 000 Franken belegt werden.

Fazit 

Wer Daten sammelt, bearbeitet und speichert, sieht sich künftig vermehrt mit Begehren um Auskunft konfrontiert. Aus dem Auskunftsrecht von Personen ergibt sich zwingend eine Auskunftspflicht. Unternehmen müssen deshalb frühzeitig die dafür notwendigen Prozesse etablieren. Im Umfeld der Mehrfachnutzung wird der Grundsatz der Transparenz an Bedeutung gewinnen – so etwa auch hinsichtlich neuer Informationspflichten. 

Q&A

Swico hat für seine Mitgliederunternehmen ein umfassendes Q&A zum neuen Datenschutzgesetz erstellt. Zusätzlich soll eine Roadmap mit Merkblättern die Unternehmen bei der Umsetzung des revDSG unterstützen.
Mehr unter: www.swico.ch/de/verband/rechtsdienste/informationen-zum-dsg/