Das revidierte Datenschutzgesetz (DSG) übernimmt zahlreiche Regelungen der europäischen Datenschutzgrundverordnung (DSGVO) und verfolgt damit das Ziel, ein vergleichbares Datenschutzniveau zu erreichen, um die Wettbewerbsfähigkeit der Schweizer Wirtschaft zu erhalten.
Mit der Revision des Datenschutzgesetzes soll zudem den technischen Entwicklungen im Bereich Datenbearbeitung und Datensicherheit Rechnung getragen werden. Dies im Hinblick darauf, dass immer mehr Cloud-Anwendungen, KI-Modelle und Anwendungen im Bereich des sogenannten Internet der Dinge (Internet of Things, IoT) dazu führen, dass gesamthaft mehr Daten anfallen, die oft auch Rückschlüsse auf Personen erlauben.
Für Unternehmen sind insbesondere folgende Neuerungen zu beachten:
Der Grundsatz der Zweckbindung (Art. 6 Abs. 3 DSG) stellt zwar keine grundsätzliche Neuerung dar. Vielmehr hebt das neue DSG die Bedeutung der Zweckbindung hervor. Gemäss diesem Grundsatz dürfen Daten nur zu einem bestimmten und für die Person erkennbaren Zweck beschafft werden und sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist. Zudem sind die Daten zu vernichten oder zu anonymisieren, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind (Art. 6 Abs. 4 DSG).
Das nationale DSG bringt zudem eine Stärkung der Rechte der betroffenen Personen mit sich. Das Auskunftsrecht der betroffenen Personen gemäss Art. 25 DSG geht weiter als die Informationspflicht des Verantwortlichen. Bei der Auskunft geht es darum, dass Betriebe betroffenen Personen Auskunft darüber geben müssen, ob und welche Personendaten bearbeitet werden. Die betroffene Person erhält diejenigen Informationen, die für die Geltendmachung ihrer Rechte erforderlich sind und eine transparente Datenbearbeitung gewährleisten. In jedem Fall müssen ihr Informationen zum Bearbeitungszweck, zur Aufbewahrungsdauer sowie zur Datenherkunft geliefert werden. Nebst dem Auskunftsrecht werden die Rechte der betroffenen Personen auch durch ein Recht auf Datenherausgabe (Art. 28 DSG), ein Berichtigungsrecht (Art. 32 Abs. 1 DSG) und ein Recht auf Löschung (Recht auf Vergessen) der Daten bei Vorliegen einer Persönlichkeitsverletzung (Art. 30 DSG) gestärkt.
Parallel zum nationalen Datenschutzgesetz existieren in allen Kantonen kantonale Datenschutzgesetze. Diese regeln die Bearbeitung von Daten durch öffentliche Organe mit dem Ziel, den Schutz der Persönlichkeit und die informationelle Selbstbestimmung zu gewährleisten. Ihnen unterstehen Kantone, Gemeinden und Organisationen des kantonalen öffentlichen Rechts, aber auch private Organisationen und Einzelpersonen, soweit ihnen öffentliche Aufgaben übertragen sind.
Versorger von Wasser, Gas und Fernwärme sind nun sehr unterschiedlich vom neuen Gesetz betroffen und unterliegen je nach Organisation und Tätigkeit dem nationalen oder dem jeweiligen kantonalen Datenschutzgesetz.
Während die Versorgung mit Wasser eine öffentliche Aufgabe darstellt und damit immer kantonalen Datenschutzgesetzen unterliegt, unterliegt beispielsweise der Verkauf von Sanitärprodukten durch einen Wasserversorger dem nationalen DSG. Die Tabelle soll Auskunft darüber geben, welches Recht anzuwenden ist und welcher Aufsicht der Betrieb respektive die betroffene Tätigkeit unterliegt.
Zusammenfassend ist festzuhalten, dass lediglich öffentlich-rechtlich organisierte Wasserversorgungen, die ausschliesslich im öffentlichen Aufgabenbereich der Wasserversorgung tätig sind, dem jeweiligen kantonalen Datenschutzrecht unterstehen.
Für alle anderen Wasserversorgungen gilt, dass sie sowohl das kantonale als auch das bundesrechtliche Datenschutzgesetz anwenden müssen. Bei jeder Datenbearbeitung müssen sie untersuchen, in welchem Aufgabengebiet diese erfolgt, und danach das kantonale oder das Datenschutzrecht des Bundes anwenden.
Dies stellt trotz der in vielen Kantonen erfolgten oder geplanten Angleichung der kantonalen Datenschutzbestimmungen an das DSG des Bundes eine Herausforderung dar. Die Wasserversorgungen müssen beide Gesetze kennen, um die jeweils konkret anwendbaren Vorgaben erfüllen zu können. Aus juristischer Sicht kann als Vereinfachung lediglich festgehalten werden, dass allenfalls strengere Datenschutzvorschriften auch auf Datenbearbeitungen angewendet werden können, für welche weniger strenge Vorschriften vorgesehen wären. Diese Vereinfachung gilt jedoch im formellen, verfahrenstechnischen Bereich nicht. Die formellen Vorgaben – z. B. Konsultation der zuständigen Aufsichtsbehörde, sind zwingend zu erfüllen und die Vorschriften des jeweilig anwendbaren Rechts müssen eingehalten werden.
Als Praktikertipp ist festzuhalten, dass Wasserversorgungen besser ein Datenschutzgesetz anwenden als keines. Da das bundesrechtliche Datenschutzgesetz neu revidiert und damit an das europäische Datenschutzniveau angepasst wurde, ist es wohl nicht falsch, im Zweifel die Vorschriften dieses Rechts anzuwenden. Beim verfahrenstechnischen Teil – wie muss an wen gemeldet werden – müssen aber zwingend die kantonalen Vorschriften beachtet werden.
Unabhängig davon, welche Rechtsordnung im konkreten Fall anzuwenden ist, sind datenschutzrechtlich in jedem Fall die Erstellung einer Datenschutzrichtlinie, die Festlegung von Verantwortlichkeiten und die Schulung und Sensibilisierung der Mitarbeitenden sinnvoll. Eine angemessene Dokumentation von Datenschutz und Informationssicherheit ist wichtig, um im Fall eines Vorfalls die Einhaltung der kantonalen oder bundesrechtlichen Datenschutzvorschriften nachweisen zu können. Es sind auch entsprechende Prozesse innerhalb des Unternehmens und gegenüber Dritten zu definieren, um bei Bedarf effektiv reagieren zu können.
Datensicherheit stellt eine zentrale Voraussetzung für den Datenschutz dar und wird in Art. 8 DSG explizit gefordert. Darin wird konkret verlangt, dass der Verantwortliche wie auch der Auftragsbearbeiter durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit gewährleisten müssen. Für Betreiber von kritischen Infrastrukturen kann dies heissen, dass darüber hinaus auch Schutzmassnahmen im Bereich der IT-Sicherheit notwendig sein können. Kumulative Massnahmen im Bereich Datenschutz, Datensicherheit und dem technischen Schutz der IT-Infrastruktur verfolgen das Ziel, dass die Vertraulichkeit, die Verfügbarkeit sowie die Integrität von Informationen gewährleistet werden können. Versorger können dabei auf bewährte Werkzeuge wie den IKT-Minimalstandard für Wasserversorger zurückgreifen.
Wie die Informationssicherheit konkret umgesetzt und verbessert werden kann, zeigt die SVGW-Empfehlung W1018 «Minimalstandard für die Sicherheit der Informations- und Kommunikationstechnologie (IKT) in der Wasserversorgung». Das Regelwerk liefert konkrete Handlungsanweisungen zur Erfüllung der Forderungen im Bereich der Informationssicherheit. Mit der Umsetzung des Minimalstandards IKT schützen sich Wasserversorgungen nicht nur vor Cyberattacken, sondern stellen auch die Sicherheit der Personendaten sicher, wie dies von der Datenschutzgesetzgebung gefordert wird.
Dabei kommt der sogenannte «Defense in Depth»-Ansatz zur Anwendung. Ziel ist es, Redundanz zu schaffen für den Fall, dass eine Sicherheitskontrolle ausfallen oder eine Schwachstelle ausgenutzt werden sollte. Der «Defense in Depth»-Ansatz beschreibt ein umfassendes Vorgehen, mit dem die Sicherheitsrisiken im Bereich der kritischen Informations- und Kommunikationssysteme ganzheitlich identifiziert und behandelt werden können. Dies umfasst neben technischen Massnahmen auch die dazu benötigten Prozesse, die Ausbildung und Schulung der Mitarbeitenden sowie die Governance, um die Strategie erfolgreich umzusetzen zu können.
Die zunehmende Bedeutung des Datenschutzes und die Novellierung des nationalen Datenschutzgesetzes veranlasste die Wasser-Hauptkommission und die Geschäftsstelle des SVGW, ein Merkblatt zum Thema Datenschutz zu erarbeiten. Dabei wird einerseits auf die Neuerungen des Datenschutzgesetzes eingegangen. Andererseits wird erläutert, welche Pflichten aus den Neuerungen des DSG erwachsen und was betroffene Betriebe konkret umsetzen sollten. Im Schlussteil werden konkrete Fragen beantwortet, die sich in der Praxis im Kontakt mit Kunden ergeben können.
Das Merkblatt mit dem Titel «Datenschutz in der Wasserversorgung» erscheint in Kürze und wird zu gegebener Zeit in den Vereinsmitteilungen von Aqua & Gas vorgestellt.
Das am 1. September 2023 in Kraft getretene neue nationale Datenschutzgesetz in der Schweiz zielt darauf ab, die Datenschutzgesetzgebung an die europäische Datenschutzgrundverordnung anzugleichen und damit die Wettbewerbsfähigkeit der Schweizer Wirtschaft in diesem Bereich erhalten zu können sowie den Schutz von Personendaten insgesamt zu verbessern.
Die Neuerungen im nationalen DSG umfassen die Integration genetischer und biometrischer Daten, die Einführung von «Privacy by Design» und «Privacy by Default», die Durchführung von Folgenabschätzungen bei hohem Risiko, erweiterte Informationspflichten und die Verpflichtung zur Meldung von Datenschutzverletzungen. Der Grundsatz der Zweckbindung wird hervorgehoben.
Das DSG stärkt zudem die Rechte betroffener Personen, einschliesslich Auskunftsrecht, Recht auf Datenherausgabe, Berichtigungsrecht und Recht auf Vergessen.
Wasserversorger müssen ein klares Verständnis über die Anwendbarkeit des nationalen und kantonalen Datenschutzgesetzes haben. Öffentlich-rechtliche Wasserversorger, die sich ausschliesslich dem Auftrag der Wasserversorgung widmen, unterliegen nur dem kantonalen Recht, während andere Betriebe sowohl das kantonale als auch das nationale Gesetz beachten müssen.
Die Umsetzung der Datenschutzbestimmungen erfordert den Aspekt der Datensicherheit, die durch den «Minimalstandard für die Sicherheit der Informations- und Kommunikationstechnologie (IKT) in der Wasserversorgung» gewährleistet werden kann.
«AQUA & GAS» gibt es auch als E-Paper. Abonnenten, SVGW- und/oder VSA-Mitglieder haben Zugang zu allen Ausgaben von A&G.
Den «Wasserspiegel» gibt es auch als E-Paper. Im SVGW-Shop sind sämtliche bisher erschienenen Ausgaben frei zugänglich.
Kommentare (0)