Plattform für Wasser, Gas und Wärme
Fachartikel
29. Januar 2024

Wasserversorgung

Neues Datenschutzgesetz: eine Herausforderung?

Seit dem 1. September 2023 ist das neue nationale Datenschutzgesetz (DSG) in Kraft. Bezweckt wird die Angleichung der bisherigen schweizerischen Datenschutzgesetzgebung an die europäische Datenschutzgrundverordnung (DSGVO). Dies mit dem Ziel, die Wettbewerbsfähigkeit im Vergleich mit der EU zu erhalten und den Schutz von persönlichen Daten insgesamt zu verbessern. Wasserversorger sind vom DSG nicht oder nur in spezifischen Geschäftsbereichen betroffen. Was gilt es trotzdem zu berücksichtigen?
Rolf Meier, Monika  Gehrig, 

Das revidierte Datenschutzgesetz (DSG) übernimmt zahlreiche Regelungen der europäischen Datenschutzgrundverordnung (DSGVO) und verfolgt damit das Ziel, ein vergleichbares Datenschutzniveau zu erreichen, um die Wettbewerbsfähigkeit der Schweizer Wirtschaft zu erhalten.

Mit der Revision des Datenschutzgesetzes soll zudem den technischen Entwicklungen im Bereich Datenbearbeitung und Datensicherheit Rechnung getragen werden. Dies im Hinblick darauf, dass immer mehr Cloud-Anwendungen, KI-Modelle und Anwendungen im Bereich des sogenannten Internet der Dinge (Internet of Things, IoT) dazu fĂĽhren, dass gesamthaft mehr Daten anfallen, die oft auch RĂĽckschlĂĽsse auf Personen erlauben.

Was sind die Neuerungen im nationalen DSG?

FĂĽr Unternehmen sind insbesondere folgende Neuerungen zu beachten:

  • Genetische und biometrische Daten werden in die Definition der besonders schĂĽtzenswerten Daten aufgenommen.
  • Die beiden Grundsätze «Privacy by Design» und «Privacy by Default» werden eingefĂĽhrt. Die Bezeichnungen deuten es bereits an: «Privacy by Design» (Datenschutz durch Technikgestaltung) bedeutet fĂĽr die Entwickler, den Schutz und den Respekt der Privatsphäre der Nutzerinnen und Nutzer in die Struktur der Produkte oder Dienstleistungen einzubauen, die personenbezogene Daten sammeln. Während der Grundsatz «Privacy by Default» (Datenschutz durch Voreinstellung) sicherstellt, dass schon beim Inverkehrbringen des Produktes oder der Dienstleistung die höchste Sicherheitsstufe vorhanden ist, indem standardmässig, also ohne Eingreifen der Nutzer, alle nötigen Massnahmen fĂĽr den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. Anders gesagt: Sämtliche Software, Hardware sowie Dienstleistungen mĂĽssen so konfiguriert sein, dass die Daten geschĂĽtzt sind und die Privatsphäre der Nutzer gewahrt wird.
  • Folgenabschätzungen mĂĽssen durchgefĂĽhrt werden, sofern ein hohes Risiko fĂĽr die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
    Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten – nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person informiert werden.
  • Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme fĂĽr KMU mit weniger als 250 Mitarbeitern vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.
  • Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Ă–ffentlichkeitsbeauftragten (EDĂ–B) zu richten.
  • Der Begriff «Profiling» (die automatisierte Bearbeitung personenbezogener Daten) wurde in das Gesetz aufgenommen.
Zweckbindung

Der Grundsatz der Zweckbindung (Art. 6 Abs. 3 DSG) stellt zwar keine grundsätzliche Neuerung dar. Vielmehr hebt das neue DSG die Bedeutung der Zweckbindung hervor. Gemäss diesem Grundsatz dürfen Daten nur zu einem bestimmten und für die Person erkennbaren Zweck beschafft werden und sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist. Zudem sind die Daten zu vernichten oder zu anonymisieren, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind (Art. 6 Abs. 4 DSG).

Auskunftsrecht

Das nationale DSG bringt zudem eine Stärkung der Rechte der betroffenen Personen mit sich. Das Auskunftsrecht der betroffenen Personen gemäss Art. 25 DSG geht weiter als die Informationspflicht des Verantwortlichen. Bei der Auskunft geht es darum, dass Betriebe betroffenen Personen Auskunft darüber geben müssen, ob und welche Personendaten bearbeitet werden. Die betroffene Person erhält diejenigen Informationen, die für die Geltendmachung ihrer Rechte erforderlich sind und eine transparente Datenbearbeitung gewährleisten. In jedem Fall müssen ihr Informationen zum Bearbeitungszweck, zur Aufbewahrungsdauer sowie zur Datenherkunft geliefert werden. Nebst dem Auskunftsrecht werden die Rechte der be­troffenen Personen auch durch ein Recht auf Datenherausgabe (Art. 28 DSG), ein Berichtigungsrecht (Art. 32 Abs. 1 DSG) und ein Recht auf Löschung (Recht auf Vergessen) der Daten bei Vorliegen einer Persönlichkeitsverletzung (Art. 30 DSG) gestärkt.

Nationales und kantonales Datenschutzgesetz

Parallel zum nationalen Datenschutzgesetz existieren in allen Kantonen kantonale Datenschutzgesetze. Diese regeln die Bearbeitung von Daten durch öffentliche Organe mit dem Ziel, den Schutz der Persönlichkeit und die informationelle Selbstbestimmung zu gewährleisten. Ihnen unterstehen Kantone, Gemeinden und Organisationen des kantonalen öffentlichen Rechts, aber auch private Organisationen und Einzelpersonen, soweit ihnen öffentliche Aufgaben übertragen sind.

Wer unterliegt welchem Datenschutzgesetz? Wer sogar beiden?

Versorger von Wasser, Gas und Fernwärme sind nun sehr unterschiedlich vom neuen Gesetz betroffen und unterliegen je nach Organisation und Tätigkeit dem nationalen oder dem jeweiligen kantonalen Datenschutzgesetz.

Während die Versorgung mit Wasser eine öffentliche Aufgabe darstellt und damit immer kantonalen Datenschutzgesetzen unterliegt, unterliegt beispielsweise der Verkauf von Sanitärprodukten durch einen Wasserversorger dem nationalen DSG. Die Tabelle soll Auskunft darüber geben, welches Recht anzuwenden ist und welcher Aufsicht der Betrieb respektive die betroffene Tätigkeit unterliegt.

Zusammenfassend ist festzuhalten, dass lediglich öffentlich-rechtlich organisierte Wasserversorgungen, die ausschliesslich im öffentlichen Aufgabenbereich der Wasserversorgung tätig sind, dem jeweiligen kantonalen Datenschutzrecht unterstehen.

FĂĽr alle anderen Wasserversorgungen gilt, dass sie sowohl das kantonale als auch das bundesrechtliche Datenschutzgesetz anwenden mĂĽssen. Bei jeder Datenbearbeitung mĂĽssen sie untersuchen, in welchem Aufgabengebiet diese erfolgt, und danach das kantonale oder das Datenschutzrecht des Bundes anwenden.

Herausforderung fĂĽr Wasserversorgungen

Dies stellt trotz der in vielen Kantonen erfolgten oder geplanten Angleichung der kantonalen Datenschutzbestimmungen an das DSG des Bundes eine Herausforderung dar. Die Wasserversorgungen müssen beide Gesetze kennen, um die jeweils konkret anwendbaren Vorgaben erfüllen zu können. Aus juristischer Sicht kann als Vereinfachung lediglich festgehalten werden, dass allenfalls strengere Datenschutzvorschriften auch auf Datenbearbeitungen angewendet werden können, für welche weniger strenge Vorschriften vorgesehen wären. Diese Vereinfachung gilt jedoch im formellen, verfahrenstechnischen Bereich nicht. Die formellen Vorgaben – z. B. Konsultation der zuständigen Aufsichtsbehörde, sind zwingend zu erfüllen und die Vorschriften des jeweilig anwendbaren Rechts müssen eingehalten werden.

Als Praktikertipp ist festzuhalten, dass Wasserversorgungen besser ein Datenschutzgesetz anwenden als keines. Da das bundesrechtliche Datenschutzgesetz neu revidiert und damit an das europäische Datenschutzniveau angepasst wurde, ist es wohl nicht falsch, im Zweifel die Vorschriften dieses Rechts anzuwenden. Beim verfahrenstechnischen Teil – wie muss an wen gemeldet werden – müssen aber zwingend die kantonalen Vorschriften beachtet werden.

Unabhängig davon, welche Rechtsordnung im konkreten Fall anzuwenden ist, sind datenschutzrechtlich in jedem Fall die Erstellung einer Datenschutzrichtlinie, die Festlegung von Verantwortlichkeiten und die Schulung und Sensibilisierung der Mitarbeitenden sinnvoll. Eine angemessene Dokumentation von Datenschutz und Informationssicherheit ist wichtig, um im Fall eines Vorfalls die Einhaltung der kantonalen oder bundesrechtlichen Datenschutzvorschriften nachweisen zu können. Es sind auch entsprechende Prozesse innerhalb des Unternehmens und gegenüber Dritten zu definieren, um bei Bedarf effektiv reagieren zu können.

Datenschutz ohne Datensicherheit?

Datensicherheit stellt eine zentrale Vo­raussetzung für den Datenschutz dar und wird in Art. 8 DSG explizit gefordert. Da­rin wird konkret verlangt, dass der Verantwortliche wie auch der Auftragsbearbeiter durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit gewährleisten müssen. Für Betreiber von kritischen Infrastrukturen kann dies heissen, dass darüber hinaus auch Schutzmassnahmen im Bereich der IT-Sicherheit notwendig sein können. Kumulative Massnahmen im Bereich Datenschutz, Datensicherheit und dem technischen Schutz der IT-Infrastruktur verfolgen das Ziel, dass die Vertraulichkeit, die Verfügbarkeit sowie die Integrität von Informationen gewährleistet werden können. Versorger können dabei auf bewährte Werkzeuge wie den IKT-Minimalstandard für Wasserversorger zurückgreifen.

Wie die Informationssicherheit konkret umgesetzt und verbessert werden kann, zeigt die SVGW-Empfehlung W1018 «Minimalstandard für die Sicherheit der Informations- und Kommunikationstechnologie (IKT) in der Wasserversorgung». Das Regelwerk liefert konkrete Handlungsanweisungen zur Erfüllung der Forderungen im Bereich der Informationssicherheit. Mit der Umsetzung des Minimalstandards IKT schützen sich Wasserversorgungen nicht nur vor Cyberattacken, sondern stellen auch die Sicherheit der Personendaten sicher, wie dies von der Datenschutzgesetzgebung gefordert wird.

Dabei kommt der sogenannte «Defense in Depth»-Ansatz zur Anwendung. Ziel ist es, Redundanz zu schaffen für den Fall, dass eine Sicherheitskontrolle ausfallen oder eine Schwachstelle ausgenutzt werden sollte. Der «Defense in Depth»-Ansatz beschreibt ein umfassendes Vorgehen, mit dem die Sicherheitsrisiken im Bereich der kritischen Informations- und Kommunikationssysteme ganzheitlich identifiziert und behandelt werden können. Dies umfasst neben technischen Massnahmen auch die dazu benötigten Prozesse, die Ausbildung und Schulung der Mitarbeitenden sowie die Governance, um die Strategie erfolgreich umzusetzen zu können.

Merkblatt fĂĽr Wasserversorger

Die zunehmende Bedeutung des Datenschutzes und die Novellierung des nationalen Datenschutzgesetzes veranlasste die Wasser-Hauptkommission und die Geschäftsstelle des SVGW, ein Merkblatt zum Thema Datenschutz zu erarbeiten. Dabei wird einerseits auf die Neuerungen des Datenschutzgesetzes eingegangen. Andererseits wird erläutert, welche Pflichten aus den Neuerungen des DSG erwachsen und was betroffene Betriebe konkret umsetzen sollten. Im Schlussteil werden konkrete Fragen beantwortet, die sich in der Praxis im Kontakt mit Kunden ergeben können.

Das Merkblatt mit dem Titel «Datenschutz in der Wasserversorgung» erscheint in Kürze und wird zu gegebener Zeit in den Vereinsmitteilungen von Aqua & Gas vorgestellt.

Fazit

Das am 1. September 2023 in Kraft getretene neue nationale Datenschutzgesetz in der Schweiz zielt darauf ab, die Datenschutzgesetzgebung an die europäische Datenschutzgrundverordnung anzugleichen und damit die Wettbewerbsfähigkeit der Schweizer Wirtschaft in diesem Bereich erhalten zu können sowie den Schutz von Personendaten insgesamt zu verbessern.

Die Neuerungen im nationalen DSG umfassen die Integration genetischer und biometrischer Daten, die Einführung von «Privacy by Design» und «Privacy by Default», die Durchführung von Folgenabschätzungen bei hohem Risiko, erweiterte Informationspflichten und die Verpflichtung zur Meldung von Datenschutzverletzungen. Der Grundsatz der Zweckbindung wird hervorgehoben.

Das DSG stärkt zudem die Rechte betroffener Personen, einschliesslich Auskunftsrecht, Recht auf Datenherausgabe, Berichtigungsrecht und Recht auf Vergessen.
Wasserversorger müssen ein klares Verständnis über die Anwendbarkeit des nationalen und kantonalen Datenschutzgesetzes haben. Öffentlich-rechtliche Wasserversorger, die sich ausschliesslich dem Auftrag der Wasserversorgung widmen, unterliegen nur dem kantonalen Recht, während andere Betriebe sowohl das kantonale als auch das nationale Gesetz beachten müssen.

Die Umsetzung der Datenschutzbestimmungen erfordert den Aspekt der Datensicherheit, die durch den «Minimalstandard für die Sicherheit der Informations- und Kommunikationstechnologie (IKT) in der Wasserversorgung» gewährleistet werden kann.

Kommentar erfassen

Kommentare (0)

e-Paper

«AQUA & GAS» gibt es auch als E-Paper. Abonnenten, SVGW- und/oder VSA-Mitglieder haben Zugang zu allen Ausgaben von A&G.

Den «Wasserspiegel» gibt es auch als E-Paper. Im SVGW-Shop sind sämtliche bisher erschienenen Ausgaben frei zugänglich.

Die «gazette» gibt es auch als E-Paper. Sämtliche bisher erschienen Ausgaben sind frei zugänglich.