Welche Änderungen gab es zuletzt?

Über weite Teile war sich das Parlament schon seit längerem einig. Dennoch dauerte die Bereinigung der letzten offenen Punkte bis gestern an:

• Nach langem Hin und Her einigten sich die Räte darauf, Regeln betr. das Profiling mit hohem Risiko ins Gesetz aufzunehmen. Das ist ein «Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt»
• . Materielle Folgen hat die Qualifikation eines Profiling als solches mit hohem Risiko indes kaum.
• Auch unter dem neuen DSG kann die Prüfung der Kreditwürdigkeit zur Begründung eines überwiegenden Interesses im Rahmen der Rechtfertigung herangezogen werden, neu allerdings unter leicht erschwerten Voraussetzungen: Die dazu bearbeiteten Daten dürfen nicht älter als zehn Jahre sein, die betroffene Person muss volljährig sein und die Bearbeitung darf nicht als Profiling mit hohem Risiko qualifizieren. Wie schon bisher dürfen auch besonders schützenswerte Daten nicht zur Prüfung der Kreditfähigkeit herangezogen werden und die Bekanntgabe der Daten an Dritte bleibt eingeschränkt.

Nachfolgend fassen wir nochmals die bereits seit längerem feststehenden, übrigen wesentlichen Punkte der Revision des DSG zusammen.

Was ändert sich nicht?

Die grundlegenden Prinzipien des Schweizer Datenschutzrechts bleiben unverändert. Bei der Bearbeitung von Personendaten müssen wie bisher eine Reihe von Bearbeitungsgrundsätzen (insbesondere betreffend Transparenz, Zweckbindung, Verhältnismässigkeit und Datensicherheit) eingehalten werden. Ist das gewährleistet, so ist die Bearbeitung der Personendaten rechtmässig; andernfalls bedarf sie der Rechtfertigung durch Einwilligung, gesetzliche Grundlage oder überwiegende private oder öffentliche Interessen.

Eine Rechtfertigung ist somit auch unter dem neuen DSG nur ausnahmsweise erforderlich. In dieser Hinsicht unterscheidet sich das DSG weiterhin von der europäischen Datenschutzgrundverordnung (DSGVO), welche für jede Datenbearbeitung eine Rechtsgrundlage verlangt.

Was ändert sich?

Das neue DSG bringt dennoch einige Änderungen mit sich. Hervorzuheben sind die Folgenden:

• Daten, die sich auf juristische Personen beziehen, werden nicht mehr vom DSG erfasst. Es sind nur noch Daten betreffend natürliche Personen vom DSG erfasst.
• Die Informationspflichten des Verantwortlichen werden erweitert. Der Verantwortliche muss die betroffenen Personen unter anderem über seine Identität, seine Kontaktdaten, den Bearbeitungszweck sowie die Empfänger bzw. Kategorien von Empfängern der Daten informieren. Das neue DSG führt aber keine abschliessende Liste der notwendigen Informationen auf. Verantwortliche müssen deshalb selbst prüfen, ob den betroffenen Personen zusätzliche Informationen zur Verfügung zu stellen sind, um dem DSG zu genügen. Dieses verlangt die Mitteilung jener Informationen, die erforderlich sind, damit die betroffenen Personen «ihre Rechte» nach dem DSG geltend machen können und eine «transparente Datenbearbeitung» gewährleistet ist.
• Die Anforderungen an die Datenschutz-Governance werden erhöht. Insbesondere müssen Datenbearbeitungen dokumentiert Abgesehen von bestimmten Ausnahmen für KMU mit weniger als 250 Mitarbeitenden müssen Verantwortliche und Auftragsbearbeiter ein Verzeichnis der Bearbeitungstätigkeiten führen. Für Datenbearbeitungen mit hohem Risiko wird eine Datenschutz-Folgenabschätzung verlangt.
• Das neue DSG führt erstmals eine Meldepflicht für Verletzungen der Datensicherheit ins Schweizer Recht ein: Der Verantwortliche muss jede Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeitsrechte der betroffenen Personen führt, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. Die Meldung muss so rasch als möglich erfolgen. Im Vergleich zur Meldepflicht unter der DSGVO ist die Schwelle zur Auslösung der Meldepflicht erhöht («hohes Risiko» vs. «Risiko»). Wenn es zum Schutz der betroffenen Personen notwendig ist oder der EDÖB es verlangt, muss der Verantwortliche zudem die betroffenen Personen informieren.
• Die Rechte der betroffenen Personen bleiben im Wesentlichen unverändert, aber es gibt punktuelle Anpassungen. In Bezug auf das Auskunftsrecht wird klargestellt, dass der Verantwortliche die Auskunft auch dann aufgrund überwiegender eigener Interessen einschränken kann, wenn er die Daten mit anderen Konzerngesellschaften teilt. Das neue DSG hält präzisierend fest, dass bei der Auskunftserteilung die «bearbeiteten Personendaten als solche» mitzuteilen sind. Laut einem Votum im Nationalrat soll damit klargestellt werden, dass es um die Personendaten und nicht um die Dokumente gehe, in denen diese enthalten sind.
• Inspiriert von der DSGVO führt das neue DSG ein Recht auf Datenportabilität
• Neu werden automatisierte Einzelfallentscheidungen Der Verantwortliche unterliegt einer Informationspflicht in Bezug auf Entscheidungen, die ausschliesslich auf einer automatisierten Datenbearbeitung beruhen und rechtliche Konsequenzen für die betroffenen Personen haben oder diese anderweitig erheblich beeinträchtigen können. Zudem wird den betroffenen Personen das Recht eingeräumt, die Entscheidung einer natürlichen Person zur Überprüfung vorzulegen.
• Das neue DSG regelt bestimmte Arten des Profiling. Der Begriff «Profiling» weicht vom bisher verwendeten Begriff der «Persönlichkeitsprofile» ab. Profiling stellt eine automatisierte Datenbearbeitung dar, bei der Aspekte der Persönlichkeit der betroffenen Personen anhand von Daten bewertet werden. Die neuen Regeln bringen kaum wesentliche Einschränkungen mit sich.
• Das revidierte DSG unterscheidet analog der DSGVO zwischen Verantwortlichen und Auftragsbearbeitern. Diese Unterscheidung besteht sinngemäss bereits unter geltendem Recht, wird nun aber explizit ins neue DSG eingeführt. Anders als die DSGVO sieht das neue DSG indes keine detaillierten Anforderungen an Verträge zur Auftragsbearbeitung vor, sodass DSGVO-konforme Verträge mit dem neuen DSG kompatibel sind. Der Beizug eines «Unter-Auftragsbearbeiters» wird nur mit Genehmigung des Verantwortlichen zulässig sein.
• Die bisherige Pflicht zur Registrierung von Datensammlungen entfällt.
• Die Kompetenzen des EDÖB werden erheblich erweitert. Neu ist der EDÖB befugt, von Amtes wegen oder auf Beschwerde hin Untersuchungen durchzuführen und Beweise zu erheben. Zudem erhält er eine Verfügungskompetenz. Anstelle der bisherigen Empfehlungen kann der EDÖB neu verbindliche Anordnungen erlassen, welche der Adressat anfechten muss, wenn er sie nicht akzeptieren will.
• Mit dem neuen DSG werden die Sanktionen verschärft. Neu kann eine Vielzahl von Verstössen Bussen in Höhe von bis zu CHF 250’000 nach sich ziehen.

Was gilt für Datenexporte?

Die Grundprinzipien für Datenexporte bleiben unverändert. Datenexporte in Länder mit angemessenen Datenschutzgesetzen sind weiterhin zulässig. Datenexporte in Drittstaaten bedürfen entweder der Rechtfertigung (z.B. Vertragserfüllung, überwiegende öffentliche Interessen, Durchsetzung von Rechtsansprüchen) oder anderer Massnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus (z.B. Standardvertragsklauseln oder Binding Corporate Rules).

Das neue DSG bringt aber einige bedeutsame Änderungen mit sich. Erstens wird neu der Bundesrat ermächtigt, nach dem Vorbild der EU verbindliche Angemessenheitsentscheide über das Datenschutzniveau anderer Staaten zu erlassen. Die bisherige Liste des EDÖB mit Staaten, die über einen angemessenen Datenschutz verfügen, entfällt. Zweitens entfällt die Notifikationspflicht bei der Verwendung von genehmigten Standardvertragsklauseln. Drittens werden die Rechtfertigungsgründe für Datenexporte in Drittstaaten im Kontext ausländischer Verfahren erweitert. Neu erlaubt das DSG Datenexporte zur Durchsetzung von Ansprüchen bei ausländischen Behörden (und nicht wie bisher nur bei ausländischen Gerichten). Dies wird den unter dem bisherigen Recht oft umstrittenen Datenexport für Verfahren vor ausländischen Verwaltungsbehörden erleichtern. Viertens verlangen die Informationspflichten unter dem neuen DSG, dass die betroffenen Personen auch informiert werden, wohin Daten exportiert werden und – bei Exporten in Länder ohne angemessenes Schutzniveau – auf welchen Rechtfertigungstatbestand sich der Verantwortliche stützt bzw. welche Schutzmassnahme er getroffen hat.

Gilt das neue DSG ausserhalb der Schweiz?

Bereits das jetzige DSG verfügt über beschränkte extraterritoriale Wirkung. Das folgt aus dem internationalen Privatrecht, das die betroffene Person in bestimmten Fällen berechtigt, datenschutzrechtliche Ansprüche dem Schweizer Recht zu unterstellen. Darüber hinaus gilt das neue DSG für ausländische Datenbearbeitungen, die sich in der Schweiz auswirken. Ausländische Verantwortliche sind zudem verpflichtet, eine Vertretung in der Schweiz zu benennen, wenn sie Personendaten von Personen in der Schweiz bearbeiten und die Datenbearbeitung (i) im Zusammenhang mit dem Angebot von Produkten oder Dienstleistungen in der Schweiz oder zur Beobachtung des Verhaltens von Personen in der Schweiz erfolgt, (ii) umfangreich und regelmässig erfolgt und (iii) ein hohes Risiko für die betroffenen Personen birgt.

Gibt es einen Swiss Finish?

Generell gehen die Anforderungen des revidierten DSG nicht über das Schutzniveau der DSGVO hinaus. Im Entwurf vorgesehene «Swiss finishes» wurden im Wesentlichen entfernt. Es gibt jedoch weiterhin Unterschiede zur DSGVO.

Welche Sanktionen sieht das neue DSG vor?

Die Sanktionen werden verschärft, sie bleiben aber im Vergleich zur DSGVO moderat. Das neue DSG wird keine Verwaltungssanktionen gegen Unternehmen vorsehen, sondern weiterhin eine individuelle strafrechtliche Haftung der verantwortlichen Personen. Die Nichteinhaltung bestimmter Regeln des neuen DSG kann mit bis zu CHF 250’000 gebüsst werden. Wenn es einen unverhältnismässigen Aufwand erfordern würde, den Täter innerhalb eines Unternehmens zu ermitteln, und die zu erwartende Busse CHF 50’000 nicht übersteigt, kann stattdessen das Unternehmen gebüsst werden.

Wann tritt das neue DSG in Kraft?

Das ist noch offen. Unter Vorbehalt eines allfälligen Referendums scheint derzeit ein Inkrafttreten frühestens per Anfang 2022 wahrscheinlich. Bis zum Inkrafttreten muss auch noch die Verordnung zum DSG revidiert und vom Bundesrat verabschiedet werden.

Gibt es eine Übergangsfrist?

Nein, eine generelle Übergangsfrist ist nicht vorgesehen. Es gibt bloss vereinzelte Ausnahmen, z.B. bezüglich laufender Verfahren und die Anwendung des «privacy by design»-Grundsatzes.

Was müssen Unternehmen vorkehren?

Erhebliche Auswirkungen wird das neue DSG vor allem auf Unternehmen haben, welche die DSGVO nicht implementiert haben. Sie werden ihre Datenbearbeitungen analysieren und vielfach auch ihre Dokumentation (z.B. Datenschutzerklärungen, Inventare, Verträge) und Prozesse zur Gewährleistung des Datenschutzes aufarbeiten und anpassen müssen. Weniger weitreichende Auswirkungen sind für Unternehmen zu erwarten, welche die Vorgaben der DSGVO umgesetzt haben. Auch hier sind aber Anpassungen zu erwarten.

Im Hinblick auf die Einführung des neuen DSG stehen folgende Massnahmen im Vordergrund:

• Überprüfung der Organisation. In vielen Fällen macht die Einrichtung eines Kompetenzzentrums für Datenschutzfragen als interne und externe Anlaufstelle Sinn.
• Identifikation und Dokumentation von Datenbearbeitungen. Verlässliche Angaben über die Datenbearbeitungen im Unternehmen sind für die Datenschutz-Governance zentral. Dies gilt selbst dann, wenn kein Zwang zur Führung von Inventaren besteht.
• Inhaltliche Prüfung der Datenbearbeitungen. Bei möglichen Verstössen gegen die Vorgaben des DSG sind Anpassungen notwendig. Dabei macht es Sinn, sensible Datenbearbeitungen priorisiert auf ihre Konformität mit dem neuen DSG zu überprüfen.
• Implementierung geeigneter Prozesse. Es ist zu prüfen, ob die Einhaltung der Vorgaben des DSG durch geeignete Prozesse unterstützt wird. Solche Prozesse müssen nicht zwingend formalisiert sein, aber sie sollten dem Unternehmen die Gewährleistung der Datenschutz-Compliance ermöglichen und erleichtern.
• Aktualisierung der Dokumentation. Das Bereitstellen aktueller, vollständiger und korrekter Dokumentation in Bezug auf Datenbearbeitungen ist ein zentraler Aspekt der Datenschutz-Compliance. Beispielsweise müssen Datenschutzerklärungen vorhanden sein, um Mitarbeiter, Geschäftspartner und die Öffentlichkeit über Datenbearbeitungen zu informieren. Datenexporte müssen allenfalls durch vertragliche Vereinbarungen mit dem Datenimporteur abgesichert werden. Mit Auftragsbearbeitern müssen Auftragsdatenbearbeitungsvereinbarungen abgeschlossen werden. Im Hinblick auf das neue DSG sind diese Dokumente zu prüfen und zu aktualisieren.
• Überprüfung der Massnahmen zur Datensicherheit. Unternehmen müssen dafür sorgen, dass Personendaten angemessen geschützt sind. Die getroffenen technischen und organisatorischen Massnahmen sind regelmässig zu prüfen und gegebenenfalls zu aktualisieren.
• Ernennung eines Vertreters. Für bestimmte Unternehmen mit Sitz im Ausland verlangt das neue DSG die Ernennung eines Vertreters in der Schweiz. Entsprechend sind unter Umständen Vorkehrungen zur Ernennung eines solchen Vertreters zu treffen.

Vorbereitung für behördliche Anfragen. Verantwortliche sind verpflichtet, die Datenschutz-Compliance des Unternehmens nachzuweisen. Unternehmen sollten darauf vorbereitet sein, behördliche Anfragen rasch beantworten zu können und die Einhaltung der Vorschriften nachzuweisen.