DSG-Revision: Bundesrat veröffentlicht Ausführungsvorschriften im Entwurf der VDSG


Ihre Kontakte

Im Rahmen der Totalrevision des Schweizer Datenschutzrechts hat der Bundesrat kürzlich den Entwurf der neuen Verordnung zum Datenschutzgesetz (VDSG) veröffentlicht. Mit der VDSG will der Bundesrat Detailregeln erlassen, welche die die Vorschriften im revidierten DSG konkretisieren. So enthält der Entwurf z.B. Regelungen zu den Mindestanforderungen an die Datensicherheit, zu den Modalitäten des Auskunftsrechts und der Informationspflicht oder zur Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten. Der Entwurf weist allerdings noch zahlreiche grundlegende Mängel und Unklarheiten auf. Daher ist eine detaillierte Auseinandersetzung mit dem Verordnungsentwurf für Unternehmen noch nicht empfehlenswert. Es bleibt zu hoffen, dass die Defizite durch den Bundesrat korrigiert werden, bevor die Verordnung definitiv verabschiedet wird. Der Bundesrat rechnet derzeit mit einem Inkrafttreten des DSG und der VDSG in der zweiten Jahreshälfte 2022.

Hintergrund: Totalrevision des Schweizer Datenschutzrechts

Nach knapp vierjährigem Gesetzgebungsprozess verabschiedete das Parlament im Herbst 2020 die Revision des Schweizer Datenschutzrechts. Dabei wurde das Schweizer Datenschutzrecht grundlegend überarbeitet und zu einem grossen Teil an die EU-Datenschutzgrundverordnung (DSGVO) angeglichen (vgl. dazu ausführlich MLL News vom 19.10.2020: «Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick»).

Bevor das neue Gesetz in Kraft treten kann, muss noch die Verordnung zum Bundesgesetz über den Datenschutz (VDSG) überarbeitet werden. Mit der Verordnung sollen Bestimmungen des Gesetzes konkretisiert werden. Ende Juni hat der Bundesrat einen Entwurf der VDSG in die Vernehmlassung geschickt.

Leitlinien der Revision der VDSG

Der Vorentwurf wird von einem erläuternden Bericht begleitet, worin nähere Informationen zu den vorgeschlagenen Regelungen enthalten sind. Im erläuternden Bericht werden unter dem Titel «Leitlinien der Revision» mehrere Themen als zentrale Neuerungen genannt, die nachfolgend kurz dargelegt werden. Der Vorentwurf enthält allerdings noch zahlreiche Mängel, sodass mit einer weitreichenden Überarbeitung zu rechnen ist.

Datensicherheit

In Art. 8 Abs. 3 nDSG wird der Bundesrat verpflichtet, die Mindestanforderungen an die Datensicherheit zu definieren. Mit der E-VDSG will der Bundesrat dieser Pflicht nachkommen. Er will mit der Regelung insbesondere auf die Kompatibilität mit der DSGVO achten. In der EU tätige Unternehmen sollen davon ausgehen können, dass auch in der Schweiz die Mindestanforderungen erfüllt sind, wenn sie die Mindestanforderungen der DSGVO einhalten.

Die Verordnung gibt dabei nicht starre Mindestanforderung vor, welche gleichermassen für alle gelten, sondern die angemessenen Massnahmen sind anhand des jeweiligen Risikos zu bestimmen. Art. 2 E-VDSG listet Schutzziele auf, an welchen sich die Massnahmen zu orientieren haben. Beispielsweise soll sich der Zugriff der berechtigten Personen auf diejenigen Personendaten beschränken, welche sie zu Erfüllung ihrer Aufgabe benötigen (Art. 2 lit. a E-VDSG).

Ausserdem wird in Art. 3 E-VDSG ausdrücklich eine Protokollierungspflicht vorgesehen. Private Verantwortliche müssen bei automatisierten Bearbeitungen von Personendaten, bei denen trotz der vom Verantwortlichen aufgrund einer Datenschutz-Folgenabschätzung vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte verbleibt, gewisse Vorgänge protokollieren (Speichern, Verändern, Lesen,
Bekanntgeben, Löschen oder Vernichten). Für Bundesorgane gilt diese Pflicht bei allen automatisierten Bearbeitungen von Personendaten. Zusätzlich gilt eine Aufbewahrungsfrist von zwei anstatt einem Jahr für diese Protokolle.

Geht es nach dem Vorentwurf (Art. 4 E-VDSG für private Verantwortliche; Art. 5 E-VDSG für Bundesorgane), soll es sodann auch künftig unter gewissen Voraussetzungen eine Pflicht zur Erstellung eines Bearbeitungsreglements (≠Verzeichnis der Bearbeitungstätigkeiten, s. unten) geben.

Bekanntgabe von Personendaten ins Ausland

Gemäss dem nDSG ist neu der Bundesrat zuständig für die Festlegung, ob Staaten über ein angemessenes Datenschutzniveau verfügen. In Art. 8 E-VDSG werden die Kriterien festgelegt, an welche sich der Bundesrat bei der Entscheidung zu halten hat. Im Anhang werden die Staaten aufgelistet, welche über ein angemessenes Datenschutzniveau verfügen. Der Anhang wird gemäss Art. 8 Abs. E-VDSG periodisch angepasst. Schliesslich enthält der Vorentwurf auch zahlreiche Vorschriften zu den einzelnen Garantien (wie z.B. Standarddatenschutzklauseln), die für die zulässige Bekanntgabe von Personendaten in Länder ohne angemessenes Datenschutzniveau implementiert werden müssen.

Modalitäten des Auskunftsrechts und der Informationspflicht

Der Vorentwurf der VDSG enthält Bestimmungen zu den Modalitäten des Auskunftsrechts (Art. 20 ff. E-VDSG). Nach der vorgeschlagenen Regelung kann die Auskunft in gegenseitigem Einvernehmen auch mündlich oder durch Einsichtnahme vor Ort erteilt werden. Während bislang klar festgehalten wird, dass die betroffene Person sich über ihre Identität ausweisen muss, wird im Vorentwurf dem Verantwortlichen die Pflicht auferlegt, «angemessene Massnahmen zur Identifikation» zu treffen. Immerhin hat die betroffene Person gemäss dem erläuternden Bericht an ihrer Identifizierung mitzuwirken. Eine brauchbare Konkretisierung in Bezug auf die Ausnahme von der Kostenlosigkeit der Auskunftserteilung ist im Vorentwurf sodann leider nicht vorgesehen. Es ist lediglich vorgesehen, dass der betroffenen Person maximal 300.- Franken auferlegt werden dürfen.

Vorgesehen sind im Vorentwurf sodann auch Regelungen zu den «Modalitäten» der Informationspflicht (Art. 13 ff. E-VDSG). Danach sind die Informationen «in präziser, verständlicher und leicht zugänglicher Form» mitzuteilen. Dies ergibt sich jedoch bereits aus der Botschaft zur Regelung im Gesetz (vgl. dazu detailliert den Aufsatz von Bühlmann/Schüepp in der Fachzeitschrift Jusletter, Kapitel 3.3.3 lit. d). Es handelt sich daher nicht um eine Konkretisierung. Fragwürdig erscheint zudem, dass die Regelungen jeweils auch den Auftragsverarbeiter in die Pflicht nehmen, was kaum beabsichtigt sein kann. Das DSG auferlegt die Informationspflichten lediglich dem Verantwortlichen. Schliesslich enthält der Vorentwurf auch relativ weitgehende neue Informationspflichten gegenüber den Empfängerinnen von Personendaten, die so im Gesetz nicht vorgesehen sind.

In diesem Zusammenhang ist schliesslich auch die Regelung zur Konkretisierung der Meldepflicht bei «Data Breaches» hervorzuheben (Art. 19 E-VDSG). Der Entwurf regelt den Inhalt, den eine Meldung an den EDÖB und die betroffenen Personen enthalten muss, in Form einer Aufzählung. Auch diese «Konkretisierung» wirkt eher enttäuschend, da sich diese Informationen weitestgehend ebenfalls bereits aus dem DSG ergeben.

Datenschutzberaterin bzw. Datenschutzberater

Die Anforderungen an die Datenschutzberaterin bzw. den -berater und deren Hauptaufgaben beim privaten Verantwortlichen sind bereits in Art. 10 nDSG geregelt. Deshalb soll sich die Verordnung vor allem auf die nähere Konkretisierung der Aufgaben beschränken (Art. 25 E-VDSG). Ferner wird im Vorentwurf festgelegt, dass der Datenschutzberaterin bzw. dem -berater die notwendigen Ressourcen zur Verfügung zu stellen und Zugang zu allen Auskünften, Unterlagen, Verzeichnissen und Personendaten zu gewähren sind, die sie oder er zur Erfüllung ihrer Aufgaben benötigt.

Anders als bei Privaten wurde die Regelung für Beraterinnen und Berater der Bundesorgane dem Bundesrat überlassen (Art. 27 ff. E-VDSG). Grundsätzlich soll dabei jedes Bundesorgan eine Beraterin oder einen Berater bezeichnen. Es ist jedoch insbesondere bei kleineren Bundesorganen möglich, dass mehrere gemeinsam eine Datenschutzberaterin oder einen Datenschutzberater bezeichnen. Die Anforderungen und Aufgaben orientieren sich an denjenigen der Datenschutzberaterin bzw. des Datenschutzberaters bei privaten Verantwortlichen, soweit die Aufgaben vergleichbar sind.

Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten

Zur administrativen Entlastung der Verantwortlichen verpflichtet Art. 12 Abs. 5 nDSG den Bundesrat, eine Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten für Unternehmen mit weniger als 250 Mitarbeitenden vorzusehen. Bereits im Gesetz wird jedoch einschränkend verlangt, dass die Ausnahme nur greift, wenn die Bearbeitungen des Unternehmens ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringen.

Der Vorentwurf schafft in dieser Hinsicht nur beschränkt Klarheit (Art. 26 E-VDSG). Danach gilt die Ausnahme für die Unternehmen mit weniger als 250 Mitarbeitenden in zwei Fällen nicht. Zum einen gilt sie nicht, wenn «umfangreich besonders schützenswerte Personendaten» bearbeitet werden, und zum anderen, wenn ein «Profiling mit hohem Risiko» durchgeführt wird (vgl. zum Begriff Art. 5 lit. g nDSG; ferner MLL News vom 19.10.2020). In diesen beiden nicht sehr klar umrissenen Fällen gilt somit auch für diese Unternehmen eine Pflicht zur Führung des Verzeichnisses.

Ausblick

Die Vernehmlassung soll noch bis am 14. Oktober 2021 andauern. Es bleibt zu hoffen, dass der Entwurf der Verordnung nochmals grundlegend überarbeitet wird und die zahlreichen Mängel beseitigt werden. Es ist denn auch mit umfangreicher Kritik und einer Vielzahl von Stellungnahmen zu rechnen, deren sorgfältige Prüfung und Umsetzung wiederum einige Zeit in Anspruch nehmen dürfte.

Die Verordnung soll gleichzeitig wie das nDSG in Kraft treten, gemäss Medienmitteilung voraussichtlich in der zweiten Jahreshälfte 2022. Das genaue Datum wird vom Bundesrat zu gegebener Zeit definiert. Das Datum des Inkrafttretens hat insbesondere deshalb grosse Bedeutung, weil im nDSG keine Übergangsfristen vorgesehen sind. Vor diesem Hintergrund empfiehlt es sich, die entsprechenden Compliance-Projekte rasch voranzutreiben oder allerspätestens jetzt zu lancieren (vgl. dazu auch MLL-News vom 15. Juli 2020).

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.