DSG-Revision: Bundesrat veröffentlicht Ausführungsvorschriften im Entwurf der VDSG

Hintergrund: Totalrevision des Schweizer Datenschutzrechts

Nach knapp vierjährigem Gesetzgebungsprozess verabschiedete das Parlament im Herbst 2020 die Revision des Schweizer Datenschutzrechts. Dabei wurde das Schweizer Datenschutzrecht grundlegend überarbeitet und zu einem grossen Teil an die EU-Datenschutzgrundverordnung (DSGVO) angeglichen (vgl. dazu ausführlich MLL News vom 19.10.2020: «Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick»).

Bevor das neue Gesetz in Kraft treten kann, muss noch die Verordnung zum Bundesgesetz über den Datenschutz (VDSG) überarbeitet werden. Mit der Verordnung sollen Bestimmungen des Gesetzes konkretisiert werden. Ende Juni hat der Bundesrat einen Entwurf der VDSG in die Vernehmlassung geschickt.

Leitlinien der Revision der VDSG

Der Vorentwurf wird von einem erläuternden Bericht begleitet, worin nähere Informationen zu den vorgeschlagenen Regelungen enthalten sind. Im erläuternden Bericht werden unter dem Titel «Leitlinien der Revision» mehrere Themen als zentrale Neuerungen genannt, die nachfolgend kurz dargelegt werden. Der Vorentwurf enthält allerdings noch zahlreiche Mängel, sodass mit einer weitreichenden Überarbeitung zu rechnen ist.

Datensicherheit

In Art. 8 Abs. 3 nDSG wird der Bundesrat verpflichtet, die Mindestanforderungen an die Datensicherheit zu definieren. Mit der E-VDSG will der Bundesrat dieser Pflicht nachkommen. Er will mit der Regelung insbesondere auf die Kompatibilität mit der DSGVO achten. In der EU tätige Unternehmen sollen davon ausgehen können, dass auch in der Schweiz die Mindestanforderungen erfüllt sind, wenn sie die Mindestanforderungen der DSGVO einhalten.

Die Verordnung gibt dabei nicht starre Mindestanforderung vor, welche gleichermassen für alle gelten, sondern die angemessenen Massnahmen sind anhand des jeweiligen Risikos zu bestimmen. Art. 2 E-VDSG listet Schutzziele auf, an welchen sich die Massnahmen zu orientieren haben. Beispielsweise soll sich der Zugriff der berechtigten Personen auf diejenigen Personendaten beschränken, welche sie zu Erfüllung ihrer Aufgabe benötigen (Art. 2 lit. a E-VDSG).

Ausserdem wird in Art. 3 E-VDSG ausdrücklich eine Protokollierungspflicht vorgesehen. Private Verantwortliche müssen bei automatisierten Bearbeitungen von Personendaten, bei denen trotz der vom Verantwortlichen aufgrund einer Datenschutz-Folgenabschätzung vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte verbleibt, gewisse Vorgänge protokollieren (Speichern, Verändern, Lesen,
Bekanntgeben, Löschen oder Vernichten). Für Bundesorgane gilt diese Pflicht bei allen automatisierten Bearbeitungen von Personendaten. Zusätzlich gilt eine Aufbewahrungsfrist von zwei anstatt einem Jahr für diese Protokolle.

Geht es nach dem Vorentwurf (Art. 4 E-VDSG für private Verantwortliche; Art. 5 E-VDSG für Bundesorgane), soll es sodann auch künftig unter gewissen Voraussetzungen eine Pflicht zur Erstellung eines Bearbeitungsreglements (≠Verzeichnis der Bearbeitungstätigkeiten, s. unten) geben.

Bekanntgabe von Personendaten ins Ausland

Gemäss dem nDSG ist neu der Bundesrat zuständig für die Festlegung, ob Staaten über ein angemessenes Datenschutzniveau verfügen. In Art. 8 E-VDSG werden die Kriterien festgelegt, an welche sich der Bundesrat bei der Entscheidung zu halten hat. Im Anhang werden die Staaten aufgelistet, welche über ein angemessenes Datenschutzniveau verfügen. Der Anhang wird gemäss Art. 8 Abs. E-VDSG periodisch angepasst. Schliesslich enthält der Vorentwurf auch zahlreiche Vorschriften zu den einzelnen Garantien (wie z.B. Standarddatenschutzklauseln), die für die zulässige Bekanntgabe von Personendaten in Länder ohne angemessenes Datenschutzniveau implementiert werden müssen.

Modalitäten des Auskunftsrechts und der Informationspflicht

Der Vorentwurf der VDSG enthält Bestimmungen zu den Modalitäten des Auskunftsrechts (Art. 20 ff. E-VDSG). Nach der vorgeschlagenen Regelung kann die Auskunft in gegenseitigem Einvernehmen auch mündlich oder durch Einsichtnahme vor Ort erteilt werden. Während bislang klar festgehalten wird, dass die betroffene Person sich über ihre Identität ausweisen muss, wird im Vorentwurf dem Verantwortlichen die Pflicht auferlegt, «angemessene Massnahmen zur Identifikation» zu treffen. Immerhin hat die betroffene Person gemäss dem erläuternden Bericht an ihrer Identifizierung mitzuwirken. Eine brauchbare Konkretisierung in Bezug auf die Ausnahme von der Kostenlosigkeit der Auskunftserteilung ist im Vorentwurf sodann leider nicht vorgesehen. Es ist lediglich vorgesehen, dass der betroffenen Person maximal 300.- Franken auferlegt werden dürfen.

Vorgesehen sind im Vorentwurf sodann auch Regelungen zu den «Modalitäten» der Informationspflicht (Art. 13 ff. E-VDSG). Danach sind die Informationen «in präziser, verständlicher und leicht zugänglicher Form» mitzuteilen. Dies ergibt sich jedoch bereits aus der Botschaft zur Regelung im Gesetz (vgl. dazu detailliert den Aufsatz von Bühlmann/Schüepp in der Fachzeitschrift Jusletter, Kapitel 3.3.3 lit. d). Es handelt sich daher nicht um eine Konkretisierung. Fragwürdig erscheint zudem, dass die Regelungen jeweils auch den Auftragsverarbeiter in die Pflicht nehmen, was kaum beabsichtigt sein kann. Das DSG auferlegt die Informationspflichten lediglich dem Verantwortlichen. Schliesslich enthält der Vorentwurf auch relativ weitgehende neue Informationspflichten gegenüber den Empfängerinnen von Personendaten, die so im Gesetz nicht vorgesehen sind.

In diesem Zusammenhang ist schliesslich auch die Regelung zur Konkretisierung der Meldepflicht bei «Data Breaches» hervorzuheben (Art. 19 E-VDSG). Der Entwurf regelt den Inhalt, den eine Meldung an den EDÖB und die betroffenen Personen enthalten muss, in Form einer Aufzählung. Auch diese «Konkretisierung» wirkt eher enttäuschend, da sich diese Informationen weitestgehend ebenfalls bereits aus dem DSG ergeben.

Datenschutzberaterin bzw. Datenschutzberater

Die Anforderungen an die Datenschutzberaterin bzw. den -berater und deren Hauptaufgaben beim privaten Verantwortlichen sind bereits in Art. 10 nDSG geregelt. Deshalb soll sich die Verordnung vor allem auf die nähere Konkretisierung der Aufgaben beschränken (Art. 25 E-VDSG). Ferner wird im Vorentwurf festgelegt, dass der Datenschutzberaterin bzw. dem -berater die notwendigen Ressourcen zur Verfügung zu stellen und Zugang zu allen Auskünften, Unterlagen, Verzeichnissen und Personendaten zu gewähren sind, die sie oder er zur Erfüllung ihrer Aufgaben benötigt.

Anders als bei Privaten wurde die Regelung für Beraterinnen und Berater der Bundesorgane dem Bundesrat überlassen (Art. 27 ff. E-VDSG). Grundsätzlich soll dabei jedes Bundesorgan eine Beraterin oder einen Berater bezeichnen. Es ist jedoch insbesondere bei kleineren Bundesorganen möglich, dass mehrere gemeinsam eine Datenschutzberaterin oder einen Datenschutzberater bezeichnen. Die Anforderungen und Aufgaben orientieren sich an denjenigen der Datenschutzberaterin bzw. des Datenschutzberaters bei privaten Verantwortlichen, soweit die Aufgaben vergleichbar sind.

Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten

Zur administrativen Entlastung der Verantwortlichen verpflichtet Art. 12 Abs. 5 nDSG den Bundesrat, eine Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten für Unternehmen mit weniger als 250 Mitarbeitenden vorzusehen. Bereits im Gesetz wird jedoch einschränkend verlangt, dass die Ausnahme nur greift, wenn die Bearbeitungen des Unternehmens ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringen.

Der Vorentwurf schafft in dieser Hinsicht nur beschränkt Klarheit (Art. 26 E-VDSG). Danach gilt die Ausnahme für die Unternehmen mit weniger als 250 Mitarbeitenden in zwei Fällen nicht. Zum einen gilt sie nicht, wenn «umfangreich besonders schützenswerte Personendaten» bearbeitet werden, und zum anderen, wenn ein «Profiling mit hohem Risiko» durchgeführt wird (vgl. zum Begriff Art. 5 lit. g nDSG; ferner MLL News vom 19.10.2020). In diesen beiden nicht sehr klar umrissenen Fällen gilt somit auch für diese Unternehmen eine Pflicht zur Führung des Verzeichnisses.

Ausblick

Die Vernehmlassung soll noch bis am 14. Oktober 2021 andauern. Es bleibt zu hoffen, dass der Entwurf der Verordnung nochmals grundlegend überarbeitet wird und die zahlreichen Mängel beseitigt werden. Es ist denn auch mit umfangreicher Kritik und einer Vielzahl von Stellungnahmen zu rechnen, deren sorgfältige Prüfung und Umsetzung wiederum einige Zeit in Anspruch nehmen dürfte.

Die Verordnung soll gleichzeitig wie das nDSG in Kraft treten, gemäss Medienmitteilung voraussichtlich in der zweiten Jahreshälfte 2022. Das genaue Datum wird vom Bundesrat zu gegebener Zeit definiert. Das Datum des Inkrafttretens hat insbesondere deshalb grosse Bedeutung, weil im nDSG keine Übergangsfristen vorgesehen sind. Vor diesem Hintergrund empfiehlt es sich, die entsprechenden Compliance-Projekte rasch voranzutreiben oder allerspätestens jetzt zu lancieren (vgl. dazu auch MLL-News vom 15. Juli 2020).

Weitere Informationen:

• MLL News vom 19.10.2020: «Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick»
• Übersicht DSG Revision in Tabellenform
• Erläuternder Bericht VDSG
• nDSG
• Entwurf VDSG
• Vergleichstabelle VDSG