DSG-Revision: Erste Eckpunkte des neuen Datenschutzgesetzes stehen fest

  
Nachdem auch der Ständerat Ende Dezember 2019 über den Entwurf des neuen Schweizer Datenschutzgesetzes beraten hat, nimmt die DSG-Revision nun immer konkretere Züge an. Regelungen namentlich über die Strafbestimmungen gegen natürliche Personen, die Erweiterung der Informationspflicht, die Pflicht zur Führung eines Bearbeitungsverzeichnisses oder die Implementierung von Massnahmen hinsichtlich Privacy-by-Design und Privacy-by-Default werden im neuen DSG enthalten sein, sofern die gesamte Vorlage nicht unerwartet doch noch scheitern sollte. Ein weiterhin umstrittener Punkt ist z.B. der Umfang und das Erfordernis einer ausdrücklichen Einwilligung beim Profiling. Darüber hinaus sind noch mehrere Regelungen im Zusammenhang mit Bonitätsprüfungen offen. Einerseits betrifft dies die Informationspflicht und das Auskunftsrecht, aber auch das Vorliegen eines Rechtfertigungsgrundes bei Bonitätsprüfungen. Die Lösungen für die umstrittenen Bestimmungen werden im Differenzbereinigungsverfahren in den Räten und den jeweiligen SPK ausdiskutiert werden. Einen Überblick verschafft unsere neu erstellte Tabelle, die auch das noch geltende DSG und die EU-DSGVO miteinbezieht.


Bisherige Etappen

Mit dem Hauptziel der Angleichung des Schweizer Datenschutzrechts an das Niveau der EU und der Anpassung an die Datenschutzkonvention des Europarates (SEV 108) eröffnete der Bundesrat Ende Dezember 2016 die Vernehmlassung zum Vorentwurf für eine Totalrevision des Schweizer Datenschutzgesetzes (DSG; MLL-News vom 6.1.2017 und MLL-News vom 14.2.2017). Im September 2017 verabschiedete der Bundesrat den Gesetzesentwurf sowie die dazugehörige Botschaft (MLL-News vom 21.9.2017). Einer der bemerkenswertesten Punkte war dabei der Vorschlag zur Einführung von Strafsanktionen zulasten der natürlichen Personen im Höchstbetrag von CHF 250’000.-, anstelle von Verwaltungssanktionen zulasten der juristischen Personen wie im EU-Recht. Im Übrigen wurden zahlreiche Vorgaben aus der EU-Datenschutzgrundverordnung (DSGVO) übernommen, so bspw. die erweiterten Informationspflichten, die Pflichten zur Führung eines Verzeichnisses der Datenverarbeitungen und zur Durchführung von Datenschutz-Folgenabschätzungen.

Diese Punkte blieben in den bisherigen parlamentarischen Debatten – mit Ausnahme der Informationspflicht – unangetastet. Im August 2019 beschloss die Staatspolitische Kommission des Nationalrats (SPK-NR) gleichwohl zahlreiche Abweichungen vom Entwurf des Bundesrats (MLL-News vom 17.9.2019). Namentlich sollte danach auch in der Schweiz ein Recht auf Datenportabilität eingeführt und auf eine Regelung von Daten verstorbener Personen verzichtet werden. Weitere Abweichungen betrafen namentlich die Liste und Definition der besonders schützenswerten Daten sowie die Regelung des Profiling. Diesen Standpunkten schloss sich Ende September 2019 im Wesentlichen auch der Nationalrat an (MLL-News vom 27.11.2019).

Im November 2019 folgte die Vorberatung durch die Staatspolitische Kommission des Ständerats (SPK-SR), die mehrere vom Entwurf des Nationalrats abweichende Stanpunkte und insbesondere eine besonders fragwürdige Regelung betreffend Datenweitergabe mit sich brachte (MLL-News vom 18.12.2019). Im Anschluss beriet der Ständerat im Dezember 2019 über die Vorlage. Aus dem Beschluss des Ständerats geht sodann hervor, welche Regelungen im weiteren Verlauf in dieser Form Eingang in das neue DSG finden werden und welche Punkte noch umstritten sind. Eine Gegenüberstellung der Entwürfe des Nationalrates und des Ständerates, der geltenden Rechtslage und der Rechtslage nach DSGVO ist in Tabellenform hier verfügbar.


Unbestrittene Bestimmungen

Trotz einiger weiterhin bestehender Unstimmigkeiten, die im Verlauf des Differenzbereinigungsverfahrens noch diskutiert werden (siehe unten), werden unter anderem die folgenden Regelungen künftig zur Anwendung gelangen, sofern die Vorlage letztlich nicht doch noch unerwartet scheitern sollte:

  • Strafbestimmungen gegen natürliche Personen: Wie im aktuellen DSG, werden auch in der künftigen Fassung Strafbestimmungen enthalten sein, die natürliche Personen als Adressaten haben. Allerdings wird der bislang stark eingeschränkte Katalog der strafbewehrten Verstösse erweitert. Neu ist eine maximale Busse von bis zu CHF 250’000.- explizit im Gesetz verankert. Eine Busse gegen Unternehmen ist nur in Ausnahmefällen vorgesehen, wenn die Ermittlung der strafbaren natürlichen Person Untersuchungsmassnahmen bedingen, die im Hinblick auf die Strafe unverhältnismässig wären (Art. 58 E-DSG). Anders wird dies in der DSGVO geregelt, wo Bussen in Form von Verwaltungssanktionen grundsätzlich gegen juristische Personen und für sehr viel breiteren Katalog von Verstössen ausgesprochen werden können. Die Bussen gemäss DSGVO können bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher der Beträge höher ist.
      
  • Verzeichnis der Bearbeitungstätigkeiten: Entsprechend der Regelung in der DSGVO wird neu auch ein Verzeichnis der Bearbeitungstätigkeiten durch den Verantwortlichen und den Auftragsbearbeiter zu führen sein, wobei der Bundesrat in einer Verordnung auch Ausnahmen vorzusehen hat (Art. 11 E-DSG).
      
  • Erweiterung Informationspflicht: Gemäss der aktuellen Regelung im DSG müssen Datenbearbeiter primär sicherstellen, dass für die betroffenen Personen erkennbar ist, welche Daten zu welchen Zwecken bearbeitet werden. Die „Erkennbarkeit“ kann sich jedoch gegebenenfalls auch bereits „aus den Umständen“ ergeben. Eine explizite aktive Pflicht zur Information der betroffenen Person besteht demgegenüber nur bei der Beschaffung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen. Neu wird der Verantwortliche einer allgemeinen aktiven Informationspflicht gegenüber der betroffenen Person bei der Beschaffung jeglicher Personendaten Strittig sind in diesem Zusammenhang noch Punkte bezüglich des Umfangs der mitzuteilenden Informationen (siehe unten).
      
  • Privacy-by-Design und -by-Default: Entsprechend der DSGVO sind in Art. 6 E-DSG explizit die Grundsätze des „Datenschutzes durch Technik“ und „Datenschutz durch datenschutz-freundliche Voreinstellungen“ verankert. Bei der Verarbeitung von Personendaten müssen „ab der Planung“ angemessene technische und organisatorische Massnahmen getroffen werden, welche die Umsetzung von Datenschutzgrundsätzen (z.B. Datenminimierung) in diesen Systemen sicherstellen (Privacy-by-Design). Auch die Voreinstellungen, beispielsweise bei Apps oder Websites, sind gemäss Art. 6 Abs. 3 E-DSG durch den Verantwortlichen so auszugestalten, „dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist“ (Privacy-by-Default).
      
  • Datenweitergabe: Erfreulich ist, dass der Ständerat der von der SPK-SR vorgeschlagenen und systemwidrigen Regelung nicht gefolgt ist, die für jede Weitergabe von Personendaten eine Einwilligung durch die betroffene Person voraussetzen wollte (MLL-News vom 18.12.2019). In diesem Zusammenhang hat der Ständerat allerdings in Abweichung vom Nationalrat am Vorschlag zur Einführung eines Konzernprivilegs festgehalten (s. unten).
      

Strittige Punkte („Differenzen“) – abweichende Regelungen im Beschluss des Ständerats

Namentlich in folgenden Punkten wich der Beschluss des Ständerats von jenem des Nationalrats ab:

  • Liste und Definition besonders schützenswerter Daten (Art. 4 lit. c E-DSG): Gemäss dem Beschluss des Ständerates sollen (weiterhin) auch „gewerkschaftliche Ansichten und Tätigkeiten“ als besonders schützenswert gelten. Wie vom Bundesrat vorgeschlagen, sollen ferner jegliche genetischen Datenbesonders schützenswert sein und nicht nur, wie nach dem Entwurf des Nationalrats, wenn diese eine natürliche Person eindeutig identifizieren.
      
  • Regelung des Profilings: Nach Ansicht des Ständerats soll eine gegebenenfalls erforderliche Einwilligung für das Profiling zwar auch nicht stets ausdrücklichsein müssen, wie nach dem Vorschlag des Bundesrats. Aber für ein Profiling „mit hohem Risiko“ soll die Einwilligung, sofern eine solche erforderlich ist, ausdrücklich sein (Art. 5 Abs. 7 E-DSG). Der Ständerat folgt der von der SPK-SR vorgeschlagenen Definition für das hohe Risiko (Art. 4 lit. fbis DSG), die es aber in der Praxis kaum ermöglichen wird, den Anwendungsbereich der strengeren Regelung näher einzuschränken.
      
  • Einführung eines „Konzernprivilegs“: Der Ständerat will für die konzerninterne Weitergabe von Personendaten einen Rechtfertigungsgrund im Gesetz verankern, wonach hierfür ein überwiegendes Interesse in Betracht fallen kann (Art. 27 Abs. 2 lit. b E-DSG). Damit verbunden ist auch der Vorschlag, die konzerninterne Datenweitergabe von der Informationspflicht und vom Auskunftsrecht auszunehmen (vgl. Art. 18 Abs. 4 und Art. 24 Abs. 2bisE-DSG).
      
  • Informationspflicht: Die den Betroffenen bei der Beschaffung zu erteilenden Informationen sollen nach dem Beschluss des Ständerates (mindestens) auch eine Liste der Betroffenenrechtesowie die eventuelle Absicht zur Durchführung einer Bonitätsprüfung umfassen (Art. 17 Abs. 2 lit. d und e E-DSG). Die vom Nationalrat eingeführte Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand soll ferner in Bezug auf die direkte Beschaffung von Daten bei der betroffenen Person gestrichen werden (Art. 18 Abs. 1 lit. e E-DSG).
      
  • Auskunftsrecht: Die Aufzählung der Informationen, über die auf Gesuch der Betroffenen Auskunft zu erteilen ist, soll abweichend vom Nationalrat möglicherweise doch nicht abschliessend Der vorgeschlagene Wortlaut würde jedenfalls beide Interpretationen zulassen (Art. 23 Abs. 2 E-DSG). Anders als beim Nationalrat soll gemäss Ständerat die Auskunft „die bearbeiteten Personendaten“ umfassen, ohne aber den Zusatz „…Personendaten als solche“. Dieser Punkt wirft die Frage nach dem konkreten Umfang und der Form der Auskunft auf, ohne sie aber zu beantworten (vgl. zur Diskussion in der EU rund um das „Recht auf Kopie“, MLL-News vom 6.7.2019). Weitere Änderungen betreffen die abgelehnte Einschränkung der Auskunft über automatisierte Einzelentscheidungen (nur „bei erheblicher Beeinträchtigung“) sowie die (explizite) Ausdehnung der Auskunft über die Datenbearbeitung zur Bonitätsprüfung.
     
  • Rechtfertigungsgründe für Bonitätsprüfung und Medien: Bereits das geltende Recht nennt die Prüfung der Kreditwürdigkeit als einen Fall, in dem ein überwiegendes Interesse des Verantwortlichen vorliegen kann (vgl. 13 Abs. 2 lit. c DSG). Der Ständerat will dies, wie der Bundesrat, neu von den weiteren Voraussetzungen abhängig machen, dass die Prüfung nur volljährige Personenbetrifft und keine Daten einbezogen werden, die älter als fünf Jahre (statt wie die vom Nationalrat vorgeschlagenen 10 Jahre) sind (Art. 27 Abs. 2 lit. c E-DSG). Das geltende Recht nennt als möglichen Rechtfertigungsgrund auch die Datenbearbeitung „ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums“ (vgl. 13 Abs. 2 lit. d DSG). Handelt es sich beim Verantwortlichen um ein solches Medium, soll eine Rechtfertigung nach Ansicht des Ständerates auch unabhängig von der Veröffentlichung möglich sein, sofern die Daten ausschliesslich als persönliches Arbeitsinstrument dienen (Art. 27 Abs. 2 lit. d E-DSG).
     
  • Verletzung der Datensicherheit als Sanktions-Tatbestand: Anders als der Nationalrat will der Ständerat, dem Bundesrat folgend, auch vorsätzliche Verletzungen der Datensicherheitmit Busse von bis zu CHF 250’000.- sanktionieren (Art. 55 lit. c E-DSG).
      

Ausblick

Im Rahmen des Differenzbereinigungsverfahrens werden die strittigen Punkte nun nochmals vom National- und Ständerat beraten werden. Die SPK-NR hat bereits ihre Anträge für die nächste Beratung im Nationalrat gestellt. Dabei folgt sie in einigen strittigen Punkten auch dem Beschluss des Ständerates und nicht jenem des Nationalrates. Gemäss der Medienmittelung der SPK-NR betrifft dies insbesondere die Frage, wann auf die Information der betroffenen Person über die Beschaffung von Personendaten durch den Verantwortlichen verzichtet werden kann. Die SPK-NR folgt zudem der Ansicht des Ständerats, dass die Aufzählung der Informationen bei der Ausübung des Auskunftsrechts durch die betroffene Person nicht abschliessend sein soll. Ebenso ist sie in Sachen Sanktions-Tatbestand bei Verletzung der Datensicherheit auf der gleichen Linie wie der Beschluss des Ständerates und wird dem Nationalrat vorschlagen auch hierfür einen Straftatbestand mit Busse von bis zu CHF 250’000.- im neuen DSG zu verankern. Im nächsten Schritt wird der Nationalrat zu den Anträgen der SPK-NR entscheiden, bevor wieder die SPK-SR und der Ständerat am Zug ist.

 

Weitere Informationen: