Ihre Kontakte
Sowohl der National- als auch der Ständerat haben den Schlussabstimmungstext des totalrevidierten Datenschutzgesetzes angenommen. Die Revision kommt somit trotz einigen bangen Momenten während des Differenzbereinigungsverfahrens doch noch zum Abschluss. Anlass zu kontroversen Diskussionen gab v.a. der Begriff des Profilings mit hohem Risiko, der zukünftig gesetzlich verankert sein wird. Einigen konnten sich die Räte letztlich auch auf die Definition der besonders schützenswerten Personendaten sowie die Voraussetzungen eines überwiegenden Interesses bei einer Bonitätsprüfung. Abzuwarten gilt es nun, auf welches Datum der Bundesrat das neue DSG in Kraft setzen wird. Jetzt, wo die Revision in trockenen Tüchern ist, wird die EU auch ihren Äquivalenzbeschluss fällen können.
Totalrevidiertes Datenschutzgesetz steht nach drei Jahren fest
Nach zähen Verhandlungen im Differenzbereinigungsverfahren und der Einigungskonferenz wurde nach etwas mehr als drei Jahren der Schlussabstimmungstext zum totalrevidierten Datenschutzgesetz vom National- und Ständerat angenommen. Der National- und Ständerat hatten sich während der Sommersession noch nicht über alle strittigen Punkte einigen können (vgl. MLL-News vom 29.07.2020), weshalb es nun nochmals zu einem Tauziehen in der Herbstsession kam.
Obschon nur relativ wenige offene Punkte zur Diskussion standen, schienen die Sorgen eines möglichen Absturzes der gesamten Vorlage nicht als völlig unbegründet. Zankapfel bildete insbesondere die Definition des Profiling mit hohem Risiko. Glücklicherweise war letzten Endes in beiden Räten genügend Kompromissbereitschaft vorhanden, so dass eine Einigung erzielt werden konnte.
Einigung über die letzten Streitpunkte
Die Räte einigten sich über die folgenden offenen Punkte, die daher im revidierten DSG enthalten sein werden:
- Profiling mit hohem Risiko (Art. 5 lit. g nDSG): Die kontroversesten Diskussionen gab es zur Regelung des Profilings mit hohem Risiko. Der Ständerat und (zunächst) eine Minderheit des Nationalrates pochten auf eine Einführung dieses Begriffs und wiesen auf dessen Relevanz für ein gleichwertiges Datenschutzniveau zur EU-DSGVO hin. Die Mehrheit des Nationalrats verwies auf einen unnötigen «swiss finish» und sprach sich dagegen aus. Im Rahmen der Einigungskonferenz wurde die Definition nun dennoch in den Schlussabstimmungstext aufgenommen. Insofern ist das Vorliegen eines Profilings mit hohem Risiko für die Ausdrücklichkeit einer Einwilligung und den Rechtfertigungsgrund bei einer Bonitätsprüfung relevant (siehe unten sowie zum Begriff und den Rechtsfolgen ausführlich auch den Beitrag von Lukas Bühlmann und Michael Schüepp im Jusletter vom 12. September 2022). Im revidierten DSG gilt als Profiling mit hohem Risiko:
«Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt» (Art. 4 lit. fbis nDSG).
- Ausdrückliche Einwilligung (Art. 6 Abs. 7 nDSG): Bisher waren sich die Räte lediglich einig, dass für die Bearbeitung besonders schützenswerter Personendaten eine Einwilligung ausdrücklich gegeben werden muss. Dies wurde nun entsprechend dem Vorschlag des Ständerates erweitert. Somit muss auch für ein Profiling mit hohem Risiko durch eine private Person oder ein Profiling durch ein Bundesorgan eine Einwilligung ausdrücklich sein.
- Besonders schützenwerte Personendaten (Art. 5 lit. c Ziff. 3 nDSG): Strittig war zwischen den Räten ferner, ob alle genetischen Daten oder lediglich genetische Daten, die eine natürliche Person eindeutig identifizieren, als besonders schützenswerte Personendaten gelten sollen. Nach dem Einlenken des Nationalrates werden künftig alle genetischen Daten als besonders schützenswerte Personendaten gelten.
- Bonitätsprüfung (Art. 27 Abs. 2 lit. c nDSG): Eine Einigung konnte auch für die Anforderungen an ein überwiegendes Interesse zur Durchführung einer Bonitätsprüfung gefunden werden. Ein überwiegendes Interesse wird demnach bei einer Bonitätsprüfung angenommen, wenn:
-
- keine besonders Schützenswerten Personendaten bearbeitet werden und es sich um kein Profiling mit hohem Risiko handelt;
- die Daten Dritten nur bekanntgegeben werden, wenn diese die Daten für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen;
- die Daten nicht älter als zehn Jahre sind;
- die betroffene Person volljährig ist.
Ausblick
Mit der Annahme des Schlussabstimmungstextes durch beiden Räte steht somit fest, welchen Vorschriften die Datenbearbeitungen der Unternehmen in der Schweiz künftig entsprechen müssen. Auf wann der Bundesrat das revidierte DSG in Kraft setzen wird, ist allerdings noch unklar. Diese Frage hat grosse Bedeutung, sieht doch das revidierte DSG keine Übergangsfrist vor.
Weiterführende Angaben: