Ihre Kontakte
Die Revision des Schweizer Datenschutzgesetzes (DSG) wird trotz Corona-Krise weiter vorangetrieben. Nachdem der Nationalrat im März seinen Standpunkt verabschiedet hat, wird der Ständerat am 2. Juni über die noch offenen Differenzen in der DSG-Revision beraten. Zu bereinigen sind insbesondere die Definitionen von wichtigen datenschutzrechtlichen Begriffen wie z.B. besonders schützenswerter Personendaten oder Profiling mit hohem Risiko. Strittig sind auch Fragen rund um die Datenbearbeitungen bei Bonitätsprüfungen und die damit verbundenen Rechte und Pflichten.
Übersicht und unbestrittene Regelungen
Nachdem der Ständerat Ende 2019 seinen Beschluss zur Totalrevision des Schweizer Datenschutzgesetzes (DSG) gefasst hatte, stand ein Grossteil der Eckpunkte der künftigen Vorschriften fest (vgl. dazu MLL-News vom 13. Februar 2020). Hierzu zählen bspw. Strafsanktionen zulasten der natürlichen Personen im Höchstbetrag von CHF 250’000.-, anstelle von Verwaltungssanktionen zulasten der juristischen Personen wie im EU-Recht. Ferner werden zahlreiche Vorgaben aus der EU-Datenschutzgrundverordnung (DSGVO) übernommen, wie z.B. die Pflichten zur Führung eines Verzeichnisses der Datenverarbeitungen und zur Durchführung von Datenschutz-Folgenabschätzungen. Eine Übersicht über die DSG-Revision, d.h. der beschlossenen und strittigen Punkte, inklusive Vergleich zum geltenden DSG und der EU-DSGVO ist in Tabellenform hier abrufbar.
Standpunkt des Nationalrats zu den offenen Punkten
Im Rahmen der Differenzbereinigung verabschiedete der Nationalrat Anfang März seinen Standpunkt zu den offenen Punkten. Auch danach bestehen bei diversen Regelungen weiterhin abweichende Positionen zwischen dem Nationalrat und dem Ständerat. Auch die Staatspolitische Kommission des Ständerates (SPK-SR) hat nun im Mai 2020 bereits ihre Anträge dazu für die nächste Beratung im Ständerat abgegeben (vgl. Pressemitteilung der Kommission). Aus diesen Beschlüssen ergibt sich im Vorfeld der Debatten im Ständerat folgendes Bild (vgl. auch die aktuellste Fahne dazu):
- Besonders Schützenswerte Personendaten:
- Im revidierten DSG werden zum Katalog der besonders schützenswerten Personendaten auch genetische Daten zählen. Der Bundesrat – und nachfolgend auch der Ständerat – sahen vor, dass diese als solche als besonders schützenswerte Personendaten gelten sollen. Der Nationalrat beschloss hingegen, dass nur genetische Daten, die eine natürliche Person eindeutig identifizieren besonders schützenswert sein sollen. Von diesem Standpunkt wich er auch in der Differenzbereinigung nicht ab. Die SPK-SR beantragt für den Beschluss des Ständerates ein Festhalten an der ursprünglichen Definition des Bundesrates.
- Darüber hinaus steht jetzt fest, dass weiterhin nicht nur Daten über religiöse, weltanschauliche oder politische, sondern auch Daten über gewerkschaftliche Ansichten oder Tätigkeiten als besonders schützenswerte Personendaten gelten werden. Der Nationalrat hatte sich ursprünglich noch gegen einen Einbezug der gewerkschaftlichen Ansichten und Tätigkeiten ausgesprochen.
- Gleiches gilt für «Daten über Massnahmen der sozialen Hilfe«. Diese werden auch künftig besonders schützenswert sein. An der ursprünglich verlangten Streichung dieser Kategorie hielt der Nationalrat nicht mehr fest.
- Profiling mit hohem Risiko: Der Nationalrat schloss sich im März dem Ständerat insofern an, als eine gesetzliche Definition des Profiling mit hohem Risiko eingeführt werden soll. Für dieses soll künftig eine eventuell erforderliche Einwilligung ausdrücklich sein müssen und der Rechtfertigungsgrund der Bonitätsprüfung nicht greifen. Der Nationalrat möchte aber eine kürzere Definition einführen, wonach als Profiling mit hohem Risiko nur jenes Profiling zu qualifizieren sei, «welches zu besonders schützenswerten Personendaten führt». Die SPK-SR hat dem Ständerat wiederum eine andere Definition vorgeschlagen, die auf die Verknüpfung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person abstellt. Damit soll auf den Begriff «des Persönlichkeitsprofils» im geltenden DSG Bezug genommen werden.
- Informationspflicht bei Beschaffung von Personendaten: Im revidiertem DSG wird bei der Beschaffung von Personendaten eine stark erweiterte Informationspflicht gelten. Die neue Vorschrift enthält einen Katalog an Mindestinformationen, die der betroffenen Person mitzuteilen sind.
- Nach dem Beschluss des Ständerats soll zu den Pflichtinformationen auch eine Liste der Rechte der betroffenen Person sowie die mögliche Absicht des Verantwortlichen, die Personendaten zum Zwecke einer Bonitätsprüfung zu bearbeiten oder Dritten bekannt zu geben, gehören. Diese Ergänzung hat der Nationalrat im März abgelehnt. Die SPK-SR empfiehlt dem Ständerat nun, ebenfalls auf die Ergänzung zu verzichten.
- Die vom Nationalrat vorgeschlagene, vom Ständerat aber abgelehnte Ausnahme von der Informationspflicht im Falle eines unverhältnismässig hohen Aufwands, wird ferner (bei der direkten Datenbeschaffung) nicht im revidierten DSG enthalten sein. Der Nationalrat beschloss im März darauf zu verzichten.
- Auskunftsrecht:
- Der Nationalrat lehnt es zudem ab, dass sich das Auskunftsrecht der betroffenen Personen auch darauf beziehen soll, ob beim Verantwortlichen die Absicht zur Datenbearbeitung für eine Bonitätsprüfung oder eine Bekanntgabe an Dritte zu diesem Zweck besteht. Die SPK-SR hat sich dieser Ansicht ebenfalls angeschlossen.
- Weiterhin umstritten ist zudem, ob der betroffenen Person bei der Geltendmachung ihres Auskunftsrechts Informationen über «die bearbeiteten Personendaten» oder «die bearbeiteten Personendaten als solche» mitgeteilt werden müssen. Der Nationalrat hat sich im März entgegen dem Bundes- und dem Ständerat erneut für Letzteres ausgesprochen.
- Dem Vorschlag des Ständerates folgt der Nationalrat nun aber zumindest in einem weiteren Punkt beim Auskunftsrecht: Über das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, die dahinter steht, muss der betroffenen Person Auskunft erteilt werden und dies – entgegen dem ursprünglichen Standpunkt des Nationalrats – nicht nur, wenn solche Entscheidungen mit einer Rechtsfolge oder einer erheblichen Beeinträchtigung verbunden ist. Diese Einschränkung wird deshalb nicht im revidierten DSG enthalten sein.
- Konzernprivileg: Für die konzerninterne Weitergabe von Personendaten wird nun – wie vom Ständerat vorgeschlagen – ein Rechtfertigungsgrund im Sinne eines überwiegenden Interesses im revidierten DSG implementiert werden. Der Nationalrat hat sich im März dem Standpunkt des Ständerats angeschlossen. Ebenfalls angenommen wurde der damit verbundene Vorschlag, die konzerninterne Datenweitergabe von der Informationspflicht und vom Auskunftsrecht auszunehmen.
- Rechtfertigungsgrund Bonitätsprüfung: Eine Rechtfertigung für die Bearbeitung von Personendaten wird gemäss revidiertem DSG unter anderem voraussetzen, dass die bearbeiteten Daten zeitlich nicht zu weit zurückreichen. Der Nationalrat hält hier gemäss seiner bisherigen Auffassung daran fest, dass die Daten bis zu zehn Jahre alt sein dürfen, während der Bundesrat und der Ständerat von fünf Jahren ausgingen. Die Mehrheit der SPK-SR hat sich ebenfalls für eine maximal zurückreichende Dauer von fünf Jahren ausgesprochen.
- Rechtfertigungsgrund für Medien: Das geltende Recht nennt als möglichen Rechtfertigungsgrund auch die Datenbearbeitung „ausschliesslich für die Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums“ (vgl. 13 Abs. 2 lit. d DSG). Handelt es sich beim Verantwortlichen um ein solches Medium, wird eine Rechtfertigung künftig auch unabhängig von der Veröffentlichung möglich sein, sofern die Daten ausschliesslich als persönliches Arbeitsinstrumentdienen (Art. 27 Abs. 2 lit. d E-DSG). Der Nationalrat hat sich diesem Vorschlag des Ständerats angeschlossen.
- Verletzung der Datensicherheit als Sanktions-Tatbestand: Auch hier hat sich der Nationalrat letztlich der Linie des Ständerates angeschlossen. Damit werden zukünftig auch vorsätzliche Verletzungen der Datensicherheit mit Busse von bis zu CHF 250’000.- sanktioniert werden können.
Wie geht es weiter mit der DSG-Revision?
Nachdem die SPK-SR in ihrer Vorberatung nun ebenfalls bereits ihre Anträge gestellt hat, werden die offenen Punkte voraussichtlich am 2. Juni 2020 im Ständerat diskutiert und ein entsprechender Beschluss darüber gefällt. Sollten weiterhin offene Punkte bestehen, wird das Differenzbereinigungsverfahren in eine «zweite Runde» gehen.
Weitere Informationen:
- Geltendes Datenschutzgesetz (DSG)
- Übersicht über die DSG-Revision (beschlossene und strittige Punkte, inkl. Vergleich zum geltenden DSG und der EU-DSGVO) in Tabellenform
- Details der Beschlüsse des Nationalrates und der SPK-SR («Fahne») zur DSG-Revision
- MLL-News vom 13.2.2020: «DSG-Revision: Erste Eckpunkte des neuen Datenschutzgesetzes stehen fest»