Stellungnahme des EDÖB zum revidierten Schweizer Datenschutzgesetz

Hintergrund der Totalrevision des Bundesgesetzes über den Datenschutz

In Anbetracht der rasanten technischen Entwicklung der vergangenen Jahre wurde eine umfassende Revision des Datenschutzgesetzes unausweichlich, um einen zeitgemässen Datenschutz zu gewährleisten (vgl. MLL-News vom 14. Februar 2017 sowie MLL-News vom 29. Juli 2020). Nach einem langwierigen Gesetzgebungsprozess verabschiedete das Eidgenössische Parlament die Revision in der Herbstsession 2020. Nebst der Modernisierung des Datenschutzgesetzes wurde dabei eine Anpassung an die internationalen Standards vorgenommen, wobei sich das revDSG trotz Anlehnung an das europäische Recht durch seine Abstraktheit, Kürze sowie den abweichenden Terminologien von der europäischen Regelung unterscheidet (vgl. MLL-News vom 19. Oktober 2020).

Die wichtigsten Neuerungen im neuen Datenschutzrecht aus Sicht des EDÖB

Vor diesem Hintergrund hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) das revDSG aus seiner Sicht begutachtet und im Februar 2021 eine Stellungnahme dazu verfasst (ausführlich zum revDSG siehe MLL-News vom 19. Oktober 2020). Dabei ging der EDÖB u.a. auf die nachfolgenden Punkte ein und stellte seine Sichtweise dar:

• Datenschutz ausschliesslich für natürlichen Personen: Neu werden nur noch natürlichen Personen, deren Personendaten bearbeitet werden, vom Anwendungsbereich des revDSG erfasst. Juristische Personen geniessen jedoch weiterhin Persönlichkeitsschutz gemäss Art. 28 ZGB. Auch können sie sich nach wie vor auf den Schutz des Geschäfts- und Fabrikationsgeheimnis nach Art. 162 StGB berufen oder sich auf die Schutzbestimmungen des Bundesgesetzes über den unlauteren Wettbewerb sowie auf das Kartellrecht stützen.
• Besonders schützenswerte Personendaten: Unter den Begriff besonders schützenswerte Personendaten fallen nach dem revDSG auch genetische sowie biometrische Daten (vgl. MLL-News vom 25. September 2020).
• Privacy by Design und by Default: Neu fanden die beiden Grundsätze «Datenschutz durch Technik» und «Datenschutz durch datenschutzfreundliche Voreinstellungen» Eingang ins revDSG. Die beiden Grundsätze verpflichten Behörden und Unternehmen, die Bearbeitungsgrundsätze des revDSG bereits ab der Planung entsprechender Vorhaben umzusetzen, indem sie angemessene technische und organisatorische Schutzmassnahmen treffen. Gemäss dem EDÖB verlangt der Grundsatz des Privacy by Design von Unternehmen und Behörden, dass die Daten standardmässig anonymisiert und gelöscht werden. Demgegenüber soll der Grundsatz des Privacy by Default sicherstellen, dass lediglich Daten, welche für den Verwendungszeck unbedingt notwendig sind, bearbeitet werden. Aus Sicht des EDÖB dient dieser Grundsatz insbesondere dazu, Nutzer von privaten Online-Angeboten, welche sich nicht mit den Nutzungsbedingungen und den Widerspruchsrechten befasst haben, zu schützen. Insofern empfiehlt der EDÖB Unternehmen ihre Angebote rechtzeitig zu überprüfen und nötigenfalls durch den Einsatz datenschutz- und kundenfreundlicher Programme notwendige Anpassungen vorzunehmen.
• Datenschutzberater/-innen: Private Unternehmen können gestützt auf Art. 10 revDSG eine(n) Datenschutzberater/in ernennen. Anders als in der EU-Datenschutzgrundverordnung (DSGVO) sieht das revDSG die Ernennung eines Datenschutzberaters für private Unternehmen nur fakultativ, d.h. freiwillig, vor. Wird ein Datenschutzberater ernennt, weisst der EDÖB darauf hin, dass die Datenschutzberatung getrennt und unabhängig von den weiteren Aufgaben des Unternehmens wahrzunehmen ist.
• Datenschutz-Folgenabschätzung: Nach der Ansicht des EDÖB sind Bundesorgane bereits heute zu einer Datenschutz-Folgenabschätzung (vgl. hierzu auch MLL-News vom 17. Juni 2018) verpflichtet, wobei er damit am ehesten die Vorschriften im Zusammenhang mit «Projekten zur automatisierten Bearbeitung von Personendaten» meinen könnte (vgl. nur Art. 20 Abs. 2 VDSG). Laut Art. 22 revDSG sind neu jedenfalls alle Verantwortlichen, d.h. Private und Bundesorgane, verpflichtet, vorgängig eine Datenschutz-Folgenabschätzung zu erstellen, wenn eine beabsichtigte Bearbeitungstätigkeit ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt. Ist aufgrund einer Datenschutz-Folgenabschätzung erkennbar, dass trotz vorgesehenen risikominimierenden Massnahmen nach wie vor ein hohes Risiko für die Persönlichkeit oder die Grundrechte des Betroffenen angenommen werden muss, ist vorgängig die Stellungnahme des EDÖB einzuholen (Art. 23 revDSG), wobei dieser seine Einwände gegenüber dem Verantwortlichen durch das Nahelegen von Präzisierungen oder Ergänzungen offenlegt. Der EDÖB geht davon aus, dass dies insbesondere dann der Fall sein werde, wenn der Text der Datenschutz-Folgenabschätzung derart allgemein gehalten sei, dass er voraussehbare Risiken oder Massnahmen nur unzureichend oder gar nicht beschreibt. Richte sich ein Einwand des EDÖB gegen die Bearbeitungstätigkeit selbst, beabsichtige er dem Verantwortlichen geeignete Massnahmen zur Modifizierung der Bearbeitungstätigkeit vorzuschlagen, sodass diese gesetzeskonform durchgeführt werden kann.
• Verzeichnis der Bearbeitungstätigkeiten: Die Verantwortlichen sowie die Auftragsbearbeiter müssen neu nach Art. 12 revDSG je ein Verzeichnis sämtlicher Datenbearbeitungen führen, welches stets à jour sein muss. Eine Pflicht zur Meldung des Verzeichnisses gegenüber dem EDÖB besteht für private Datenbearbeiter, anders als für Bundesorgane, nicht.
• Bekanntgabe von Personendaten ins Ausland: Der EDÖB führt aus, dass Daten weiterhin ins Ausland bekannt gegeben werden dürfen. Wie Art. 16 revDSG festhält, ist dies allerdings grundsätzlich nur erlaubt, wenn der Bundesrat – in einer noch zu publizierenden Liste – festgestellt hat, dass die Gesetzgebung des Drittstaates einen angemessenen Schutz gewährleistet. Ist der Drittstaat nicht auf dieser vom Bundesrat erstellten Liste, können wie bereits nach bisherigem Recht, Daten ins Ausland transferiert werden, wenn auf eine andere Weise ein angemessenes Datenschutzniveau gewährleistet wird; etwa durch einen völkerrechtlichen Vertrag, Datenschutzklauseln oder Binding Corporate Rules (vgl. MLL-News vom 05. Oktober 2020). In diesem Zusammenhang hält der EDÖB zudem explizit fest, dass die bereits unter der DSGVO genehmigten EU-Standardvertragsklauseln vom EDÖB anerkannt werden. Ferner weist der EDÖB auf einen sog. Swiss Finish, d.h. heisst eine im Vergleich zur DSGVO strengere Regelung, hin: «Ist eine Bekanntgabe ins Ausland geplant – wozu auch die Speicherung auf ausländischen Systemen (Cloud) gehört – sind die Länder anzugeben, gleichgültig, ob diese einen angemessenen Datenschutz bieten. (…) Anzugeben ist auch, welche Datenschutzgarantien gegebenenfalls zum Einsatz kommen (z.B. EU-Standardvertragsklauseln) oder auf welche Ausnahmen nach Art. 17 revDSG sich der Verantwortliche allenfalls bezieht.»
• Erweiterte Informationspflichten: Im Sinne der Transparenz, führt das revDSG eine Informationspflicht bei jeder geplanten Beschaffung von Personendaten durch private Verantwortliche ein. Im Gegensatz zur DSGVO werde im revDSG nicht nur die Bekanntgabe der Identität und der Kontaktdaten des Verantwortlichen sowie des Bearbeitungszwecks vorgesehen, sondern auch Informationen über den Empfängerstaat und die allfälligen Garantien zur Gewährleistung eines angemessenen Datenschutzniveaus. Gemäss dem EDÖB ist es für Unternehmen insofern unerlässlich, ihre ggf. bestehenden Datenschutzerklärungen zu prüfen und zu anpassen.
• Auskunftsrecht der betroffenen Person: Bereits im bisherigen Recht hatte die betroffene Person das Recht, Auskunft darüber zu verlangen, ob Personendaten über sie bearbeitet werden (vgl. auch zum Auskunftsrecht MLL-News vom 03. Februar 2021). Dieses Auskunftsrecht wurde in Art. 25 revDSG nun durch eine erweiterte Liste an Mindestinformationen ausgebaut.
  
• Meldepflicht bei Verletzungen der Datensicherheit: Eine Verletzung der Datensicherheit, welche für die Betroffenen zu einem hohen Beeinträchtigungsrisiko ihrer Persönlichkeit oder ihrer Grundrechte führen, müssen vom Verantwortlichen dem EDÖB gemeldet werden (Art. 24 revDSG). Der EDÖB führt dazu aus, dass lediglich eingetretene Persönlichkeits- oder Grundrechtsverletzungen meldepflichtig sind, nicht aber erfolgreich abgewehrte oder untaugliche Cyberangriffe. Anders als das revDSG, sieht die DSVGO eine Meldepflicht bereits bei einem einfachen Risiko vor.
• Recht auf Datenportabilität: Jede betroffene Person hat neu das Recht gestützt auf Art. 28 revDSG, ihre Personendaten, welche sie einem privaten Verantwortlichen bekanntgegeben hat, grundsätzlich kostenlos in einem gängigen elektronischen Format heraus zu verlangen oder einem Dritten übertragen zu lassen. Vorausgesetzt ist, dass der Verantwortliche die Daten automatisiert und mit der Einwilligung des Betroffenen oder in einem unmittelbaren Zusammenhang mit einem Vertrag bearbeitet. Der EDÖB weist aber darauf hin, dass das Recht auf Datenportabilität nicht unbeschränkt gilt. Ist die Herausgabe oder die Übertragung mit einem unverhältnismässigen Aufwand verbunden, kann das Recht auf Datenportabilität eingeschränkt oder verweigert werden. Dies könne etwa dann der Fall sein, wenn bei Kommunikationsdaten eine aufwändige Triage zwischen den eigenen Äusserungen und jenen von Dritten notwendig werde.
• Untersuchung von Amtes wegen bezüglich sämtlicher Verstösse gegen die Datenschutzvorschriften: Neu hat der EDÖB laut Art. 49 Abs. 1 revDSG alle Verstösse gegen das neue DSG sowohl durch Bundesorgane als auch durch private Personen von Amtes wegen zu untersuchen. Bis anhin war die Untersuchung von Amtes wegen bei privaten Personen auf mögliche Persönlichkeitsverletzungen einer grösseren Anzahl von Personen beschränkt. Der EDÖB hat allerdings auch künftig die Möglichkeit, von der Eröffnung einer Untersuchung abzusehen, etwa dann, wenn eine Verletzung einer Datenschutzvorschrift von geringerer Bedeutung vorliegt (Art. 49 Abs. 2 revDSG). In diesem Zusammenhang führt der EDÖB aber aus, dass er nach Massgabe des sog. Opportunitätsprinzips (d.h., dass eine Behörde nach eigenem Ermessen entscheiden kann, ob sie eine Untersuchung einleitet oder durchführt) Prioritäten setzen werde, da seine Ressourcen zur Behandlung von Anzeigen ohnehin beschränkt seien.
• Verfügungen: Nach dem revDSG kann der EDÖB gestützt auf Art. 51 Abs. 1 revDSG nicht mehr nur Empfehlungen erlassen, sondern Verfahren nach dem Verwaltungsverfahrensgesetz durchführen und anordnen, eine Datenbearbeitung ganz oder teilweise anzupassen, zu unterbrechen oder einzustellen. Auch über das Löschen oder Vernichten von Personendaten kann der EDÖB verfügen. Gegen Verfügungen des EDÖB kann beim Bundesverwaltungsgericht und anschliessend vor Bundesgericht Beschwerde eingelegt werden.
• Konsultationen: Das revDSG sieht punktuell vor, dass die Verantwortlichen vor dem definitiven Abschluss von Arbeiten und der Realisierung ihrer Vorhaben den EDÖB konsultieren müssen. Dem EDÖB sind sodann Verhaltenskodizes und ggf. Datenschutz-Folgenabschätzungen zur Stellungnahme vorzulegen. In der Regel werden die Stellungnahmen nicht verfügenden Charakter haben. Werden allerdings Auflagen nicht beachtet, müsse damit gerechnet werden, dass die vorerst als Empfehlung ausgestaltete Stellungnahme, später Gegenstand einer Verfügung werde.
• Sanktionen: Für Private werden in Art. 60 revDSG neu Bussen bis zu CHF 250’000 für vorsätzliches Handeln oder Unterlassen angedroht. Die Missachtung auf Informations-, Auskunfts- sowie Meldepflichten werden lediglich auf Antrag bestraft. Auch die Verletzung der beruflichen Schweige- und Sorgfaltspflicht ist ein Antragsdelikt. Grundsätzlich wird die natürliche Person bestraft. Wenn die Ermittlung der strafbaren natürlichen Person innerhalb des Unternehmens oder der Organisation einen unverhältnismässigen Untersuchungsaufwand bedeutet, können neu auch Unternehmen selbst mit einer Busse bis zu CHF 50’000 gebüsst werden. Dies steht im Gegensatz zur DSGVO, nach welcher Verwaltungssanktionen ausschliesslich gegen juristische Personen ausgesprochen werden können. Dem EDÖB kommt, im Gegensatz zum europäischen Recht, keine Sanktionsbefugnis zu. Er kann aber bei der zuständigen kantonalen Strafverfolgungsbehörde Anzeige erstatten und im Verfahren die Rechte als Privatkläger wahrnehmen.

Fazit und Anmerkungen

In seiner Stellungnahme erläutert der EDÖB die wichtigsten Bestimmungen aus seiner Sicht und gibt – wenn auch nur wenige – Hinweise darauf, wie er seine Praxis in Zukunft ausgestalten wird. Der EDÖB geht davon aus, dass das revDSG im zweiten Semester 2022 in Kraft treten wird. Bezüglich seiner Untersuchungen führt er zwar aus, dass er von Amtes wegen alle Verstösse gegen das revDSG verfolgen muss. Jedoch relativiert er diese Aussage sogleich: «Aufgrund seiner [des EDÖB] beschränkten Ressourcen ist generell davon auszugehen, dass der EDÖB bei der Behandlung von Anzeigen auch nach Inkrafttreten des neuen Gesetzes nach Massgabe des Opportunitätsprinzips Prioritäten setzen wird.»

Interessant sind auch die Ausführungen zu den Konsultationen beim EDÖB (z.B. bei Datenschutz-Folgenabschätzungen), in denen er ausführt, dass er «weder eine Genehmigungsbehörde noch eine Zulassungsstelle für Applikationen, Produkte, Regulierungen und Projekte» sei. Das revDSG sieht indessen an verschiedener Stelle vor, dass die Verantwortlichen den EDÖB vorgängig zur Einführung oder Realisierung gewisser Bearbeitungstätigkeiten konsultieren müssen. So sind ihm beispielsweise Verhaltenskodizes oder – sofern kein Datenschutzberater im Unternehmen ernannt wurde – Datenschutz-Folgenabschätzungen mit hohen Risiken für die Betroffen zur Stellungnahme vorzulegen.

Allgemein führt der EDÖB in seiner Stellungnahme aber auch aus, dass angesichts der abstrakten Natur dieser Konsultationsgegenstände seine Stellungnahmen in aller Regel keinen verfügenden Charakter haben werden und die von ihm empfohlen Massnahmen und Auflagen dadurch keine Beschwerdemöglichkeiten zulassen. Bleiben Letztere durch die Verantwortlichen aber unbeachtet, müsse indessen damit gerechnet werden, dass konkrete Datenbearbeitungen, die mit Empfehlungen des EDÖB im Zusammenhang stehen, später Gegenstand von Verfügungen werden. Diese können so weit gehen, Datenbearbeitungen als Ganzes zu untersagen, wogegen den Verantwortlichen dann aber die ordentlichen Rechtsmittel des Verwaltungsverfahrens offenstehen.

Insofern kann festgehalten werden, dass der EDÖB – trotz Hinweis auf seine beschränkten Ressourcen – durchaus gewillt ist, dem revDSG direkt nach dessen Inkrafttreten zum Durchbruch zu verhelfen. Unternehmen in der Schweiz bzw. Unternehmen, welche vom extraterritorialen Anwendungsbereich des revDSG erfasst sind, sollten die Stellungnahme deshalb zum Anlass nehmen, um ihre Compliance-Projekte voran zu treiben, insbesondere auch deshalb, weil das revDSG keine Übergangsfristen vorsehen wird.

Weitere Informationen:

• Das neue Datenschutzgesetz aus Sicht des EDÖB
• MLL-News vom 19. Oktober 2020: «Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick»
• MLL-News vom 25. September: «DSG Revision verabschiedet – Differenz beim Profiling bereinigt»
• MLL-News vom 14. Februar 2017: «Totalrevision DSG: wichtigste Eckpunkte des Vernehmlassungsentwurfes für ein neues Schweizer Datenschutzgesetz»
• MLL-News vom 03. Februar 2021: «Bundesgericht: Umfang des Auskunftsrechts nach Art. 8 DSG umfasst keine Erinnerung»
• MLL-News vom 05. Oktober 2020: «EDÖB: Stellungnahme zu Datentransfers in die USA und weitere Staaten ohne angemessenes Datenschutzniveau»
• MLL-News vom 29. Juli 2020: «Update zur DSG-Revision – letzte strittige Punkte»
• MLL-News vom 17. Juni 2018: «Datenschutz-Folgenabschätzung: Behörden veröffentlichen erste Positivlisten»