Totalrevision DSG: Bundesrat veröffentlicht Gesetzesentwurf und Botschaft


Am 15. September 2017 hat der Bundesrat den Gesetzesentwurf für die Totalrevision des DSG sowie die Botschaft veröffentlicht. Der Bundesrat hat die teilweise heftige Kritik am Vorentwurf zur Totalrevision des schweizerischen Datenschutzgesetzes (VE-DSG) zur Kenntnis genommen. Einzelne Bestimmungen wurden im Sinne der Wirtschaft gestrichen oder abgeschwächt. Andere für die Wirtschaft mit erhöhtem administrativem Aufwand verbundene Bestimmungen wurden dagegen beibehalten. Insbesondere wird am strafrechtlichen Sanktionssystem festgehalten. Der Gesetzesentwurf muss nun vom Parlament beraten werden. Das revidierte DSG soll im August 2018 in Kraft treten. Dieser Zeitplan erscheint sehr ambitioniert.


Ziele der Revision

Eines der Hauptziele bleibt weiterhin die Anpassung des DSG an die Anforderungen der auch für die Schweiz verbindlichen Datenschutzkonvention des Europarates (SEV 108). Wichtig – auch aus gesamtwirtschaftlicher Sicht – ist sodann dafür zu sorgen, dass das Niveau des Schweizer Datenschutzes auch in Zukunft durch die EU als angemessen und gleichwertig beurteilt wird. Dies ist zwingende Voraussetzung für einen reibungslosen, funktionierenden Datenaustausch mit den europäischen Nachbarländern (siehe auch die Medienmitteilung des Bundesrates vom 15. September 2017).


Vergleich zum Vernehmlassungsentwurf

Die wichtigsten Bestimmungen des Vernehmlassungsentwurfes bzw. Vorentwurfes wurden in MLL-News vom 14. Februar 2017 vorgestellt.

Nachfolgend werden einige ausgewählte Abweichungen vom Vorentwurf oder Neuerungen dargestellt. Wir werden uns in zukünftigen Beiträgen weiter mit der Revision des DSG auseinandersetzen. Die Diskussion hat erst begonnen.


Abweichungen / Änderungen

Die Definition des Profiling wurde angepasst (Art. 4 lit. f E-DSG). Die Begriffsdefinition wurde an die EU-DSGVO angeglichen. Neu handelt es sich nur bei noch bei der Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten um ein Profiling.

Privacy by Design und by Default (Art. 6 E-DSG) treffen im Gegensatz zu Art. 18 VE-DSG nur den Verantwortlichen. Der Auftragsbearbeiter wird nicht mehr direkt verpflichtet. Da der Verantwortliche jedoch vertraglich sicherstellen muss, dass der Auftragsbearbeiter Personendaten nur so bearbeitet, wie er dies dürfte, wird der Auftragsbearbeiter zumindest indirekt weiterhin von diesen Pflichten betroffen sein. Art. 6 Abs. 3 E-DSG hält im Vergleich zum VE-DSG neu fest, dass Privacy by Default nur gilt, soweit die betroffene Person nicht etwas anderes bestimmt. Gemäss Botschaft kann der Verantwortliche insbesondere durch Zertifizierung oder eine Datenschutz-Folgenabschätzung nachweisen, dass er Privacy by Default eingehalten hat.

Nach Art. 8 Abs. 3 E-DSG ist im Privatsektor bei der Unter-Auftragsdatenbearbeitung keine schriftliche Zustimmung mehr notwendig. Eine Genehmigung des Verantwortlichen in mündlicher Form ist ausreichend. Die Botschaft hält allerdings fest, dass der Auftragsbearbeiter die Genehmigung nachweisen muss, was wiederum durch Schriftform erleichtert wird.

Der Verantwortliche und der Auftragsbearbeiter müssen ein Verzeichnis ihrer Bearbeitungstätigkeiten führen (Art. 11 E-DSG). Diese Pflicht löst die Dokumentationspflicht nach Art. 19 lit. a VE-DSG ab. Art. 11 Abs. 5 E-DSG gibt dem Bundesrat die Möglichkeit, Ausnahmen von dieser Verzeichnispflicht bei Unternehmen mit weniger als fünfzig Mitarbeitern vorzusehen, bei denen zudem kein erhöhtes Risiko von Persönlichkeitsverletzungen besteht.

In der Vernehmlassung umstritten waren auch Art. 5 und 6 VE-DSG betreffend den Datentransfer ins Ausland. Dies deshalb, weil der Vorentwurf zahlreiche Genehmigungsvorbehalte des EDÖB vorsah. Art. 13 E-DSG sieht den Genehmigungsvorbehalt nur noch für verbindliche unternehmensinterne Datenschutzvorschriften vor. Die frühere Informationspflicht bei der Verwendung von vom EDÖB genehmigten Standarddatenschutzklauseln entfällt.

Bei der Informationspflicht nach Art. 17 E-DSG wurde die Kritik in der Vernehmlassung teilweise berücksichtigt. Die Pflicht zur Information über die Identität und weitere Informationen zu Auftragsbearbeitern wurde gestrichen. Dies ist für die Unternehmen positiv. Positiv ist auch, dass gemäss Botschaft bei der direkten Beschaffung von Personendaten die Information in einer Datenschutzerklärung auf der Webseite erfolgen darf. Diese Erleichterung wird jedoch gemäss Botschaft dann nicht ausreichen, wenn die Personendaten nicht direkt bei der betroffenen Person beschafft werden. In dieser Konstellation müsse die betroffene Person auf eine Art informiert werden, welche zu einer effektiven Kenntnisnahme führe. Bei den Ausnahmen zur Informationspflicht nach Art. 18 E-DSG gab es keine grösseren Änderungen. Explizit erwähnt ist nunmehr, dass keine Informationspflicht besteht, wenn eine Bearbeitung gesetzlich vorgesehen ist.

Art. 19 E-DSG betreffend die Information bei einer automatisierten Einzelentscheidung wurde nur leicht angepasst. Trotz Kritik im Rahmen der Vernehmlassung sollen für die Auslösung der Informationspflicht weiterhin keine qualifizierten Rechtsfolgen erforderlich sein. Das „Recht auf menschliches Gehör“ wird in Art. 19 Abs. 2 E-DSG explizit verankert. Neuerungen gibt es betreffend die Ausnahmen von der Informationspflicht in Art. 19 Abs. 3 E-DSG. Neu soll die Informationspflicht entfallen, wenn die automatisierte Entscheidung im Zusammenhang mit der Abwicklung oder Durchführung eines Vertrages steht und dem Begehren der betroffenen Person stattgegeben wird sowie dann, wenn die betroffene Person in die automatisierte Entscheidung eingewilligt hat.

Bei der Datenschutz-Folgenabschätzung in Art. 20 E-DSG wurde zumindest sprachlich die Hürde von einem erhöhten Risiko zu einem hohen Risiko angehoben. Die Voraussetzungen bleiben jedoch weiterhin unklar. Kritisch ist zudem, dass offenbar bei der umfangreichen Bearbeitung von besonders schützenswerten Daten und vor allem beim Profiling immer von einem hohen Risiko und damit der Pflicht zur Datenschutz-Folgenabschätzung ausgegangen wird. Ausgebaut wurde dagegen wiederum der Ausnahmekatalog in Art. 20 Abs. 4 E-DSG. So soll erfreulicherweise eine Folgenabschätzung generell nicht notwendig sein, wenn eine gesetzliche Pflicht zur Datenbearbeitung besteht. Eine Folgenabschätzung soll auch dann nicht notwendig sein, wenn der Datenbearbeiter zertifiziert ist oder einen Verhaltenkodex einhält, der seinerseits auf einer Datenschutz-Folgenabschätzung beruht und dem EDÖB vorgelegt wurde.

Art. 21 E-DSG betreffend die Konsultation des EDÖB nach einer Datenschutz-Folgenabschätzung wurde ebenfalls vor dem Hintergrund der Vernehmlassungsergebnisse angepasst. Leider ist die vorgesehene Konsultationspflicht immer noch strenger als gemäss EU DSGVO, was nicht nachvollziehbar ist. Während gemäss EU-DSGVO eine Konsultation nur dann notwendig ist, wenn selbst mit geeigneten Massnahmen weiterhin ein hohes Risiko besteht, soll nach Art. 21 E-DSG der EDÖB immer konsultiert werden müssen. Die Antwortfrist des EDÖB wurde zwar auf zwei Monate verkürzt, was jedoch immer noch lang sein kann. Wichtig für Unternehmen dürfte Art. 21 Abs. 4 E-DSG werden: Auf eine Konsultation des EDÖB soll verzichtet werden können, wenn der (interne) Datenschutzberater (Art. 9 E-DSG) konsultiert wurde.

Die Meldepflicht bei Verletzungen der Datensicherheit in Art. 22 E-DSG wurde aufgrund der Vernehmlassung angepasst. Im Gegensatz zum Vorentwurf soll bei der unbefugten Datenbearbeitung keine Meldepflicht mehr eingeführt werden. In Art. 22 Abs. 6 E-DSG wurde zudem neu das Prinzip des Selbstbelastungsverbotes verankert. Die Meldung darf in einem Strafverfahren nur mit Einverständnis des Verantwortlichen gegen diesen verwendet werden.

In Art. 26 E-DSG (Persönlichkeitsverletzungen) wurde die Verletzung „durch Profiling ohne ausdrückliche Einwilligung der betroffenen Person“ gestrichen. Diese Bestimmung war in der Vernehmlassung auf heftigen Widerstand gestossen. Sie hätte im zukünftig wichtigen Feld der personalisierten Dienstleistungen und der personalisierten Kommunikation mit Kunden die sog. „Login-Giganten“ unnötig bevorteilt. Dies kann nicht im Sinne einer innovativen und wettbewerbsorientierten digitalen Wirtschaft sein. Es dürfte allerdings zu bezweifeln sein, dass dieses Argument vorliegend den Ausschlag gab. Wie schon der Vorentwurf, der u.a. auf einer Regulierungsfolgeabschätzung beruhte, sind die in der Botschaft vorgebrachten wirtschaftlichen Argumente keineswegs überzeugend und widersprechen teilweise den faktischen Marktgegebenheiten.

Im Vergleich zum Vernehmlassungentwurf wurde erfreulicherweise Art. 19 lit. b VE-DSG ersatzlos gestrichen. Der Artikel sah vor, dass der verantwortliche Empfänger von Personendaten über Berichtigungen, Löschungen oder die Vernichtung von Daten sowie Verletzungen des Datenschutzes hätten informieren müssen.

Aufgrund der heftigen Kritik gestrichen wurde auch die Bestimmung, welche die aufschiebende Wirkung gegen vorsorgliche Massnahmen des EDÖB ausschloss. Nach Art. 46 E-DSG gelten in diesen Fällen die normalen Regeln für die aufschiebende Wirkung im Verwaltungsverfahrensgesetz.

Am meisten kritisiert wurden die Strafbestimmungen. Kritisiert wurde, dass sich die Strafsanktionen gegen natürliche Personen richten, d.h. auch gegen normale Mitarbeiter, und eine Sanktionierung selbst bei Fahrlässigkeit möglich gewesen wäre. Art. 54 ff. E-DSG sehen immer noch Sanktionen vor, welche sich gegen natürliche Personen richten. Auf direkte Verwaltungssanktionen wie im Kartellrecht wurde verzichtet. In der Botschaft wird dies mit dogmatischen Gründen gerechtfertigt. Die Kritik in der Vernehmlassung wird immerhin, wenn auch zu wenig, dahingehend berücksichtigt, dass fahrlässiges Verhalten nicht mehr zu einer Sanktion führen soll. Die Maximalbusse wurde zudem auf CHF 250’000.00 reduziert. Des Weiteren wurde der Katalog der strafbaren Handlungen eingeschränkt. Sanktioniert werden inskünftig primär Verletzungen von Informations-, Melde- und Auskunftspflichten. Sanktioniert wird darüber hinaus, wenn die Bestimmungen über den Datentransfer ins Ausland und die Voraussetzungen an die Auftragsdatenbearbeitung nicht eingehalten werden. Im Vergleich zum Vorentwurf wird zudem nicht mehr jede Verletzung der Datensicherheit bestraft. Aus Gründen des Bestimmtheitsgebotes wird nur noch sanktioniert, wenn eine private Person die vom Bundesrat festzulegenden Mindestanforderungen an die Datensicherheit nicht einhält. In der Botschaft wurde zudem zur Kritik Stellung genommen, dass bei diesem Sanktionssystem auch normale Arbeitnehmer sanktioniert werden könnten. Gemäss Botschaft sollte sich die Strafdrohung in den meisten Fällen wegen Art. 29 StGB an die leitenden Personen, d.h. die Organe einer juristischen Person, richten und nicht an normale Arbeitnehmer. Nachvollziehbar ist dieses Argument sicherlich bei Art. 57 E-DSG, wo es um die vorsätzliche Missachtung einer Verfügung des EDÖB geht. Bei anderen sanktionierten Pflichten ist die Zurechnung nach Art. 29 StGB jedoch nicht vollkommen klar.


Neuerungen

Neu wird eine Definition für den Terminus Verletzung der Datensicherheit vorgeschlagen (Art. 4 lit. g E-DSG). Um eine Verletzung der Datensicherheit soll es sich demnach handeln, wenn Personendaten verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden.

Neu ist in Art. 9 E-DSG der sog. Datenschutzberater geregelt. Es handelt sich dabei um den internen Datenschutzbeauftragten gemäss aktuellem DSG. Im Gegensatz zur EU-DSGVO ist die Ernennung eines Datenschutzberaters nach Art. 9 E-DSG freiwillig. Die Ernennung eines Datenschutzberaters dürfte wegen Art. 9 Abs. 2 E-DSG spannend werden. Wird ein Datenschutzberater ernannt und nach einer Datenschutz-Folgenabschätzung konsultiert, entfällt die Pflicht zur Konsultation des EDÖB. Nach Art. 9 Abs. 2 E-DSG muss der Datenschutzberater jedoch gewisse Anforderungen erfüllen – welche sich mit den Anforderungen an den internen Datenschutzbeauftragten nach gegenwärtigem DSG decken.

Neu wird statt von Empfehlungen der guten Praxis von sog. Verhaltenskodizes gesprochen (Art. 10 E-DSG). Auch inhaltlich bringt Art. 10 E-DSG aufgrund der Vernehmlassung Anpassungen. Neu werden die Verhaltenskodizes nicht vom EDÖB, sondern von Berufs- und Wirtschaftsverbänden sowie Bundesorganen erarbeitet. Die Verhaltenskodizes sind zwar dem EDÖB vorzulegen und dieser kann dazu Stellung nehmen, doch hat der EDÖB kein Genehmigungsrecht. Gemäss Botschaft soll die Einhaltung eines vom EDÖB positiv beurteilten Verhaltenskodizes die Verletzung des DSG vermutungsweise ausschliessen.

Art. 12 E-DSG regelt die Möglichkeit der Zertifizierung. Neu ist vorgesehen, dass auch Hersteller von Datenbearbeitungssystemen oder –programmen – nebst dem Verantwortlichen und dem Auftragsbearbeiter – ihre Systeme, Produkte und Dienstleistungen zertifizieren lassen können. Wie erwähnt, soll z.B. der Nachweis der Privacy by Default mittels Zertifizierung erbracht werden können. Zudem kann bei einer Zertifizierung auf eine Datenschutz-Folgenabschätzung verzichtet werden.

Wie in der Vernehmlassung gefordert, wurden in Art. 63 E-DSG Übergangsbestimmungen aufgenommen. Die bisherigen Regeln zur Information bei der Datenbeschaffung sollen noch während zwei Jahren ab Inkrafttreten des Gesetzes fortgelten. Data Privacy by Design und by Default, die Informationspflichten nach Art. 17 und 19 E-DSG sowie die Pflicht zur Datenschutz-Folgenabschätzung sollen erst zwei Jahre nach Inkrafttreten des Gesetzes verbindlich werden, ausser es würde sich um eine Datenbearbeitung im Zusammenhang mit der Schengen-Richtlinie handeln.


Fazit & Einschätzung

Der Entwurf und vor allem auch die teilweise umfangreichen Ausführungen in der Botschaft zeigen, dass die Ergebnisse und die Kritik aufgrund der Vernehmlassung durchaus Gehör gefunden haben. Im E-DSG wurde die teils heftige Kritik nun an vielen Stellen berücksichtigt, insbesondere mit dem Bestreben, den sog.  „Swiss Finish“ zu verhindern. Dies ist sehr erfreulich. Dennoch gibt es leider immer noch zahlreiche Regelungen, bei denen auch mit Blick auf die Angemessenheit gegenüber der EU-Datenschutzgrundverordnung ein Spielraum für eine liberalere Lösung bestanden hätte. Einzelne Bestimmungen bleiben zudem trotz der Ausführungen in der Botschaft immer noch unklar. Schliesslich muss leider konstatiert werden, dass das EJPD trotz der sehr breit geäusserten Kritik im Rahmen der Vernehmlassung beim Sanktionssystem nicht zu einem Umdenken bereit war. Das Festhalten an einem an den Mitarbeitern ansetzenden strafrechtlichen Sanktionssystem hat auch mit den vorgenommenen Relativierungen das Potential, zu einem massiven Standortnachteil für den Unternehmensstandort Schweiz zu werden. Fraglich bleibt sodann, ob mit diesem Sanktionssystem die Voraussetzungen der Anerkennung des angemessenen Datenschutzniveaus durch die EU erfüllt sein werden.

Es ist damit zu rechnen, dass die Kritik, welche während der Vernehmlassung deutlich zu vernehmen war, bei der parlamentarischen Beratung nicht nachlassen wird. Es ist daher durchaus mit Änderungen, allenfalls gar mit Überraschungen zu rechnen.


Weitere Informationen: