Update zur DSG-Revision – letzte strittige Punkte

Übersicht über die bisherigen Etappen der DSG-Revision

Nachdem der Ständerat Ende 2019 seinen Beschluss zur Totalrevision des Schweizer Datenschutzgesetzes (DSG) gefasst hatte, stand ein Grossteil der Eckpunkte der künftigen Vorschriften fest (vgl. dazu MLL-News vom 13. Februar 2020). Hierzu zählen bspw. Strafsanktionen zulasten der natürlichen Personen im Höchstbetrag von CHF 250’000.-, anstelle von Verwaltungssanktionen zulasten der juristischen Personen wie im EU-Recht. Ferner werden zahlreiche Vorgaben aus der EU-Datenschutzgrundverordnung (DSGVO) übernommen, wie z.B. die Pflichten zur Führung eines Verzeichnisses der Datenverarbeitungen und zur Durchführung von Datenschutz-Folgenabschätzungen.

Nach dieser «ersten Runde» begann das Differenzbereinigungsverfahren, in welchem die Räte nur noch über die offenen Punkte beraten. Nach der ersten Beratung im Differenzbereinigungsverfahren durch den Nationalrat Anfang März konnte bereits eine Vielzahl von strittigen Punkten bereinigt werden (vgl. dazu MLL-News vom 29. Mai 2020).

Bereinigung weiterer Punkte durch den Ständerat

Anfang Juni war gleichwohl nochmals der Ständerat mit der Beratung der verbliebenen umstrittenen Punkten an der Reihe. Eine Übereinstimmung mit dem Standpunkt des Nationalrates wurde bei folgenden Regelungen erzielt:

• Auskunftsrecht:
  • Der Ständerat hat sich nun der Ansicht des Nationalrats angeschlossen, dass sich das Auskunftsrecht der betroffenen Personen nicht auch darauf beziehen soll, ob beim Verantwortlichen die Absicht zur Datenbearbeitung für eine Bonitätsprüfung oder eine Bekanntgabe an Dritte zu diesem Zweck besteht.
  • Der betroffenen Person müssen bei der Geltendmachung ihres Auskunftsrechts ferner nicht Informationen über „die bearbeiteten Personendaten“ sondern „die bearbeiteten Personendaten als solche“ mitgeteilt werden.
• Informationspflicht bei der Beschaffung von Personendaten: Der Ständerat verzichtete weiter darauf, dass zu den Pflichtinformationen auch eine Liste der Rechte der betroffenen Person sowie die mögliche Absicht des Verantwortlichen, die Personendaten zum Zwecke einer Bonitätsprüfung zu bearbeiten oder Dritten bekannt zu geben, gehören sollen.

Profiling mit hohem Risiko weiterhin umstritten

Nicht bereinigt und somit weiter strittig sind die folgenden drei Punkte, zu denen sich am 3. Juli 2020 bereits auch die Staatspolitische Kommission des Nationalrates (SPK-N) geäussert und ihre Empfehlungen abgegeben hat:

• Besonders schützenswerte Personendaten: Im revidierten DSG werden zum Katalog der besonders schützenswerten Personendaten auch genetische Daten zählen. Der Bundesrat – und nachfolgend auch der Ständerat – sahen vor, dass diese generell als besonders schützenswerte Personendaten gelten sollen. Der Nationalrat beschloss hingegen, dass nur genetische Daten, die eine natürliche Person eindeutig identifizieren besonders schützenswert sein sollen. Von diesem Standpunkt wich er auch in der Differenzbereinigung nicht ab. Auch der Ständerat hat allerdings weiter an seinem Standpunkt und somit der ursprünglichen Definition des Bundesrates festgehalten. Auch die SPK-N hat hier nun entschieden, sich für die (weitere) Fassung des Ständerates auszusprechen.
• Profiling mit hohem Risiko: Der Nationalrat schloss sich im März dem Ständerat insofern an, als eine gesetzliche Definition des Profiling mit hohem Risiko eingeführt werden soll. Für dieses soll künftig eine eventuell erforderliche Einwilligung ausdrücklich sein müssen und der Rechtfertigungsgrund der Bonitätsprüfung nicht greifen. Der Nationalrat möchte aber eine Definition einführen, wonach als Profiling mit hohem Risiko nur jenes Profiling zu qualifizieren sei, „welches zu besonders schützenswerten Personendaten führt“. Auf Vorschlag der Staatspolitischen Kommission des Ständerates hin, hat der Ständerat nun wiederum eine ganz neue Definition vorgeschlagen. Demnach soll ein Profiling mit hohem Risiko jedes Profiling sein, «das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt die auf die Verknüpfung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person abstellt». Damit soll auf den Begriff „des Persönlichkeitsprofils“ im geltenden DSG Bezug genommen werden. Die Mehrheit der SPK-N hat sich nun allerdings doch wieder dafür ausgesprochen den Begriff des Profilings mit hohem Risiko zu streichen.
• Rechtfertigungsgrund Bonitätsprüfung: Eine Rechtfertigung für die Bearbeitung von Personendaten im Rahmen der Bonitätsprüfung wird gemäss revidiertem DSG unter anderem voraussetzen, dass die bearbeiteten Daten zeitlich nicht zu weit zurückreichen. Der Nationalrat hält hier gemäss seiner bisherigen Auffassung daran fest, dass die Daten bis zu zehn Jahre alt sein dürfen, während der Bundesrat und der Ständerat von fünf Jahren ausgingen. Der Ständerat hat sich hier weiterhin für eine maximal zurückreichende Dauer von fünf Jahren ausgesprochen. Im Gegenzug hat sich die SPK-N weiterhin dafür ausgesprochen, dass die Daten bis zu zehn Jahre alt sein dürfen sollen.

Wie geht es weiter mit der DSG-Revision?

Es verbleiben somit drei Punkte, über welche sich der National- und Ständerat noch einigen müssen. Die SPK N hat ihre Standpunkte bereits dargelegt. Der Nationalrat wird die Beratung aber erst wieder in der Herbstsession 2020 fortsetzen können. Damit bleibt auch weiterhin offen, wann das revidierte DSG definitiv in Kraft treten wird. Wahrscheinlich scheint nach wie vor ein Inkrafttreten per Ende 2021.

Weitere Informationen:

• Geltendes Datenschutzgesetz (DSG)
• Übersicht über die DSG-Revision (beschlossene und strittige Punkte, inkl. Vergleich zum geltenden DSG und der EU-DSGVO) in Tabellenform
• MLL-News vom 13. Februar 2020: «DSG-Revision: Erste Eckpunkte des neuen Datenschutzgesetzes stehen fest»
• MLL-News vom 29. Mai 2020: «DSG-Revision: Zwischenstand in der Differenzbereinigung»