Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Revision Datenschutzgesetz (DSG) Schweiz

01/2020 – Fachartikel Swiss Infosec AG

Aktueller Stand der Totalrevision des Datenschutzgesetzes

Am 18. Dezember 2019 hat der Ständerat über den Entwurf zur Totalrevision des Datenschutzgesetzes debattiert und abgestimmt. In der Gesamtabstimmung stimmte er mit 29 zu 4 Stimmen bei 0 Enthaltungen dem zuvor vom Nationalrat behandelten Vorlage zu. Der Ständerat ist dabei weitestgehend seiner Staatspolitischen Kommission gefolgt. Als nächstes geht die laut Justizministerin Karin Keller-Sutter nun «ausgewogene Vorlage» zurück zur Vorbereitung an die Staatspolitische Kommission des Nationalrats.

Das schweizerische Datenschutzrecht soll der Europäischen Datenschutzgrundverordnung (DSGVO) angeglichen werden. Diese gilt seit dem 25. Mai 2018. Die EU-Kommission wird bis im Mai 2020 überprüfen, ob aus ihrer Sicht der Datenschutz in der Schweiz noch angemessen ist.

Der Ständerat hat den Entwurf gegenüber der nationalrätlichen Version klar verschärft. Die kleine Kammer verfolgte dabei zwei Ziele: ein mindestens gleiches Schutzniveau wie heute und einen mit der DSGVO kompatiblen Datenschutz.

Folgende Eckpunkte sind nun vorgesehen:

  • Geschützt nach DSG sind zukünftig nur noch die Daten natürlicher Personen, nicht mehr auch die Daten juristischer Personen.
  • Auch für ausländische Unternehmen, die auf dem schweizerischen Markt tätig sind, soll das DSG gelten; gewisse ausländische Unternehmen sollen einen Vertreter in der Schweiz benennen.
  • Gewerkschaftliche Ansichten oder Tätigkeiten und Massnahmen über soziale Hilfe fallen weiterhin in die Kategorie der besonders schützenswerten Personendaten; neu dazu kommen biometrische und genetische Daten; letztere unabhängig davon, ob sie «eine natürliche Person eindeutig identifizieren» oder nicht.
  • Ebenfalls neu soll der Begriff «Profiling mit hohem Risiko» in das DSG aufgenommen werden. Als Profiling mit hohem Risiko gilt, wenn Daten verschiedener Herkunft und verschiedener Lebensbereiche systematisch verknüpft oder Daten systematisch und umfangreich bearbeitet werden, um Rückschlüsse auf verschiedene Lebensbereiche zu ziehen.
  • Ist für das Bearbeiten «normaler» Personendaten eine Einwilligung erforderlich, so hat sie nach angemessener Information freiwillig zu erfolgen. Für die Bearbeitung besonders schützenswerter Personendaten und das Profiling mit hohem Risiko muss die Einwilligung ausdrücklich erfolgen.
  • Die Führung eines Verzeichnisses der Datenbearbeitungen wird für Unternehmen obligatorisch, die mindestens 250 Mitarbeitende beschäftigen. Für Unternehmen mit weniger Angestellten entfällt diese Pflicht, sofern die Datenbearbeitung nur ein geringes Risiko mit sich bringt.
  • Im Rahmen der Informationspflicht teilt das Unternehmen den betroffenen Personen bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte geltend machen können. Dies sind mindestens die Identität und die Kontaktdaten des Verantwortlichen, der Bearbeitungszweck, ggf. die Empfänger und nunmehr auch die Liste der Rechte der betroffenen Personen und gegebenenfalls die Absicht des Verantwortlichen, Personendaten zu Prüfung der Kreditwürdigkeit zu bearbeiten und sie Dritten bekanntzugeben. Der Ständerat beschloss, die vom Nationalrat vorgeschlagene Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand aufzuheben.
  • Entgegen dem Entwurf des Bundesrats erfordert doch nicht jedes beliebige Profiling eine Datenschutzfolgenabschätzung.
  • Ein Unternehmen wird dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich eine Verletzung der Datensicherheit melden müssen, wenn sie voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.
  • Die betroffene Person erhält im Rahmen des Auskunftsrechts ausschliesslich diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach DSG geltend machen kann.
  • Es wird ein Recht auf Datenportabilität eingeführt. Jede Person kann demnach verlangen, ihr sie betreffende Personendaten in einem gängigen elektronischen Format herauszugeben, oder diese Daten einem anderen Unternehmen zu übergeben.
  • Es gelten strafrechtliche Sanktionen in der Höhe von CHF 250’000. Mit einer Busse bestraft werden kann neu, wer die Mindestanforderungen an die Datensicherheit nicht einhält. Gleichermassen strafbar ist auch eine unzulässige Auslandsübermittlung, eine nicht den Vorgaben entsprechende Auftragsbearbeitung oder die Verletzung der Informationspflichten. Nach wie vor können nur vorsätzlich handelnde natürliche Personen, namentlich (aber nicht nur) die Führungskräfte eines Unternehmens, juristisch belangt werden.
  • Das revidierte DSG soll zwei Jahre nach Ablauf der Referendumsfrist in Kraft treten.

Die Wortdebatte des Nationalrates ist hier verfügbar:
https://www.parlament.ch/de/ratsbetrieb/amtliches-bulletin/amtliches-bulletin-die-verhandlungen?SubjectId=48166#speaker42

Die SDA-Meldung vom 18.12.2019 finden Sie unter:
https://www.parlament.ch/de/services/news/Seiten/2019/20191218150124740194158159041_bsd125.aspx

Empfehlungen: unser Fazit

Der Ständerat hat den Entwurf gegenüber der nationalrätlichen Version klar verschärft um sich dabei mehr an die DSGVO anzu-lehnen. Die Revision des Datenschutzgesetzes geht in die nächste Runde, zurück zur Staatspolitischen Kommission des Nationalrates. Es bleibt abzuwarten, wie der Nationalrat entscheiden wird. Oberstes Ziel muss es sein, einen mit der DSGVO kompatiblen Datenschutz zu erreichen.

Ihre unternehmensspezifischen Fragen zum Schweizer Datenschutzgesetz und zur DSGVO, ebenso alle Fragen zur Revision DSG beantworten wir Ihnen gerne. Ebenso unterstützen wir Sie bei der Einhaltung des DSG und der DSGVO nach unserem Best Practice-Ansatz: Genau so viel, wie Sie brauchen und angemessen ist!


© Swiss Infosec AG 2024