Login für Mitglieder
Login für Mitglieder
Mitglied werden
Mitglied werden

Datenschutz

Der Bundesrat präsentierte im September 2017 seinen Entwurf für ein totalrevidiertes Datenschutzgesetz, kurz E-DSG. Die Totalrevision des DSG berücksichtigt die jüngste Entwicklung in der EU und im Europarat und verfolgt unter anderen die folgenden Ziele: mehr Transparenz für Privatpersonen zu schaffen, die Unabhängigkeit des eidgenössischen Datenschutzbeauftragten zu vergrössern und dafür zu sorgen, dass die Europäische Kommission die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung somit weiterhin möglich bleibt.

Die Revision des Schweizer Datenschutzrechts wurde in beiden Räten behandelt und befindet sich weiterhin im Differenzbereinigungsverfahren. Es gibt immer noch einige Unstimmigkeiten, die im Verlauf des Differenzbereinigungsverfahrens noch diskutiert werden; folgende wesentliche Änderungen sind hingegen bereits bekannt, sofern die Vorlage letztlich nicht doch noch unerwartet scheitern sollte:

Strafbestimmungen gegen natürliche Personen: 

Wie bereits im aktuell gültigen Datenschutzgesetz, gibt es auch in der künftigen Fassung Strafbestimmungen, wobei der Katalog der strafbewehrten Verstösse deutlich erweitert wurde. Neu ist eine maximale Busse von bis zu CHF 250’000.- explizit verankert. Im Gegensatz zur DSGVO, ist eine Busse gegen Unternehmen hingegen nur in Ausnahmefällen vorgesehen, wenn es Untersuchungsmassnahmen gegen die privaten Personen bedingen würde, die im Hinblick auf die verwirkte Strafe unverhältnismässig wären (Art. 58 E-DSG).

Der E-DSG sieht, ähnlich der DSGVO, neu auch ein Verzeichnis der Bearbeitungstätigkeiten vor, dass durch den Verantwortlichen und den Auftragsbearbeiter zu führen sein wird (Art. 11 E-DSG). Der Bundesrat sieht Ausnahmen vor für Unternehmen, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.

In Art. 6 E-DSG finden sich explizit die Grundsätze des “Datenschutzes durch Technik“ und “Datenschutz durch datenschutz-freundliche Voreinstellungen“ verankert. Der Verantwortliche ist verpflichtet ab der Planung, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden (Privacy-by-Design). Der Verantwortliche ist zudem verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist (Privacy-by-Default).

Im Gegensatz zur aktuellen Regelung im DSG, bei der es ausreicht, wenn die Datenbearbeiter sicherstellen, dass es für die betroffenen Personen erkennbar ist, welche Daten zu welchen Zwecken bearbeitet werden, verlangt der E-DSG eine allgemeine aktive Informationspflicht gegenüber der betroffenen Person bei der Beschaffung jeglicher Personendaten.

Datenverantwortliche sind gemäss dem E-DSG verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, wenn die vorgesehene Datenbearbeitung zu einem erhöhten Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt.

Datenverantwortliche haben dem EDÖB im Falle einer Datenschutzverletzung so rasch wie möglich Meldung zu erstatten, wenn ein grosses Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.

Derzeitiger Stand: Der Ständerat hat am 2. Juni 2020 die Differenzbereinigung fortgesetzt, aber nicht abgeschlossen. Die Beratungen im Nationalrat folgen voraussichtlich in der kommenden Herbstsession (7. – 25. September 2020). Es bleibt offen, ob die verbleibenden Punkte im Differenzbereinigungsverfahren erledigt werden können oder ob es schliesslich zu einer Einigungskonferenz (nach drei Bereinigungsrunden; bestehend aus Vertretern beider Räte) kommen wird.

Weitergehende Informationen: