Februar 2017

Am 21. Dezember hat der Bundesrat die Vernehmlassung zur Totalrevision des Bundesgesetzes über den Datenschutz eröffnet. Der Revisionsentwurf wurde, seit der Bundesrat im April 2015 dem Eidgenössischen Justiz- und Polizeidepartement (EJPD) den Auftrag zu dessen Erarbeitung erteilt hatte, mit Spannung erwartet. Interessierte Kreise haben nun bis zum 4. April 2017 Gelegenheit, sich zum Entwurf zu äusseren.

Ziel der Gesetzesrevision ist es, die Datenbearbeitung für die betroffenen Personen transparenter zu machen und ihnen mehr Kontrolle über die Bearbeitung ihrer Daten zu geben, die Pflichten der für die Datenbearbeitung Verantwortlichen auszubauen und die Stellung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB zu stärken, vor allem, indem dieser die Kompetenz zum Erlass verbindlicher Verfügungen erhält.

Ein weiteres ganz wesentliches Ziel ist es, in der Schweiz ein Datenschutzniveau zu gewährleisten, welches auc h den Anforderungen des europäischen Rechts entspricht, da andernfalls der für die Schweizer Wirtschaft unabdingbare grenzüberschreitende Datenverkehr in unzumutbarer Weise erschwert würde. Gerade im Hinblick auf die Kompatibilität mit dem EU-Recht ist zu hoffen, dass die weiteren Gesetzgebungsaktivitäten nach Abschluss der Vernehmlassung zügig voranschreiten werden, so dass das revidierte Gesetz im Mai 2018 in Kraft treten kann, denn ab dann werden auch die Bestimmungen der neuen europäischen Datenschutz-Grundverordnung anwendbar sein.

Unternehmen ist dringend zu empfehlen, sich bereits jetzt auf die neue Gesetzgebung einzustellen und die notwendigen Vorbereitungsarbeiten zur Sicherstellung der künftigen Datenschutzkonformität an die Hand zu nehmen. Dazu gehören z.B. die Analyse der Datenbearbeitungsprozesse und der damit verbundenen Risiken, der bestehenden internen Richtlinien und Weisungen sowie der Verträge mit Dritten, an welche Daten weitergegeben werden oder die Daten im Auftrag bearbeiten, und gestützt darauf die Überprüfung des Anpassungsbedarfs und die Vorbereitung der für dessen Umsetzung erforderlichen Massnahmen.

Zu den wesentlichen Neuerungen im Revisionsentwurf gehören folgende Punkte:

Information der Betroffenen: Die Informationspflicht gegenüber den Betroffenen bei der Beschaffung von Personendaten wird ausgebaut. Neu für das schweizerische Recht ist insbesondere die Pflicht zur Information, wenn Entscheidungen, die mit Rechtswirkungen verbunden sind oder für die Betroffenen erhebliche Auswirkungen haben, ausschliesslich auf der automatisierten Bearbeitung von Daten beruhen.

Datenschutz-Folgeabschätzung: Wenn eine Datenbearbeitung voraussichtlich zu einem erhöhten Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt, muss vorgängig eine Datenschutz-Folgeabschätzung durchgeführt und der EDÖB über deren Ergebnisse informiert werden. Dieser kann gegen eine geplante Datenbearbeitung Einwände erheben und gegebenenfalls Änderungen oder das Verbot einer Datenbearbeitung verfügen.

Meldung von Datenschutzverletzungen: Unbefugte Datenbearbeitungen und Datenverluste sind dem EDÖB unverzüglich zu melden, ausser es droht voraussichtlich kein Risiko für die betroffenen Personen. Ebenso sind die betroffenen Personen zu informieren, wenn dies für deren Schutz erforderlich ist oder der EDÖB dies anordnet.

Datenschutz by Design und by Default: Bei der Bearbeitung von Daten sind angemessene Massnahmen zu treffen, die das Risiko von Datenschutzverletzungen ab dem Zeitpunkt der Planung der Datenbearbeitung verringern und Datenschutzverletzungen vorbeugen. Weiter sind in technischen Systemen geeignete Voreinstellungen sicherzustellen, damit standardmässig die Datenbearbeitung nur im Rahmen des jeweiligen Verwendungszwecks möglich ist.

Dokumentationspflicht: Die Verantwortlichen für die Datenbearbeitung sowie Auftragsdatenbearbeiter sind verpflichtet, ihre Bearbeitungstätigkeit zu dokumentieren.

Best Practices: Der EDÖB soll neu die Kompetenz erhalten, unter Beizug der interessierten Kreise Empfehlungen im Sinne von Best Practices zu erarbeiten, welche die gesetzlichen Datenschutzvorschriften konkretisieren. Weiter soll es möglich sein, unabhängig vom EDÖB erarbeitete Best Practices dem EDÖB zur Prüfung und Genehmigung zu unterbreiten. Der Vorteil solcher Best Practices liegt darin, dass diejenigen Datenschutzvorschriften, welche durch die Best Practices konkretisiert werden, als eingehalten gelten, wenn die Best Practices befolgt werden. Die Best Practices schaffen damit Rechtssicherheit, was mit Rücksicht darauf, dass die Sanktionierung der Verletzung von datenschutzrechtlichen Pflichten massiv verschärft wird, von erheblichem Vorteil ist.

Auftragsdatenbearbeitung: Neu ist vorgesehen, dass ein Auftragsdatenbearbeiter seinerseits nur dann einen Unterauftrag an einen Dritten vergeben darf, wenn die vorgängige schriftliche Zustimmung seines Auftraggebers vorliegt.

Weitergabe von Daten ins Ausland: Eine für interanational tätige Unternehmen nützliche neue Regelung sieht vor, dass der Bundesrat feststellten kann, dass in einem bestimmten Staat ein angemessener Datenschutz besteht, womit die Weitergabe von Daten in diesen Staat zulässig ist. Eine solche verbindliche Feststellungsmöglichkeit und die damit für Unternehmen verbundene Rechtssicherheit hat bisher gefehlt.

Sanktionen: Die bisherige maximale Busse bei Verletzung von datenschutzrechtlichen Pflichten betrug lediglich CHF 10'000.-. Neu wird die maximale Busse auf CHF 500'000.- erhöht und die Pflichten, deren Verletzung strafrechtlich sanktioniert ist, werden erweitert und umfassen z.B. auch die Unterlassung der Information der Betroffenen, von angemessenen Massnahmen zur Gewährleistung der Datensicherheit, der Datenschutz-Folgeabschätzung, von Massnahmen zum Datenschutz by Design und by Default oder der Dokumentation der Datenbearbeitung. Strafbar ist auch die Verletzung der Meldepflichten gegenüber dem EDÖB, speziell auch bei Datenschutzverletzungen. Sanktionen sind zudem neu auch bei fahrlässiger Pflichtverletzung möglich, wobei die maximale Busse dann auf CHF 250'000.- reduziert ist.

Juristische Personen: Das bisherige Datenschutzgesetz hat auch die sich auf juristische Personen beziehende Daten geschützt. Dies wird im neuen Gesetz, in Übereinstimmung mit dem EU-Recht, nicht mehr der Fall sein.

Registrierung von Datensammlungen: Für private Unternehmen und Organisationen entfällt die bisherige Pflicht zur Registrierung bestimmter Datensammlungen beim EDÖB. Sie wird kompensiert durch die erweiterten Informationspflichten sowie durch die Pflicht zur Dokumentation von Datenbearbeitungen.

Die bisherige Datenschutzgesetzgebung war mangels einer angemessenen Sanktion «ohne Zähne» und damit war auch die Compliance mit dem Datenschutz in vielen Unternehmen nicht Chefsache. Leider bringt nun die vorgeschlagene schweizerische Datenschutzgesetzgebung zwar eine Verschärfung der Sanktion, erreicht jedoch nicht die Schärfe, wie sie die EU ab dem 15. Mai 2018 einführen wird (dort sind für Unternehmen Bussen von bis maximal 4% des gesamten weltweit erzielten Jahresumsatzes vorgesehen).

Schweizer Unternehmen, welche nicht nur dem kommenden schweizerischen Datenschutzgesetz, sondern auch der EU Datenschutz-Grundverordnung unterstellt sein werden, haben deshalb in der Vorbereitung der Datenschutz Compliance insbesondere auch – und gerade im Hinblick auf die höheren Sanktionen in der EU – die entsprechenden Massnahmen zu ergreifen.

Zusammen mit dem Entwurf zur Totalrevision des Datenschutzgesetzes hat der Bundesrat auch die für die Umsetzung der zum Schengen-Besitzstand gehörenden EU-Richtlinie betreffend den Datenschutz von Personendaten im Bereich der Strafverfolgung und der Rechtshilfe in Strafsachen erforderlichen Gesetzesanpassungen sowie den Entwurf zum revidierten Europaratsabkommen 108 zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten sowie des entsprechenden Zusatzprotokolls in die Vernehmlassung gegeben. Es ist vorgesehen, somit ein ganzes «Datenschutzpaket» zeitlich parallel im gleichen Gesetzgebungsverfahren umzusetzen.