06/2020 – Fachartikel Swiss Infosec AG
Ausgangslage
Am 2. Juni 2020 hat der Ständerat über die verbleibenden Differenzen zur Vorlage des revidierten Datenschutzgesetzes (DSG) debattiert und abgestimmt. Im Juli wird wiederum die staatspolitische Kommission des Nationalrats ihre Bereinigungsvorschläge abgeben, womit der Nationalrat in der Herbstsession das Gesetz definitiv verabschieden könnte.
Das schweizerische Datenschutzrecht soll demjenigen der Europäischen Union (EU), der Europäischen Datenschutz-Grundverordnung (DSGVO), angeglichen werden. Diese gilt seit dem 25. Mai 2018. Die EU entscheidet im Juni, ob der Datenschutz in der Schweiz noch der DSGVO angemessen ist.
Offene Punkte nach der Differenzberatung im Ständerat
Offen sind noch folgende Punkte:
- Genetische Daten: Der Ständerat lehnt den Zusatz in der Definition ab, dass es sich nur dann um genetische Daten handeln soll, wenn sie eine eindeutige Identifizierung einer natürlichen Person erlauben
- Profiling mit hohem Risiko: Der Ständerat versteht darunter ein Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlauben («Persönlichkeitsprofil reloaded»). Demgegenüber spricht der Nationalrat von «Profiling, welches zu besonders schützenswerten Personendaten führt».
- Daten zur Prüfung der Kreditwürdigkeit: Diese dürfen nicht älter als 5 Jahre alt sein, damit die Bearbeitung von einem überwiegenden Interesse zu deren Bearbeitung abgedeckt ist. Der Nationalrat will 10 Jahre genügen lassen.
Eckpunkte zu den bisherigen Abstimmungsergebnissen
Folgende Eckpunkte sind im neuen DSG vorgesehen:
- Das DSG wird auf juristische Personen nicht mehr anwendbar sein und beschränkt sich somit auf den Schutz der Daten natürlicher Personen.
- Daten über Massnahmen der sozialen Hilfe und gewerkschaftliche Ansichten oder Tätigkeiten bleiben nach wie vor besonders schützenswert.
- Die Führung eines Verzeichnisses der Datenbearbeitungen wird für Unternehmen obligatorisch sein, die mindestens 250 Mitarbeitende beschäftigen. Für Unternehmen mit weniger Angestellten und geringen Risiken wird der Bundesrat ermächtigt, Ausnahmeregelungen zu erlassen.
- Privacy by Design und Privacy by Default werden gesetzlich verankert.
- Eine weitreichende Informationspflicht; der Ausnahmetatbestand eines unverhältnismässigen Aufwands wurde verworfen.
- Eine Datenschutzfolgenabschätzung wird nur bei einer Bearbeitung mit hohem Risiko für die betroffenen Personen verlangt (auch wenn es sich um ein Profiling handelt).
- Verletzungen des Datensicherheit sind zukünftig dem EDÖB zu melden.
- Es wird ein Recht auf Datenportabilität eingeführt, wenn Daten mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages automatisiert bearbeitet werden.
- Ausländische Unternehmen mit relevanten Bezügen zur Schweiz sollen sich an das DSG halten und unter gewissen Umständen einen Vertreter in der Schweiz bezeichnen.
- Neu strafrechtlich sanktioniert mit Busse bis maximal CHF 250’000 können zukünftig Einzelpersonen werden, wenn Mindestanforderungen an die Datensicherheit nicht eingehalten werden, die Informationspflichten verletzt, Personendaten unzulässigerweise ins Ausland bekanntgegeben werden oder eine externe Bearbeitung veranlasst wird, ohne dass die Voraussetzungen der Auftragsbearbeitung erfüllt sind.
Nützliche Hinweise und Links
Die Gesetzesfahne der staatspolitischen Kommission des Ständerats finden Sie hier: https://www.parlament.ch/centers/eparl/curia/2017/20170059/S3-4%20D.pdf
Die Wortdebatte des Ständerats ist hier verfügbar: https://www.parlament.ch/de/ratsbetrieb/amtliches-bulletin/amtliches-bulletin-die-verhandlungen?SubjectId=48963
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.
Swiss Infosec AG; 30.04.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch