Das neue DSG kommt definitiv 2023!

09/2022 – Fachartikel Swiss Infosec AG

Die Würfel sind gefallen: Am 31. August 2022 hat der Bundesrat entschieden, das totalrevidierte Datenschutzgesetz definitiv per 1. September 2023 in Kraft zu setzen (zusammen mit neuen Datenschutzverordnung und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ)), wie dies seit einiger Zeit das Bundesamt für Justiz in Aussicht gestellt hat. Zuletzt kamen sogar wieder Stimmen auf, wonach eine nochmalige Verzögerung im Bereich des Möglichen gewesen wäre. Dazu kommt es nun aber nicht.

Gleichzeitig mit dem Beschluss über das Datum des Inkrafttretens des neuen Datenschutzgesetzes hat der Bundesrat den verbindlichen Text zur Verordnung zum Datenschutzgesetz (neue Abkürzung: DSV) veröffentlicht. Dazu war bislang nur der Vorentwurf erhältlich, der in der Vernehmlassung teilweise auf harsche Kritik gestossen war. Das Resultat zeigt, dass diese im Bundeshaus auf Gehör gestossen ist und das Pendel wieder in Richtung pragmatischer und praxisfreundlicher Vorgaben ausgeschlagen ist. Viele Bestimmungen wurden ausserdem sorgfältiger redigiert.

Gerne berichten wir hier bereits über einige wichtige Änderungen der DSV im Verhältnis zum Vorentwurf (VE-DSV), die Sie als Unternehmen, öffentlich-rechtliche Organisation oder Non-Profit-Organisation konkret betreffen können:

• Es kommt zu erheblichen Erleichterungen bei der Informationspflicht (Art. 13, 15 und 16 VE-DSV), was Einfluss hat auf die Formulierung von Datenschutzerklärungen und Datenschutzhinweisen. Ersatzlos gestrichen wurden:
  • die wenig verständliche Informationspflicht des Auftragsbearbeiters,
  • die Information durch private Datenverantwortliche an Empfänger von Personendaten über «Aktualität, Zuverlässigkeit und Vollständigkeit» bekannt gegebener Personendaten (dafür werden dazu neu Bundesorgane verpflichtet: Art. 29 DSV), und
  • die stark ans europäische Datenschutzrecht angelehnte «Information über die Berichtigung, Löschung oder Vernichtung sowie die Einschränkung der Bearbeitung von Personendaten».

• Die Pflicht zur Führung eines Bearbeitungsreglements für Private bleibt bestehen (die für Bundesorgane sowieso), für Private bei (Art. 5 DSV):
  • automatisierter Bearbeitung von «besonders schützenswerten Personendaten in grossem Umfang», oder
  • «Profiling mit hohem Risiko».

Behoben wurde aber die (vielen) Doppelspurigkeiten im Verhältnis zum Bearbeitungsverzeichnis (Art. 30 nDSG): Neu muss das Reglement lediglich noch «Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten». Auf Unternehmen mit einer angemessenen Datenschutzweisung und Vorgaben zum Umgang mit IT-Betriebsmittel dürfte hier wenig Zusatzaufwand zukommen.

• Anders als noch im VE-DSV knüpft die Pflicht zur Protokollierung gewisser Datenbearbeitungsvorgänge für Private nicht ans Resultat der Datenschutzfolgenabschätzung an, sondern analog Bearbeitungsreglement für Private (1.) an die automatisierte Bearbeitung von «besonders schützenswerten Personendaten in grossem Umfang» und (2.) ans «Profiling mit hohem Risiko». Dies gilt allerdings nur unter der einschränkenden Voraussetzung, dass «die präventiven Massnahmen den Datenschutz nicht gewährleisten [können]» (Art. 4 DSV, was dem Ansatz im heutigen Art. 10 VDSG entspricht). Die Protokolle müssen nur noch ein Jahr (nach VE-DSV: zwei Jahre) aufbewahrt werden.
• Das Auskunftsbegehren und die Auskunftserteilung können elektronisch erfolgen (Art. 16 Abs. 3 DSV).
• Die Formvorschrift, wonach Bundesorgane die Unterauftragsbearbeitung schriftlich zu genehmigen haben, wurde gestrichen (Art. 6 Abs. 3 VE-DSV).
• Zum Recht der Datenportabilität wurden mutmasslich relevante Einschränkungen eingebracht: Dieses Recht bezieht sich nur noch auf solche Personendaten, die eine betroffene Person dem Datenverantwortlichen «wissentlich und willentlich zur Verfügung stellt» oder «Daten, die der Verantwortliche über die betroffene Person und ihr Verhalten im Rahmen der Nutzung eines Diensts oder Geräts erhoben hat.» Personendaten, die vom Verantwortlichen durch eigene Auswertung der bereitgestellten oder beobachteten Personendaten erzeugt werden, gelten nicht als Personendaten, die die betroffene Person dem Verantwortlichen bekannt gegeben hat (Art. 20 DSV).

Bei dieser Gelegenheit rufen wir nochmals als Checkliste die vier neuen Hauptpflichten des revidierten Datenschutzgesetzes in Erinnerung:

Aufgrund der schärferen Sanktionen (Busse bis maximal CHF 250’000) wird besonders die Übersicht über sämtliche Datenflüsse an Externe (speziell bei Auslandbezug) Voraussetzung sein, um die richtigen Massnahmen treffen zu können (z.B. Abschluss der relevanten Vereinbarungen, Durchführung von Risikoabschätzungen). Das Auskunftsrecht wird seine bereits heute wichtige Bedeutung voraussichtlich behalten. Und last but not least natürlich der eminent wichtige Themenblock Daten-, IT-Sicherheit.

Der Text der neuen Datenschutzverordnung ist hier abrufbar: https://www.newsd.admin.ch/newsd/message/attachments/75620.pdf

Der Text des neuen Datenschutzgesetzes hier: https://www.fedlex.admin.ch/eli/fga/2020/1998/de

FAQ des Bundes zum neuen Datenschutzrecht hier: https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/faq-dsr.pdf.download.pdf/faq-dsr-d.pdf

Die SDA-Meldung vom 31.8.2022 finden Sie unter: https://www.bj.admin.ch/bj/de/home/aktuell/mm.msg-id-90134.html

Sind Sie bereit? Melden Sie sich gerne bei uns, wenn wir Sie unterstützen dürfen. Wir begleiten Sie mit durchdachten und praxistauglichen Vorschlägen, wie Sie Ihre Organisation punkto Datenschutz am besten positionieren können.

Swiss Infosec AG; 08.09.2022
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch