Das schwei­ze­ri­sche Daten­schutz­ge­setz (DSG) befin­det sich zur Zeit in Revi­si­on; wir haben dazu wie­der­holt berich­tet. Nach­dem die Ver­nehm­las­sung zum Vor­ent­wurf anfangs April 2017 ende­te, hat der Bun­des­rat heu­te nun den Ent­wurf des DSG mit wei­te­ren Doku­men­ten ver­öf­fent­licht (vgl. Medi­en­mit­tei­lung):

Eine Gegen­über­stel­lung des Ent­wurfs mit dem Vor­ent­wurf und dem gel­ten­den DSG ist hier abruf­bar.

Das Par­la­ment wird den Ent­wurf nun zu bera­ten haben. Der Bun­des­rat hofft aber, das neue DSG auf August 2018 in Kraft set­zen zu kön­nen.

Der Vor­ent­wurf war im Ver­nehm­las­sungs­ver­fah­ren in vie­len Punk­ten teils hef­tig kri­ti­siert wor­den. Gegen­stand beson­ders schar­fer Kri­tik waren die vor­ge­he­nen Sank­tio­nen, die sich nicht als Ver­wal­tungs­bus­sen gegen fehl­ba­re Unter­neh­men, son­dern als Straf­sank­tio­nen gegen ver­ant­wort­li­che Mit­ar­bei­ter rich­ten soll­ten. Der Bun­des­rat will an die­sem System fest­hal­ten, hat den Bus­sen­rah­men aber auf CHF 250’000 gesenkt und die Tat­be­stän­de als Vor­satz­de­lik­te aus­ge­stal­tet. Straf­bar ist fer­ner nur die Ver­let­zung bestimm­ter Mit­wir­kungs­pflich­ten gegen­über dem EDÖB, der Infor­ma­ti­ons- und Aus­kunfts­pflicht, der Pflich­ten bei Aus­lands­be­kannt­ga­be und Auf­trags­be­ar­bei­tung und der Daten­si­cher­heits­an­for­de­run­gen. Nicht straf­bar sind wei­ter­hin eine Ver­let­zung der all­ge­mei­nen Bear­bei­tungs­grund­sät­ze und – neu – der Pflich­ten im Zusam­men­hang mit einer Daten­schutz-Fol­gen­ab­schät­zung und mit Daten­schutz­ver­let­zun­gen (“bre­ach noti­fi­ca­ti­on”).

Auf den ersten Blick und noch ohne Berück­sich­ti­gung der Bot­schaft zeigt sich anson­sten fol­gen­des Bild:

Eini­ge in der Ver­nehm­las­sung nicht oder kaum bestrit­te­ne Punk­te wur­den über­nom­men, etwa die Beschrän­kung der “Per­so­nen­da­ten” auf natür­li­che Per­so­nen (Art. 4 lit. a E-DSG) oder die Kom­pe­tenz des Bun­des­rats zur Beur­tei­lung der Ange­mes­sen­heit des aus­län­di­schen Rechts (Art. 13 Abs. 1).

Einiges ist neu:

  • Bear­bei­ter kön­nen neu einen unab­hän­gi­gen, fach­kun­di­gen, inter­nen oder auch exter­nen “Daten­schutz-Bera­ter” bestim­men, was Erleich­te­run­gen im Fall einer Daten­schutz-Fol­gen­ab­schät­zung mit sich bringt.
  • Her­stel­ler von Daten­be­ar­bei­tungs­sy­ste­men oder -pro­gram­men kön­nen ihre Syste­me, Pro­duk­te und Dienst­lei­stun­gen zer­ti­fi­zie­ren las­sen.
  • Der Ent­wurf sieht Über­gangs­be­stim­mun­gen vor. So müs­sen fort­dau­ern­de Bear­bei­tun­gen erst zwei Jah­re nach Inkraft­tre­ten ange­passt sein, und die neu­en Infor­ma­ti­ons­pflich­ten grei­fen eben­falls erst nach zwei Jah­ren (Art. 62 ff.).

Einige Bestimmungen wurden in ihrer Handhabung erleichtert:

  • Es sind eini­ge Mel­de­pflich­ten gegen­über dem EDÖB ent­fal­len oder durch Infor­ma­ti­ons­pflich­ten auf Anfra­ge ersetzt wor­den, so etwa bei der Daten­be­kannt­ga­be ins Aus­land (Art. 14 Abs. 2; was bleibt, ist die Pflicht zur Mit­tei­lung nicht geneh­mig­ter oder aner­kann­ter Klau­seln zur Bekannt­ga­be in unsi­che­re Dritt­staa­ten);
  • Der Bun­des­rat kann wei­te­re Garan­ti­en fest­le­gen, die eine Daten­be­kannt­ga­be ins Aus­land erlau­ben (Art. 13 Abs. 3).
  • Die Bekannt­ga­be ins Aus­land im Zusam­men­hang mit einem Ver­trag ist neu auch dann mög­lich, wenn der Ver­trag nicht mit der betrof­fe­nen Per­son, aber in deren Inter­es­se geschlos­sen wur­de oder wer­den soll (Art. 14 Abs. 1 lit. b).
  • Auf­trags­be­ar­bei­ter brau­chen nach wie vor die Zustim­mung für Unter­auf­trä­ge, doch muss die­se nicht mehr schrift­lich erfol­gen.
  • Die beson­de­ren Pflich­ten bei auto­ma­ti­sier­ten Ein­zel­ent­schei­dun­gen (Art. 19) ent­fal­len neu, wenn die Ent­schei­dung mit einem Ver­trag zusam­men­hängt und für die betrof­fe­ne Per­son posi­tiv aus­fällt, und wenn die betrof­fe­ne Per­son in die auto­ma­ti­sier­te Ent­schei­dung aus­drück­lich ein­ge­wil­ligt hat.
  • Die Reak­ti­ons­frist des EDÖB nach Mel­dung einer Fol­gen­ab­schät­zung wur­de auf zwei Mona­te ver­kürzt (Art. 21 Abs. 2; wenn auch mit der Mög­lich­keit einer Ver­län­ge­rung auf drei Mona­te), und sie ist nicht ver­pflich­tend, wenn ein Daten­schutz­be­ra­ter kon­sul­tiert wur­de.

Einiges wurde präzisiert und – aus Sicht der Wirtschaft – korrigiert oder verbessert:

  • Das DSG ist bei Ver­fah­ren nicht mehr anwend­bar (Art. E Abs.  2).
  • Eine Daten­schutz­fol­gen­ab­schät­zung ist etwa nur noch bei “hohen” Risi­ken ver­pflich­tend (Art. 20 Abs. 1), wobei neu in einer nicht abschlie­ssen­den Auf­zäh­lung kon­kre­ti­siert wird, wann ein hohes Risi­ko vor­liegt (Art. 20 Abs. 2). Eine Daten­schutz-Fol­gen­ab­schät­zun­gen ist fer­ner u.a. dann nicht mehr ver­pflich­tend, wenn ein bestimm­ter Ver­hal­tens­ko­dex ein­ge­hal­ten wird.
  • Die Pflicht zur Mel­dung von Ver­let­zun­gen (“bre­ach noti­fi­ca­ti­on”) betrifft nur noch Ver­let­zun­gen der Daten­si­cher­heit, nicht mehr jede unbe­fug­te Daten­be­ar­bei­tung. Der Inhalt der Mel­dung an den EDÖB wur­de zudem umschrie­ben, und die Mel­dung ist nur noch bei hohem Risi­ko erfor­der­lich (Art. 22).
  • Die Defi­ni­ti­on des “Pro­filing” wur­de kor­ri­giert (Art. 4 lit. f): nur die auto­ma­ti­sier­te Bear­bei­tung von Per­so­nen­da­ten ist erfasst.
  • Der Gegen­stand der Doku­men­ta­ti­ons­pflicht wur­de kon­kre­ti­siert (Art. 11 Abs. 2).
  • Ver­hal­tens­ko­di­zes (im Vor­ent­wurf noch als „Emp­feh­lun­gen der guten Pra­xis“ bezeich­net) wer­den nicht mehr vom EDÖB, son­dern aus­schliess­lich von Beruf-und Wirt­schafts­ver­bän­den erar­bei­tet. Aller­dings hat der EDÖB neu die Auf­ga­be, „Leit­fä­den und Arbeits­in­stru­men­te“ zu erar­bei­ten (Art. 52 Abs. 1 lit. g). Zudem ver­zich­tet der Ent­wurf dar­auf, die All­ge­mei­nen Rechts­fol­gen zu defi­nie­ren, wenn ein Ver­hal­tens­ko­dex ein­ge­hal­ten wird.
  • Die Pflicht zur Infor­ma­ti­on über die Iden­ti­tät von Auf­trags­be­ar­bei­tern, ein Para­de­bei­spiel des „swiss finish“, wur­de gestri­chen (Art. 17).
  • Die Infor­ma­ti­ons­pflicht gilt bei pri­va­ten Bear­bei­tern nicht, wenn sie sonst gegen Geheim­hal­tungs­pflich­ten ver­sto­ssen müss­ten (Art. 18 Abs. 1 lit. c).
  • Medi­en kön­nen sich auch bei der Infor­ma­ti­ons­pflicht auf die beim Aus­kunfts­recht vor­ge­se­he­nen Aus­nah­men beru­fen (Art. 18 Abs.  1 lit. d).
  • Mel­dun­gen von Daten­schutz­ver­let­zun­gen dür­fen in Straf­ver­fah­ren ohne Ein­wil­li­gung des Mel­de­pflich­ti­gen nicht mehr ver­wen­det wer­den (Art.  22 Abs. 6).
  • Beson­de­re Aus­kunfts­pflich­ten bestehen nur noch bei auto­ma­ti­sier­ten Ein­zel­fall­ent­schei­dun­gen, nicht mehr bei Ent­schei­dun­gen all­ge­mein (Art. 23 Abs. 2 lit. f). Der Bun­des­rat erhält zudem wie­der die Kom­pe­tenz, Aus­nah­men von der Kosten­lo­sig­keit vor­zu­se­hen (Art. 23 Abs. 6), und die Aus­kunft darf ver­wei­gert wer­den, wenn das Aus­kunfts­ge­such offen­sicht­lich unbe­grün­det oder que­ru­la­to­risch ist (Art. 24 Abs. 1 lit. c).
  • Der ver­wir­ren­de Umgang mit dem Pro­filing im System der Recht­fer­ti­gungs­grün­de wur­de berei­nigt (Art. 26).
  • Ein Anspruch auf Berich­ti­gung besteht nicht bei ent­ge­gen­ste­hen­den gesetz­li­chen Vor­schrif­ten (Art. 28 Abs. 1 lit. a).

Einige Unstimmigkeiten sind geblieben:

  • Pri­va­cy by design” soll wei­ter­hin schon ab der Pla­nung von Daten­be­ar­bei­tun­gen gel­ten (Art. 6 Abs. 1). Das kann aller­dings nur gel­ten, wenn dabei kon­kret auch Daten bear­bei­tet wer­den; andern­falls ist das DSG nicht anwend­bar. Her­stel­ler sind daher trotz des Wort­lauts nicht ver­pflich­tet, die­ses Prin­zip anzu­wen­den.
  • Die Beur­tei­lung der Ange­mes­sen­heit aus­län­di­schen Rechts durch den Bun­des­rat begrün­det nach wie vor eine Fik­ti­on, nicht eine Ver­mu­tung (Art. 14 Abs. 2).
  • Die Bekannt­ga­be ins Aus­land kann wei­ter­hin nicht durch ein über­wie­gen­des pri­va­tes Inter­es­se gerecht­fer­tigt wer­den (Art. 14 Abs. 2).
  • Die Frei­stel­lung all­ge­mei­ner Infor­ma­ti­on (zum Bei­spiel durch Medi­en) von den Anfor­de­run­gen an die Bekannt­ga­be ins Aus­land gilt nur für „auto­ma­ti­sier­te Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­dien­ste“ (Art. 15). Ob dies auch für Print-Publi­ka­tio­nen gilt, die weit­ge­hend auto­ma­ti­siert ver­sandt wird, ist offen, wäre der Sache nach aber rich­tig.
  • Ein­sicht und Löschung von Daten ver­stor­be­ner Per­so­nen („Lex Face­book“) wird nach wie vor im DSG gere­gelt (Art. 16), obwohl Ver­stor­be­ne kei­ne Daten­sub­jek­te sind.
  • Die Beschrän­kung der Infor­ma­ti­ons­pflicht und des Aus­kunfts­rechts durch Beru­fung auf über­wie­gen­de Pri­vat­in­ter­es­sen bleibt aus­ge­schlos­sen, wenn Per­so­nen­da­ten an Drit­te wei­ter­ge­ge­ben wer­den (Art. 18 Abs. 3 lit. c; Art. 24 Abs. 2 lit. a), wohl aus Angst, dass Dritt­be­kannt­ga­ben beson­ders ris­kant sind (falls das stimmt, hät­te es auch im Rah­men einer Inter­es­sen­ab­wä­gung berück­sich­tigt wer­den kön­nen). Immer­hin müs­sen die Infor­ma­ti­on und die Aus­kunft nicht mehr nach­ge­holt wer­den, wenn der Grund für die Ver­wei­ge­rung oder Ein­schrän­kung ent­fällt.
  • Eine „auto­ma­ti­sier­te Ein­zel­ent­schei­dung“ liegt wei­ter­hin immer dann vor, wenn eine auto­ma­ti­sier­te Ent­schei­dung mit einer Rechts­fol­ge ver­bun­den ist; eine Qua­li­fi­zie­rung fehlt inso­weit nach wie vor (Art. 19 Abs. 1).

Einige Unstimmigkeiten, Unklarheiten oder Hindernisse sind neu:

  • Die Vor­keh­ren zur Daten­si­cher­heit müs­sen es neu “ermög­li­chen”, “Ver­let­zun­gen der Daten­si­cher­heit zu ver­mei­den” (Art. 7 Abs. 2).
  • Die Bekannt­ga­be ins Aus­land gestützt auf eine Ein­wil­li­gung ist nur noch zuläs­sig, wenn die­se Ein­wil­li­gung aus­drück­lich erfolgt (Art. 14 Abs. 1 lit. a).
  • Es scheint neu fin­giert zu wer­den, dass ein Pro­filing hoch­ris­kant ist, so dass stets eine Fol­gen­ab­schät­zung durch­zu­füh­ren ist (Art. 20 Abs.  2 lit. b).
  • Die Beru­fung auf ein beson­de­res, über­wie­gen­des pri­va­tes Inter­es­se ist für Kre­dit­aus­kunf­tei­en nur noch mög­lich, wenn die betref­fen­den Daten nicht älter sind als 5 Jah­re (Art. 27 Abs. 2 lit. c).
  • Die Infor­ma­ti­ons- und Aus­kunfts­pflich­ten ope­rie­ren neu mit einer Gene­ral­klau­sel (neben den Min­de­st­an­ga­ben), was im Fall einer Bus­se trotz der Beschrän­kung auf Vor­satz­de­lik­te Fra­gen im Zusam­men­hang mit der genü­gen­den Bestimmt­heit auf­wer­fen wird.

In verfahrensrechtlicher Hinsicht wurden Erleichterungen vorgesehen:

  • Das Oppor­tu­ni­täts­prin­zip wur­de für gering­fü­gi­ge Daten­schutz­ver­let­zun­gen ver­an­kert (Art. 43 Abs. 2). Gleich­zei­tig wur­de die Anzei­ge­pflicht bei Ver­stö­ssen (Art. 45 VE) gestri­chen. Fer­ner wird aus­drück­lich fest­ge­hal­ten, dass sich der EDÖB auf eine Ver­war­nung beschrän­ken darf, falls der Bear­bei­ter wäh­rend der Unter­su­chung die erfor­der­li­chen Mass­nah­men getrof­fen hat, um das Daten­schutz­recht wie­der ein­zu­hal­ten.
  • Beschwer­den gegen vor­sorg­li­che Mass­nah­men wer­den nicht mehr ex lege auf­schie­ben­de Wir­kung haben.
  • Im Amts­hil­fe­ver­fah­ren wird Geheim­nis­trä­gern vor einer Infor­ma­ti­ons­be­kannt­ga­be an eine aus­län­di­sche Behör­de i.d.R. Gele­gen­heit gege­ben, dazu Stel­lung zu neh­men (Art. 49 Abs. 3).
  • Dafür kann der EDÖB neu Gebüh­ren erhe­ben (Art. 53).
David Vasella

Posted by David Vasella

RA Dr. David Vasella ist Gründer von swissblawg und Rechtsanwalt und Counsel bei Walder Wyss. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert, betreibt den Blog daten:recht und ist Lehrbeauftragter der Universität Zürich.