Das schweiz­erische Daten­schutzge­setz (DSG) befind­et sich zur Zeit in Revi­sion; wir haben dazu wieder­holt berichtet. Nach­dem die Vernehm­las­sung zum Voren­twurf anfangs April 2017 endete, hat der Bun­desrat heute nun den Entwurf des DSG mit weit­eren Doku­menten veröf­fentlicht (vgl. Medi­en­mit­teilung):

Eine Gegenüber­stel­lung des Entwurfs mit dem Voren­twurf und dem gel­tenden DSG ist hier abruf­bar.

Das Par­la­ment wird den Entwurf nun zu berat­en haben. Der Bun­desrat hofft aber, das neue DSG auf August 2018 in Kraft set­zen zu kön­nen.

Der Voren­twurf war im Vernehm­las­sungsver­fahren in vie­len Punk­ten teils heftig kri­tisiert wor­den. Gegen­stand beson­ders schar­fer Kri­tik waren die vorge­henen Sank­tio­nen, die sich nicht als Ver­wal­tungs­bussen gegen fehlbare Unternehmen, son­dern als Straf­sank­tio­nen gegen ver­ant­wortliche Mitar­beit­er richt­en soll­ten. Der Bun­desrat will an diesem Sys­tem fes­thal­ten, hat den Bussen­rah­men aber auf CHF 250’000 gesenkt und die Tatbestände als Vor­satzde­lik­te aus­gestal­tet. Straf­bar ist fern­er nur die Ver­let­zung bes­timmter Mitwirkungspflicht­en gegenüber dem EDÖB, der Infor­ma­tions- und Auskun­ft­spflicht, der Pflicht­en bei Aus­lands­bekan­nt­gabe und Auf­trags­bear­beitung und der Daten­sicher­heit­san­forderun­gen. Nicht straf­bar sind weit­er­hin eine Ver­let­zung der all­ge­meinen Bear­beitungs­grund­sätze und – neu – der Pflicht­en im Zusam­men­hang mit ein­er Daten­schutz-Fol­gen­ab­schätzung und mit Daten­schutzver­let­zun­gen (“breach noti­fi­ca­tion”).

Auf den ersten Blick und noch ohne Berück­sich­ti­gung der Botschaft zeigt sich anson­sten fol­gen­des Bild:

Einige in der Vernehm­las­sung nicht oder kaum bestrit­tene Punk­te wur­den über­nom­men, etwa die Beschränkung der “Per­so­n­en­dat­en” auf natür­liche Per­so­n­en (Art. 4 lit. a E-DSG) oder die Kom­pe­tenz des Bun­desrats zur Beurteilung der Angemessen­heit des aus­ländis­chen Rechts (Art. 13 Abs. 1).

Einiges ist neu:

  • Bear­beit­er kön­nen neu einen unab­hängi­gen, fachkundi­gen, inter­nen oder auch exter­nen “Daten­schutz-Berater” bes­tim­men, was Erle­ichterun­gen im Fall ein­er Daten­schutz-Fol­gen­ab­schätzung mit sich bringt.
  • Her­steller von Daten­bear­beitungssys­te­men oder -pro­gram­men kön­nen ihre Sys­teme, Pro­duk­te und Dien­stleis­tun­gen zer­ti­fizieren lassen.
  • Der Entwurf sieht Über­gangs­bes­tim­mungen vor. So müssen fort­dauernde Bear­beitun­gen erst zwei Jahre nach Inkraft­treten angepasst sein, und die neuen Infor­ma­tion­spflicht­en greifen eben­falls erst nach zwei Jahren (Art. 62 ff.).

Einige Bestimmungen wurden in ihrer Handhabung erleichtert:

  • Es sind einige Meldepflicht­en gegenüber dem EDÖB ent­fall­en oder durch Infor­ma­tion­spflicht­en auf Anfrage erset­zt wor­den, so etwa bei der Daten­bekan­nt­gabe ins Aus­land (Art. 14 Abs. 2; was bleibt, ist die Pflicht zur Mit­teilung nicht genehmigter oder anerkan­nter Klauseln zur Bekan­nt­gabe in unsichere Drittstaat­en);
  • Der Bun­desrat kann weit­ere Garantien fes­tle­gen, die eine Daten­bekan­nt­gabe ins Aus­land erlauben (Art. 13 Abs. 3).
  • Die Bekan­nt­gabe ins Aus­land im Zusam­men­hang mit einem Ver­trag ist neu auch dann möglich, wenn der Ver­trag nicht mit der betrof­fe­nen Per­son, aber in deren Inter­esse geschlossen wurde oder wer­den soll (Art. 14 Abs. 1 lit. b).
  • Auf­trags­bear­beit­er brauchen nach wie vor die Zus­tim­mung für Unter­aufträge, doch muss diese nicht mehr schriftlich erfol­gen.
  • Die beson­deren Pflicht­en bei automa­tisierten Einze­lentschei­dun­gen (Art. 19) ent­fall­en neu, wenn die Entschei­dung mit einem Ver­trag zusam­men­hängt und für die betrof­fene Per­son pos­i­tiv aus­fällt, und wenn die betrof­fene Per­son in die automa­tisierte Entschei­dung aus­drück­lich eingewil­ligt hat.
  • Die Reak­tions­frist des EDÖB nach Mel­dung ein­er Fol­gen­ab­schätzung wurde auf zwei Monate verkürzt (Art. 21 Abs. 2; wenn auch mit der Möglichkeit ein­er Ver­längerung auf drei Monate), und sie ist nicht verpflich­t­end, wenn ein Daten­schutzber­ater kon­sul­tiert wurde.

Einiges wurde präzisiert und – aus Sicht der Wirtschaft – korrigiert oder verbessert:

  • Das DSG ist bei Ver­fahren nicht mehr anwend­bar (Art. E Abs.  2).
  • Eine Daten­schutz­fol­gen­ab­schätzung ist etwa nur noch bei “hohen” Risiken verpflich­t­end (Art. 20 Abs. 1), wobei neu in ein­er nicht abschliessenden Aufzäh­lung konkretisiert wird, wann ein hohes Risiko vor­liegt (Art. 20 Abs. 2). Eine Daten­schutz-Fol­gen­ab­schätzun­gen ist fern­er u.a. dann nicht mehr verpflich­t­end, wenn ein bes­timmter Ver­hal­tenskodex einge­hal­ten wird.
  • Die Pflicht zur Mel­dung von Ver­let­zun­gen (“breach noti­fi­ca­tion”) bet­rifft nur noch Ver­let­zun­gen der Daten­sicher­heit, nicht mehr jede unbefugte Daten­bear­beitung. Der Inhalt der Mel­dung an den EDÖB wurde zudem umschrieben, und die Mel­dung ist nur noch bei hohem Risiko erforder­lich (Art. 22).
  • Die Def­i­n­i­tion des “Pro­fil­ing” wurde kor­rigiert (Art. 4 lit. f): nur die automa­tisierte Bear­beitung von Per­so­n­en­dat­en ist erfasst.
  • Der Gegen­stand der Doku­men­ta­tion­spflicht wurde konkretisiert (Art. 11 Abs. 2).
  • Ver­hal­tenskodizes (im Voren­twurf noch als „Empfehlun­gen der guten Prax­is“ beze­ich­net) wer­den nicht mehr vom EDÖB, son­dern auss­chliesslich von Beruf-und Wirtschaftsver­bän­den erar­beit­et. Allerd­ings hat der EDÖB neu die Auf­gabe, „Leit­fä­den und Arbeitsin­stru­mente“ zu erar­beit­en (Art. 52 Abs. 1 lit. g). Zudem verzichtet der Entwurf darauf, die All­ge­meinen Rechts­fol­gen zu definieren, wenn ein Ver­hal­tenskodex einge­hal­ten wird.
  • Die Pflicht zur Infor­ma­tion über die Iden­tität von Auf­trags­bear­beit­ern, ein Parade­beispiel des „swiss fin­ish“, wurde gestrichen (Art. 17).
  • Die Infor­ma­tion­spflicht gilt bei pri­vat­en Bear­beit­ern nicht, wenn sie son­st gegen Geheimhal­tungspflicht­en ver­stossen müssten (Art. 18 Abs. 1 lit. c).
  • Medi­en kön­nen sich auch bei der Infor­ma­tion­spflicht auf die beim Auskun­ft­srecht vorge­se­henen Aus­nah­men berufen (Art. 18 Abs.  1 lit. d).
  • Mel­dun­gen von Daten­schutzver­let­zun­gen dür­fen in Strafver­fahren ohne Ein­willi­gung des Meldepflichti­gen nicht mehr ver­wen­det wer­den (Art.  22 Abs. 6).
  • Beson­dere Auskun­ft­spflicht­en beste­hen nur noch bei automa­tisierten Einzelfal­l­entschei­dun­gen, nicht mehr bei Entschei­dun­gen all­ge­mein (Art. 23 Abs. 2 lit. f). Der Bun­desrat erhält zudem wieder die Kom­pe­tenz, Aus­nah­men von der Kosten­losigkeit vorzuse­hen (Art. 23 Abs. 6), und die Auskun­ft darf ver­weigert wer­den, wenn das Auskun­fts­ge­such offen­sichtlich unbe­grün­det oder queru­la­torisch ist (Art. 24 Abs. 1 lit. c).
  • Der ver­wirrende Umgang mit dem Pro­fil­ing im Sys­tem der Recht­fer­ti­gungs­gründe wurde bere­inigt (Art. 26).
  • Ein Anspruch auf Berich­ti­gung beste­ht nicht bei ent­ge­gen­ste­hen­den geset­zlichen Vorschriften (Art. 28 Abs. 1 lit. a).

Einige Unstimmigkeiten sind geblieben:

  • Pri­va­cy by design” soll weit­er­hin schon ab der Pla­nung von Daten­bear­beitun­gen gel­ten (Art. 6 Abs. 1). Das kann allerd­ings nur gel­ten, wenn dabei konkret auch Dat­en bear­beit­et wer­den; andern­falls ist das DSG nicht anwend­bar. Her­steller sind daher trotz des Wort­lauts nicht verpflichtet, dieses Prinzip anzuwen­den.
  • Die Beurteilung der Angemessen­heit aus­ländis­chen Rechts durch den Bun­desrat begrün­det nach wie vor eine Fik­tion, nicht eine Ver­mu­tung (Art. 14 Abs. 2).
  • Die Bekan­nt­gabe ins Aus­land kann weit­er­hin nicht durch ein über­wiegen­des pri­vates Inter­esse gerecht­fer­tigt wer­den (Art. 14 Abs. 2).
  • Die Freis­tel­lung all­ge­mein­er Infor­ma­tion (zum Beispiel durch Medi­en) von den Anforderun­gen an die Bekan­nt­gabe ins Aus­land gilt nur für „automa­tisierte Infor­ma­tions- und Kom­mu­nika­tions­di­en­ste“ (Art. 15). Ob dies auch für Print-Pub­lika­tio­nen gilt, die weit­ge­hend automa­tisiert ver­sandt wird, ist offen, wäre der Sache nach aber richtig.
  • Ein­sicht und Löschung von Dat­en ver­stor­ben­er Per­so­n­en („Lex Face­book“) wird nach wie vor im DSG geregelt (Art. 16), obwohl Ver­stor­bene keine Daten­sub­jek­te sind.
  • Die Beschränkung der Infor­ma­tion­spflicht und des Auskun­ft­srechts durch Beru­fung auf über­wiegende Pri­vat­in­ter­essen bleibt aus­geschlossen, wenn Per­so­n­en­dat­en an Dritte weit­ergegeben wer­den (Art. 18 Abs. 3 lit. c; Art. 24 Abs. 2 lit. a), wohl aus Angst, dass Drit­tbekan­nt­gaben beson­ders riskant sind (falls das stimmt, hätte es auch im Rah­men ein­er Inter­essen­ab­wä­gung berück­sichtigt wer­den kön­nen). Immer­hin müssen die Infor­ma­tion und die Auskun­ft nicht mehr nachge­holt wer­den, wenn der Grund für die Ver­weigerung oder Ein­schränkung ent­fällt.
  • Eine „automa­tisierte Einze­lentschei­dung“ liegt weit­er­hin immer dann vor, wenn eine automa­tisierte Entschei­dung mit ein­er Rechts­folge ver­bun­den ist; eine Qual­i­fizierung fehlt insoweit nach wie vor (Art. 19 Abs. 1).

Einige Unstimmigkeiten, Unklarheiten oder Hindernisse sind neu:

  • Die Vorkehren zur Daten­sicher­heit müssen es neu “ermöglichen”, “Ver­let­zun­gen der Daten­sicher­heit zu ver­mei­den” (Art. 7 Abs. 2).
  • Die Bekan­nt­gabe ins Aus­land gestützt auf eine Ein­willi­gung ist nur noch zuläs­sig, wenn diese Ein­willi­gung aus­drück­lich erfol­gt (Art. 14 Abs. 1 lit. a).
  • Es scheint neu fin­giert zu wer­den, dass ein Pro­fil­ing hochriskant ist, so dass stets eine Fol­gen­ab­schätzung durchzuführen ist (Art. 20 Abs.  2 lit. b).
  • Die Beru­fung auf ein beson­deres, über­wiegen­des pri­vates Inter­esse ist für Kred­i­tauskun­fteien nur noch möglich, wenn die betr­e­f­fend­en Dat­en nicht älter sind als 5 Jahre (Art. 27 Abs. 2 lit. c).
  • Die Infor­ma­tions- und Auskun­ft­spflicht­en operieren neu mit ein­er Gen­er­alk­lausel (neben den Min­destangaben), was im Fall ein­er Busse trotz der Beschränkung auf Vor­satzde­lik­te Fra­gen im Zusam­men­hang mit der genü­gen­den Bes­timmtheit aufw­er­fen wird.

In verfahrensrechtlicher Hinsicht wurden Erleichterungen vorgesehen:

  • Das Oppor­tu­nität­sprinzip wurde für ger­ingfügige Daten­schutzver­let­zun­gen ver­ankert (Art. 43 Abs. 2). Gle­ichzeit­ig wurde die Anzeigepflicht bei Ver­stössen (Art. 45 VE) gestrichen. Fern­er wird aus­drück­lich fest­ge­hal­ten, dass sich der EDÖB auf eine Ver­war­nung beschränken darf, falls der Bear­beit­er während der Unter­suchung die erforder­lichen Mass­nah­men getrof­fen hat, um das Daten­schutzrecht wieder einzuhal­ten.
  • Beschw­er­den gegen vor­sor­gliche Mass­nah­men wer­den nicht mehr ex lege auf­schiebende Wirkung haben.
  • Im Amt­shil­fever­fahren wird Geheimnisträgern vor ein­er Infor­ma­tions­bekan­nt­gabe an eine aus­ländis­che Behörde i.d.R. Gele­gen­heit gegeben, dazu Stel­lung zu nehmen (Art. 49 Abs. 3).
  • Dafür kann der EDÖB neu Gebühren erheben (Art. 53).
David Vasella

Posted by David Vasella

RA Dr. David Vasella ist Gründer von swissblawg und Rechtsanwalt und Counsel bei Walder Wyss. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert, betreibt den Blog daten:recht und ist Lehrbeauftragter der Universität Zürich.