Abstract

Am 31. August 2022 hat der Bundesrat die neue Datenschutzverordnung verabschiedet und entschieden, dass Gesetz und Verordnung am 1. September 2023 in Kraft treten. Dies ist der letzte gesetzgeberische Meilenstein auf dem Weg zur Einführung des neuen Datenschutzgesetzes: Nun ist klar, welche Ausführungsbestimmungen gelten und bis wann die Vorgaben des neuen DSG zu implementieren sind.

Der Bundesrat verabschiedet die neue Verordnung zum neuen DSG und setzt die DSG-Revision auf den 1. September 2023 in Kraft

Was hat der Bundesrat heute entschieden?

Während das Parlament das neue Schweizer Datenschutzgesetz (DSG) bereits am 25. September 2020 gutgeheissen hat (vgl. dazu unser Bulletin vom 25. September 2020 sowie der hier verfügbare Gesetzestext), dauerte die Revision der zugehörigen Datenschutzverordnung (DSV) bis heute an. Am 31. August 2022 hat der Bundesrat nun die neue DSV verabschiedet und zugleich entschieden, dass das neue DSG und die neue DSV (hier abrufbar) auf den 1. September 2023 in Kraft treten. Gleichzeitig hat der Bundesrat auch die neue Verordnung über Datenschutzzertifizierungen verabschiedet. Damit sind die gesetzgeberischen Aktivitäten im Hinblick auf die DSG-Revision abgeschlossen und dem Inkrafttreten des DSG steht nichts mehr im Wege.

Was bedeuten die heutigen Beschlüsse des Bundesrats?

Mit den heutigen Beschlüssen des Bundesrats ist klar, welche Ausführungsbestimmungen zum DSG zu berücksichtigen sind und wann die Revision in Kraft tritt. Unternehmen sind nun angehalten, die notwendigen Vorkehrungen zu treffen, um die Umsetzung der neuen Vorgaben bis zum 1. September 2023 sicherzustellen.

Welches sind die wichtigsten Regelungen der Datenschutzverordnung?

Folgende Vorgaben der DSV sind für Unternehmen hervorzuheben:

  • Im Bereich der Datensicherheit konkretisiert die DSV den Grundsatz der Angemessenheit der Datensicherheit dahingehend, dass Schutzbedarf der Personendaten und Risiken für die Persönlichkeit und Grundrechte der betroffenen Person anhand der in der DSV festgelegten Kriterien zu beurteilen sind. Zudem definiert die DSV die Schutzziele und gewisse technische und organisatorische Massnahmen, welche das Erreichen dieser Ziele erlauben sollen.
  • Die in der Vernehmlassung stark kritisierte Norm zur Protokollierung bestimmter Datenbearbeitungen bleibt trotz gegenteiliger Forderungen aus der Praxis bestehen. Sie wurde gegenüber der Vernehmlassungsvorlage zwar eingeschränkt, ohne jedoch an Kontur zu gewinnen. Neu sollen private Verantwortliche und Auftragsbearbeiter, die besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeiten oder die Profilings mit hohem Risiko durchführen, das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten protokollieren, wenn die ergriffenen präventiven Massnahmen den Datenschutz nicht zu gewährleisten vermögen. Die Protokollierung ist während mindestens einem Jahr aufzubewahren, und zwar getrennt vom System, in welchem die Personendaten aufbewahrt werden. Die Tragweite dieser inhaltlich für Verantwortliche und Auftragsbearbeiter einschneidenden Norm ist weiterhin unklar. Insbesondere wird zu klären sein, wann «in grossem Umfang» besonders schützenswerte Daten bearbeitet werden und wann «die präventiven Massnahmen den Datenschutz nicht gewährleisten». Das Bundesamt für Justiz stellt sich im erläuternden Bericht – überraschend und ohne Begründung – auf den Standpunkt, letzteres sei nur selten der Fall. Das überzeugt nicht, ist doch die Gewährleistung des Datenschutzes eine grundsätzliche Prämisse für alle Datenbearbeitungsaktivitäten.
  • Weiter sieht die DSV eine Pflicht privater Verantwortlicher und Auftragsbearbeiter vor, ein Reglement für automatisierte Datenbearbeitungen zu erlassen und regelmässig zu aktualisieren, wenn sie besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeiten oder Profilings mit hohem Risiko durchführen.
  • Im Bereich der Auftragsdatenbearbeitung ist die Klarstellung erfreulich, dass die Genehmigung von Unter-Auftragsbearbeitern sowohl spezifisch (d.h. in Bezug auf einen konkreten Unter-Auftragsbearbeiter) als auch allgemein erteilt werden kann. Im letzteren Fall verlangt die DSV eine Information über beabsichtigte Änderungen und ein Widerspruchsrecht zugunsten des Verantwortlichen.
  • Sodann konkretisiert die DSV weitere Pflichten des Verantwortlichen, so insbesondere die Modalitäten der Informationspflicht, die Dauer der Aufbewahrung der Datenschutz-Folgenabschätzung, sowie die Anforderungen an die Meldung einer Verletzung der Datensicherheit an den EDÖB. Weiter werden gewisse Modalitäten des Auskunftsrechts sowie des Rechts auf Datenherausgabe und -übertragung der betroffenen Person geregelt.
  • Schliesslich hält die DSV fest, dass die Pflicht zur Führung eines Bearbeitungsverzeichnisses für jene Unternehmen entfällt, die am 1. Januar eines Jahres weniger als 250 Mitarbeitende (wobei der Beschäftigungsgrad keine Rolle spielen soll) beschäftigen und weder besonders schützenswerte Personendaten in grossem Umfang bearbeiten noch Profilings mit hohem Risiko durchführen.

Welchen Staaten attestiert der Bundesrat ein angemessenes Datenschutzniveau?

Anhang 1 der DSV listet jene Staaten auf, welche über eine angemessene Datenschutzgesetzgebung verfügen. Die Bekanntgabe von Personendaten in diese Staaten ist grundsätzlich zulässig. Die Liste enthält insbesondere sämtliche Mitgliedsstaaten der EU und des EWR und das Vereinigte Königreich sowie in gewissen Bereichen Kanada. Des Weiteren sind auf der Liste: Andorra, Argentinien, Färöer, Gibraltar, Guernsey, Isle of Man, Island, Israel, Jersey, Monaco, Neuseeland und Uruguay.

Bekanntgaben von Personendaten in andere Staaten – so insbesondere auch in die USA – setzen entweder die Anwendung einer konkreten Ausnahmebestimmung oder die Implementierung von alternativen Schutzmassnahmen zur Gewährleistung eines angemessenen Datenschutzes voraus.

Wozu braucht es die Datenschutzverordnung zusätzlich zum DSG?

Das DSG räumt dem Bundesrat die Kompetenz zum Erlass gewisser Ausführungsvorschriften zum DSG ein. Davon macht der Bundesrat mit der DSV Gebrauch.

Wurde die Datenschutzverordnung gegenüber dem Entwurf vom Juni 2021 entschärft?

Der im Juni 2021 veröffentlichte Entwurf der neuen DSV wurde in der Vernehmlassung scharf kritisiert. Denn der Entwurf sah zahlreiche Bestimmungen vor, welche einschneidende Auswirkungen auf die dem DSG unterstellten Unternehmen gehabt hätten und dabei inhaltlich deutlich über blosse Ausführungsvorschriften hinausgingen. Der Bundesrat hat der Kritik aus der Vernehmlassung immerhin teilweise Rechnung getragen und die nun vorliegende, finale DSV gegenüber dem Entwurf entschärft. So hat der Bundesrat etwa die Regelung der Modalitäten der Informationspflicht sowie die Anforderungen an die Rolle der Datenschutzberaterin gegenüber dem Entwurf erheblich entschlackt und zudem auf gewisse Schriftformerfordernisse verzichtet. Weiterhin deutlich überschiessend scheint die finale DSV jedoch im Bereich der Vorgaben an die Datensicherheit, wo namentlich die Umsetzung der Pflicht zur Protokollierung bestimmter Datenbearbeitungen herausfordernd erscheint.

Welche Massnahmen sind im Hinblick auf das Inkrafttreten des neuen DSG angezeigt?

Projekte zur Umsetzung in Unternehmen sollten nun zeitnah in Angriff genommen werden, damit die Unternehmen am 1. September 2023 DSG-konform aufgestellt sind. Für viele Unternehmen wird es insbesondere erforderlich sein, die internen Prozesse und Dokumentation (so etwa Datenschutzerklärungen, Bearbeitungsverzeichnisse, Datenschutz-Folgenabschätzungen, Verträge betr. die Bearbeitung von Personendaten, etc.) zu überprüfen und gegebenenfalls zu aktualisieren bzw. neu einzuführen. Eine kurze Checkliste steht hier zum Download zur Verfügung.

Falls Sie Fragen zu diesem Bulletin haben, wenden Sie sich bitte an Ihren Homburger Kontakt oder an: