Was ändert sich nicht?
Das Wichtigste zuerst: Obschon das DSG umfassend revidiert wird, bleiben die grundlegenden Prinzipien des Schweizer Datenschutzrechts unverändert. Inhaltlich weitreichende Änderungen hinsichtlich der Art und Weise, wie Unternehmen Personendaten bearbeiten, sind nicht zu erwarten.

Wie bisher verlangt das neue DSG, dass bei der Bearbeitung von Personendaten eine Reihe von Bearbeitungsgrundsätzen (insbesondere betreffend Transparenz, Zweckbindung, Verhältnismässigkeit und Datensicherheit) eingehalten werden. Ist das gewährleistet, so ist die Bearbeitung der Personendaten grundsätzlich rechtmässig; andernfalls bedarf die Bearbeitung der Rechtfertigung durch Einwilligung, gesetzliche Grundlage oder überwiegende private oder öffentliche Interessen.

Eine Rechtfertigung ist somit auch unter dem revidierten DSG nur ausnahmsweise erforderlich. In dieser Hinsicht unterscheidet sich das Schweizer Datenschutzrecht weiterhin von der europäischen Datenschutzgrundverordnung (DSGVO), welche für jede Datenbearbeitung eine Rechtsgrundlage verlangt.

Was ändert sich?
Dennoch bringt das neue DSG Änderungen mit sich. Viele davon sind von der DSGVO inspiriert und werden den mit der DSGVO vertrauten Datenschutzexperten bekannt vorkommen. Hervorzuheben sind etwa folgende Änderungen:

• Daten, die sich auf juristische Personen beziehen, werden nicht mehr vom DSG erfasst. Wie unter der DSGVO fallen nur noch Daten betreffend natürliche Personen in den Anwendungsbereich des neuen DSG.
• Die Informationspflichten des für die Datenbearbeitung Verantwortlichen werden erweitert. Der Verantwortliche muss die betroffenen Personen unter anderem über seine Identität, seine Kontaktdaten, den Bearbeitungszweck sowie die Empfänger bzw. Kategorien von Empfängern der Daten informieren. Das neue DSG führt aber keine abschliessende Liste der notwendigen Informationen auf. Verantwortliche müssen deshalb selbst prüfen, ob den betroffenen Personen zusätzliche Informationen zur Verfügung zu stellen sind, um dem DSG zu genügen. Dieses verlangt die Mitteilung jener Informationen, die erforderlich sind, damit die betroffenen Personen «ihre Rechte» nach dem DSG geltend machen können und eine «transparente Datenbearbeitung» gewährleistet ist.
• Die Anforderungen an die Datenschutz-Governance werden erhöht. Insbesondere müssen Datenbearbeitungen dokumentiert Abgesehen von bestimmten Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitenden müssen Verantwortliche und Auftragsbearbeiter ein Verzeichnis der Bearbeitungstätigkeiten führen. Für Datenbearbeitungen mit hohem Risiko wird eine Datenschutz-Folgenabschätzung verlangt.
• Das neue DSG führt erstmals eine Meldepflicht für Verletzungen der Datensicherheit ins Schweizer Recht ein: Der Verantwortliche muss jede Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeitsrechte der betroffenen Personen führt, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. Die Meldung muss so rasch als möglich erfolgen. Im Vergleich zur Meldepflicht unter der DSGVO ist die Schwelle zur Auslösung der Meldepflicht erhöht («hohes Risiko» vs. «Risiko»). Wenn es zum Schutz der betroffenen Personen notwendig ist oder der EDÖB es verlangt, muss der Verantwortliche zudem die betroffenen Personen informieren.
• Die Rechte der betroffenen Personen bleiben im Wesentlichen unverändert, aber es gibt punktuelle Anpassungen. In Bezug auf das Auskunftsrecht wird voraussichtlich klargestellt, dass der Verantwortliche die Auskunft auch dann aufgrund überwiegender eigener Interessen einschränken kann, wenn er die Daten mit anderen Konzerngesellschaften teilt. Zudem führt das neue DSG ein Recht auf Datenportabilität
• Das neue DSG adressiert automatisierte Einzelfallentscheidungen. Der Verantwortliche unterliegt einer Informationspflicht in Bezug auf Entscheidungen, die ausschliesslich auf einer automatisierten Datenbearbeitung beruhen und rechtliche Konsequenzen für die betroffenen Personen haben oder diese anderweitig erheblich beeinträchtigen können. Zudem wird den betroffenen Personen das Recht eingeräumt, die Entscheidung einem Menschen vorzulegen.
• Voraussichtlich wird das neue DSG auch bestimmte Arten des Profiling Der Begriff «Profiling» weicht vom bisher verwendeten Begriff der «Persönlichkeitsprofile» ab. Profiling stellt eine automatisierte Datenbearbeitung dar, bei der Aspekte der Persönlichkeit der betroffenen Personen anhand von Daten bewertet werden. Die neuen Regeln dazu sind noch nicht final. Nach dem derzeitigen Stand bringen sie aber kaum relevante Einschränkungen mit sich.
• Das revidierte DSG unterscheidet analog der DSGVO zwischen Verantwortlichen und Auftragsbearbeitern. Diese Unterscheidung besteht sinngemäss bereits unter geltendem Recht, wird nun aber explizit ins neue DSG eingeführt. Anders als die DSGVO sieht das neue DSG indes keine detaillierten Anforderungen an Verträge zur Auftragsbearbeitung vor, sodass DSGVO-konforme Verträge mit dem neuen DSG kompatibel sind. Der Beizug eines «Unter-Auftragsbearbeiters» wird nur mit Genehmigung des Verantwortlichen zulässig sein.
• Die bisherige Pflicht zur Registrierung von Datensammlungen entfällt.
• Die Kompetenzen des EDÖB werden erheblich erweitert. Neu ist der EDÖB befugt, von Amtes wegen oder auf Beschwerde hin Untersuchungen durchzuführen und Beweise zu erheben. Zudem erhält er eine Verfügungskompetenz. Anstelle der bisherigen Empfehlungen kann der EDÖB neu verbindliche Anordnungen erlassen, welche der Adressat anfechten muss, wenn er sie nicht akzeptieren will.
• Mit dem neuen DSG werden die Sanktionen verschärft. Neu kann eine Vielzahl von Verstössen Bussen in Höhe von bis zu CHF 250’000 nach sich ziehen.

Was gilt für Datenexporte?
Die Grundprinzipien für Datenexporte bleiben unverändert. Datenexporte in Länder mit angemessenen Datenschutzgesetzen sind weiterhin zulässig. Datenexporte in Drittstaaten bedürfen entweder der Rechtfertigung (z.B. Vertragserfüllung, überwiegende öffentliche Interessen, Durchsetzung von Rechtsansprüchen) oder anderer Massnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus (z.B. Standardvertragsklauseln oder Binding Corporate Rules).

Das neue DSG bringt aber einige bedeutsame Änderungen mit sich. Erstens wird neu der Bundesrat ermächtigt, nach dem Vorbild der EU verbindliche Angemessenheitsentscheide über das Datenschutzniveau anderer Staaten zu erlassen. Die bisherige Liste des EDÖB mit Staaten, die über einen angemessenen Datenschutz verfügen, entfällt. Zweitens entfällt die Notifikationspflicht bei der Verwendung von genehmigten Standardvertragsklauseln. Drittens werden die Rechtfertigungsgründe für Datenexporte in Drittstaaten im Kontext ausländischer Verfahren erweitert. Neu erlaubt das DSG Datenexporte zur Durchsetzung von Ansprüchen bei ausländischen Behörden (und nicht wie bisher nur bei ausländischen Gerichten). Dies wird den unter dem bisherigen Recht oft umstrittenen Datenexport für Verfahren vor ausländischen Verwaltungsbehörden erleichtern. Viertens verlangen die Informationspflichten unter dem neuen DSG, dass die betroffenen Personen auch informiert werden, wohin Daten exportiert werden und – bei Exporten in Länder ohne angemessenes Schutzniveau – auf welchen Rechtfertigungstatbestand sich der Verantwortliche stützt bzw. welche Schutzmassnahme er getroffen hat.

Gilt das neue DSG ausserhalb der Schweiz?
Bereits das geltende DSG verfügt über eine beschränkte extraterritoriale Wirkung. Das folgt aus dem internationalen Privatrecht, das die betroffenen Personen in bestimmten Fällen berechtigt, datenschutzrechtliche Ansprüche dem Schweizer Recht zu unterstellen. Darüber hinaus gilt das neue DSG für ausländische Datenbearbeitungen, die sich in der Schweiz auswirken. Ausserdem sind ausländische Verantwortliche verpflichtet, eine Vertretung in der Schweiz zu benennen, wenn sie Personendaten von Personen in der Schweiz bearbeiten und die Datenbearbeitung (i) im Zusammenhang mit dem Angebot von Produkten oder Dienstleistungen in der Schweiz oder zur Beobachtung des Verhaltens von Personen in der Schweiz erfolgt, (ii) umfangreich und regelmässig erfolgt und (iii) ein hohes Risiko für die betroffenen Personen birgt.

Gibt es einen Swiss Finish?
Generell werden die Anforderungen des revidierten DSG nicht über das Schutzniveau der DSGVO hinausgehen. Die meisten «Swiss finishes», die im ersten Entwurf des neuen DSG noch enthalten waren, wurden entfernt. Wie erwähnt, gibt es jedoch Unterschiede zur DSGVO. So sind beispielsweise die Informationspflichten des Verantwortlichen nicht abschliessend definiert, was Raum für Interpretation und Unsicherheit mit sich bringt.

Gibt es weitere Unterschiede zur DSGVO?
Es gibt eine Reihe weiterer Unterschiede zur DSGVO. Beispielsweise ist die Einwilligung sowohl nach dem geltenden als auch nach dem revidierten DSG ein praktikables Mittel zur Rechtfertigung. Unterschiede gibt es auch in Bezug auf die Betroffenenrechte.

Welche Sanktionen sieht das neue DSG vor?
Die Sanktionen werden unter dem neuen DSG verschärft, sie bleiben aber im Vergleich zur DSGVO moderat. Das neue DSG wird keine Verwaltungssanktionen gegen Unternehmen vorsehen, sondern weiterhin eine individuelle strafrechtliche Haftung der verantwortlichen Personen. Die Nichteinhaltung bestimmter Vorschriften des neuen DSG kann mit bis zu CHF 250’000 gebüsst werden. Wenn es einen unverhältnismässigen Aufwand erfordern würde, den Täter innerhalb eines Unternehmens zu ermitteln, und die zu erwartende Busse CHF 50’000 nicht übersteigt, kann stattdessen das Unternehmen gebüsst werden.

Was sind die nächsten Schritte?
Letzte Differenzen sind im Parlament noch zu bereinigen. Dabei geht es hauptsächlich um die Regelung des Profiling und um Details betreffend die Informationspflichten, das Auskunftsrecht und die Rechtfertigung im Rahmen von Kreditwürdigkeitsprüfungen. Die Schlussabstimmung in den Räten findet voraussichtlich noch im ersten Quartal 2020 statt. Forderungen nach einem Referendum wurden bislang keine laut.

Wann tritt das neue DSG in Kraft?
Das ist noch offen. Wahrscheinlich scheint ein Inkrafttreten frühestens auf Anfang 2021.

Gibt es eine Übergangsfrist?
Nein, eine generelle Übergangsfrist ist nicht vorgesehen. Es gibt bloss vereinzelte Ausnahmen, z.B. bezüglich laufender Verfahren und die Anwendung des «privacy by design»-Grundsatzes.

Was müssen Unternehmen vorkehren?
Erhebliche Auswirkungen wird das neue DSG vor allem auf Unternehmen haben, welche die Vorgaben der DSGVO bisher nicht implementiert haben. Sie werden ihre Datenbearbeitungen analysieren und vielfach auch ihre Dokumentation (z.B. Datenschutzerklärungen, Inventare, Verträge) und Prozesse zur Gewährleistung des Datenschutzes aufarbeiten und anpassen müssen. Weniger weitreichende Auswirkungen sind für Unternehmen zu erwarten, welche die Vorgaben der DSGVO bereits umgesetzt haben. Auch hier sind aber Anpassungen zu erwarten.

Im Hinblick auf die Einführung des neuen DSG stehen folgende Massnahmen im Vordergrund:

• Überprüfung der Organisation. In vielen Fällen macht die Einrichtung eines Kompetenzzentrums für Datenschutzfragen als interne und externe Anlaufstelle Sinn.
• Identifikation und Dokumentation von Datenbearbeitungen. Das Vorliegen verlässlicher Angaben über die Datenbearbeitungen im Unternehmen ist für die Datenschutz-Governance zentral. Dies gilt selbst dann, wenn keine formelle Verpflichtung zur Führung von Inventaren besteht.
• Inhaltliche Prüfung der Datenbearbeitungen. Bei möglichen Verstössen gegen die Vorgaben des DSG sind Anpassungen notwendig. Dabei macht es Sinn, sensible Datenbearbeitungen zu priorisieren.
• Implementierung geeigneter Prozesse. Es ist zu prüfen, ob die Einhaltung der Vorgaben des DSG durch geeignete Prozesse unterstützt wird. Solche Prozesse müssen nicht zwingend formalisiert sein, aber sie sollten dem Unternehmen die Gewährleistung der Datenschutz-Compliance ermöglichen und erleichtern.
• Aktualisierung der Dokumentation. Das Bereitstellen aktueller, vollständiger und korrekter Dokumentation in Bezug auf Datenbearbeitungen ist ein zentraler Aspekt der Datenschutz-Compliance. Beispielsweise müssen Datenschutzerklärungen vorhanden sein, um Mitarbeiter, Geschäftspartner und die Öffentlichkeit über Datenbearbeitungen zu informieren. Datenexporte müssen allenfalls durch vertragliche Vereinbarungen mit dem Datenimporteur abgesichert werden. Mit Auftragsbearbeitern müssen Auftragsdatenbearbeitungsvereinbarungen abgeschlossen werden. Im Hinblick auf das neue DSG sind diese Dokumente zu prüfen und zu aktualisieren.
• Überprüfung der Massnahmen zur Datensicherheit. Unternehmen müssen dafür sorgen, dass Personendaten angemessen geschützt sind. Die getroffenen technischen und organisatorischen Massnahmen sind regelmässig zu prüfen und gegebenenfalls zu aktualisieren.
• Ernennung eines Vertreters. Für bestimmte Unternehmen mit Sitz im Ausland verlangt das neue DSG die Ernennung eines Vertreters in der Schweiz. Entsprechend sind unter Umständen Vorkehren zur Ernennung eines solchen Vertreters zu treffen.

Vorbereitung für behördliche Anfragen. Verantwortliche sind verpflichtet, die Datenschutz-Compliance des Unternehmens nachzuweisen. Unternehmen sollten darauf vorbereitet sein, behördliche Anfragen rasch beantworten zu können und die Einhaltung der Vorschriften nachzuweisen.