Infolge seines Entscheides vom 30. Oktober 2019 hat der Bundesrat an seiner Sitzung vom 6. Dezember 2019 die Botschaft über die Genehmigung des Protokolls zur Änderung der Datenschutzkonvention des Europarates verabschiedet. Für die Ratifikation ist aber noch die Zustimmung des Parlaments erforderlich. Mit einem Beitritt zur modernisierten Konvention wird sichergestellt, dass die zunehmenden datenschutzrechtlichen Anforderungen für Datenbearbeitungen von Personendaten im internationalen Kontext gewährleistet sind. Es wird damit insbesondere auch der grenzüberschreitende Datenverkehr erleichtert; so berücksichtigt die EU Kommission bei ihrem Entscheid über das Vorliegen eines angemessenen Datenschutzniveaus in einem Drittstaat jeweils, ob die entsprechenden Drittstaaten der Konvention beigetreten sind.
Gemäss dem Änderungsprotokoll werden diverse Pflichten des Verantwortlichen ausgeweitet, so beispielsweise die Meldepflichten gegenüber der Aufsichtsbehörde bei Datenschutzverletzungen, eine Pflicht zur Durchführung einer Datenschutzfolgenabschätzung sowie die Informationspflicht des Verantwortlichen. Ferner werden die Grundsätze Privacy by Design und Privacy by Default verankert. Die Vertragsstaaten werden darüber hinaus dazu angehalten, ein Sanktions- und ein Rechtsmittelsystem einzuführen, was mit einer Befugnis der Aufsichtsbehörden einher geht, verbindliche Entscheidungen erlassen zu können; dieser Punkt wird vor dem Hintergrund der Systematik des schweizerischen Datenschutzrechts wohl einer der Hauptknackpunkte sein.
Die entsprechenden Anpassungen sind ebenfalls ins Datenschutzgesetz (DSG) aufzunehmen; der Entwurf zum revidierten DSG wurde gerade erst von der Kommission des Ständerates beraten und wird nun im Rahmen der zurzeit laufenden Wintersession im Ständerat debattiert. Sobald die Beratungen in diesem Sinne abgeschlossen sind, kann sowohl das DSG als auch der Bundesbeschluss zur Genehmigung der neuen Datenschutzkonvention verabschiedet und die neue Datenschutzkonvention ratifiziert werden.
Zu beachten ist, dass die Ratifikation auch für die Kantone verbindlich ist. Sie sind verpflichtet, die neuen Anforderungen des Änderungsprotokolls zu erfüllen und in ihr Recht umzusetzen, das heisst, es werden gegebenenfalls auch die kantonalen Datenschutzgesetze anzupassen sein.