revDSG in Kraft am 1. Sep­tem­ber 2023, DSV veröffentlicht

An sei­ner Sit­zung vom 31. August 2022 hat der Bun­des­rat die neue Daten­schutz­ver­ord­nung (DSV) und die neue Ver­ord­nung über Daten­schutz­zer­ti­fi­zie­run­gen (VDSZ) ver­ab­schie­det. Die Aus­füh­rungs­be­stim­mun­gen wer­den zusam­men mit dem total­re­vi­dier­ten Daten­schutz­ge­setz ([n]DSG) wie erwar­tet am 1. Sep­tem­ber 2023 in Kraft tre­ten (Medi­en­mit­tei­lung).

Aus­gangs­la­ge

Bekannt­lich hat das Schwei­zer Par­la­ment am 25. Sep­tem­ber 2020 das total­re­vi­dier­te Daten­schutz­ge­setz (DSG) ver­ab­schie­det. Ab dem Herbst 2020 wur­de ent­spre­chend die Über­ar­bei­tung der ent­spre­chen­den Aus­füh­rungs­be­stim­mun­gen in Angriff genom­men. Am 23. Juni 2021 eröff­ne­te der Bun­des­rat die Ver­nehm­las­sung dazu, die bis zum 14. Okto­ber 2021 dauerte.

Gemäss dem Bericht über das Ergeb­nis des Ver­nehm­las­sungs­ver­fah­rens vom 31. August 2022 hat­ten sich brei­te Krei­se an der Ver­nehm­las­sung betei­ligt – es sind Stel­lung­nah­men von 24 Kan­to­nen, der Kon­fe­renz der kan­to­na­len Daten­schutz­be­auf­tra­gen «pri­vi­tim», poli­ti­schen Par­tei­en sowie zahl­rei­chen Ver­bän­den aus Wirtschafts‑, Kon­su­men­ten­schutz- und Daten­schutz­krei­sen ein­ge­gan­gen, und unter ande­rem auch von Wal­der Wyss.

Nun hat der Bun­des­rat ent­schie­den, das

  • total­re­vi­dier­te DSG und
  • die neue Daten­schutz­ver­ord­nung (DSV, PDF) sowie
  • die neue Ver­ord­nung über Daten­schutz­zer­ti­fi­zie­run­gen (VDSZ, PDF)

auf den 1. Sep­tem­ber 2023 in Kraft tre­ten zu las­sen. Damit gewährt er der Wirt­schaft ein wei­te­res Jahr Anpassungsfrist.

Damit liegt die lang­erwar­te­te fina­le Fas­sung der DSV end­lich vor. Zugleich hat der Bun­des­rat den umfang­rei­chen Erläu­tern­den Bericht zur DSV und eben­so zur VDSZ ver­öf­fent­licht, zusam­men mit einem “FAQ Daten­schutz­recht”.

Arbeits­ma­te­ria­li­en

Wir (Han­nes Meyle und Anne-Sophie Morand mit David Vasel­la) haben eine Gegen­über­stel­lung der DSV, der E‑VDSG sowie der gel­ten­den VDSG zusam­men­ge­stellt. Sie fin­den die­se hier als PDF. Soweit für inter­ne Zwecke eine Word-Fas­sung hilf­reich ist, kön­nen wir die­se auf Anfra­ge ger­ne bereitstellen.

Eine auf­be­rei­te­te Fas­sung der DSV zusam­men mit den ent­spre­chen­den Aus­zü­gen aus dem Erläu­te­rungs­be­richt fin­den Sie zudem hier, neben dem neu­en DSG mit Aus­zü­gen der Bot­schaft und einer eng­li­schen Fas­sung von Wal­der Wyss (Hugh Reeves).

Ände­run­gen auf­grund der Vernehmlassung

Der Bun­des­rat hat in der DSV Anpas­sun­gen im Ver­hält­nis zum Ent­wurf (E‑VDSG) vor­ge­nom­men und damit auf die har­sche Kri­tik in der Ver­nehm­las­sung reagiert.

Bereits bei Bekannt­wer­den des E‑VDSG Ende Juni 2021 wur­de vor allem sei­tens der Wirt­schaft von einer ver­pass­ten Chan­ce gespro­chen. Beson­ders kri­ti­siert wur­de, dass der Vor­ent­wurf inhalt­lich unprä­zi­se und oft unnö­tig restrik­tiv war, und dass zahl­rei­chen Bestim­mun­gen eine gesetz­li­che Grund­la­ge fehl­te. An Kri­tik waren auch die Ver­nehm­las­sungs­ein­ga­ben nicht arm. Der Bun­des­rat hat in der DSV daher ver­sucht, einen kla­re­ren Bezug der Bestim­mun­gen der Ver­ord­nung zu den jewei­li­gen Geset­zes­nor­men her­zu­stel­len. Die DSV ent­hält damit im Ver­gleich zum Ver­nehm­las­sungs­ent­wurf inhalt­li­che. aber auch syste­ma­ti­sche Anpas­sun­gen. Der Erläu­tern­de Bericht fasst die­se Anpas­sun­gen wie folgt zusammen:

Anpas­sun­gen auf­grund der Vernehmlassung

Die Ver­ord­nung ent­hält im Ver­gleich zum Ver­nehm­las­sungs­ent­wurf inhalt­li­che und syste­ma­ti­sche Anpas­sun­gen. Die wich­tig­sten Ände­run­gen wer­den im Fol­gen­den dargestellt.

4.1 Daten­si­cher­heit

Der Abschnitt zur Daten­si­cher­heit wur­de über­ar­bei­tet, um der in der Ver­nehm­las­sung geäu­sser­ten Kri­tik Rech­nung zu tragen.

Aus­le­gungs­be­dürf­ti­ge Begrif­fe (z. B. «ange­mes­se­ne Abstän­de») wur­den gestri­chen. Ausser­dem wer­den die Zie­le neu in einem eige­nen Arti­kel (Art. 2 DSV) gere­gelt, der sich an der Rege­lung im Informationssicherheitsgesetz11 ori­en­tiert. Arti­kel 3 regelt die tech­ni­schen und orga­ni­sa­to­ri­schen Massnahmen.

Die Bestim­mun­gen zur Pro­to­kol­lie­rung und zum Bear­bei­tungs­re­gle­ment (Art. 4 – 6 DSV) erhal­ten so weit wie mög­lich die Rege­lung der gel­ten­den VDSG auf­recht. So wird der Ver­weis auf die Daten­schutz-Fol­gen­ab­schät­zung aus den Vor­aus­set­zun­gen für die Pro­to­kol­lie­rungs­pflicht gestri­chen. Der Vor­schlag, die Dau­er für die Auf­be­wah­rung der Pro­to­kol­le auf zwei Jah­re zu erhö­hen, wird nicht auf­recht­erhal­ten. Da die Dau­er von einem Jahr gemäss der gel­ten­den VDSG sowohl ein Mini­mum als auch ein Maxi­mum dar­stellt, wur­de der Aus­druck «min­de­stens» ein­ge­fügt, damit die pri­va­ten Per­so­nen die Pro­to­kol­le auch wäh­rend mehr als einem Jahr auf­be­wah­ren kön­nen. Bei den Bun­des­or­ga­nen blei­ben die spe­zi­al­ge­setz­li­chen Vor­schrif­ten vorbehalten.

4.2 Bear­bei­tung durch Auftragsbearbeiter

Der bis­he­ri­ge Inhalt von Arti­kel 6 E‑VDSG wur­de gestri­chen. Statt­des­sen wird in Arti­kel 7 DSV ein­zig die Art der vor­gän­gi­gen Geneh­mi­gung, mit wel­cher ein Ver­ant­wort­li­cher einen Auf­trags­be­ar­bei­ter zur Über­tra­gung der Daten­be­ar­bei­tung auf einen Drit­ten ermäch­ti­gen kann, gere­gelt. Die­se Bestim­mung ori­en­tiert sich an Arti­kel 22 Absatz 2 der Richt­li­nie (EU) 2016/680 bzw. Arti­kel 28 Abs. 2 DSGVO. Sie nimmt aus Grün­den der Rechts­si­cher­heit auf, was der Bun­des­rat bereits in der Bot­schaft zur Total­re­vi­si­on des Daten­schutz­ge­set­zes zur
Geneh­mi­gung der Sub­auf­trags­be­ar­bei­tung aus­ge­führt hat (vgl. BBl 2017 6941, 7032).

Die Strei­chung von Arti­kel 6 Absät­ze 1 und 2 E‑VDSG erfolgt, weil die­se Nor­men bereits durch Art. 9 Abs. 1 Bst. a nDSG sowie die Bestim­mun­gen zur Daten­be­kannt­ga­be ins Aus­land (Art. 16 f. nDSG; Art. 8 ff. DSV) abge­deckt sind. Auch ein Ver­ant­wort­li­cher, der die Bear­bei­tung von Per­so­nen­da­ten einem Auf­trags­be­ar­bei­ter über­trägt, bleibt für den Daten­schutz verantwortlich.

Eine aus­drück­li­che Rege­lung der Schrift­form der vor­gän­gi­gen Geneh­mi­gung der Sub­auf­trags­be­ar­bei­tung durch Bun­des­or­ga­ne, wie sie Arti­kel 6 Absatz 3 E‑VDSG vor­ge­se­hen hat, scheint ausser­dem nicht erfor­der­lich. Es ist davon aus­zu­ge­hen, dass die­se bereits mit Blick auf die Rechts­si­cher­heit zu wäh­len ist. Ausser­dem sind auch die gege­be­nen­falls ein­schlä­gi­gen beschaf­fungs­recht­li­chen Form­vor­ga­ben zu beachten.

Arti­kel 7 E‑VDSG wur­de ganz gestri­chen. Dies ist damit zu begrün­den, dass bereits Arti­kel 26 Absatz 2 Buch­sta­be a DSV (ehem. Art. 28 Abs. 2 Bst. a und b E‑VDSG) die Mit­wir­kung der Daten­schutz­be­ra­te­rin bzw. des Daten­schutz­be­ra­ters regelt.

4.3 Bekannt­ga­be von Per­so­nen­da­ten ins Ausland

Die Ver­nehm­las­sung hat gezeigt, dass ein Bedarf an erhöh­ter Trans­pa­renz und Klar­heit besteht.

Gemäss Arti­kel 8 Absatz 5 DSV müs­sen die Beur­tei­lun­gen des Bun­des­ra­tes nun­mehr ver­öf­fent­licht wer­den. Eine Über­gangs­be­stim­mung regelt die Moda­li­tä­ten (Art. 46 Abs. 2 DSV). Dar­über hin­aus wur­de der Grund­satz der Trans­pa­renz aus­drück­lich in Arti­kel 9 Absatz 1 Buch­sta­be a DSV aufgenommen.

Schliess­lich wird auch prä­zi­siert, dass der EDÖB inner­halb von neun­zig Tagen zu den Stan­dard­da­ten­schutz­klau­seln und ver­bind­li­chen unter­neh­mens­in­ter­nen Daten­schutz­vor­schrif­ten, die ihm unter­brei­tet wer­den, Stel­lung nimmt (Art. 10 Abs. 2 und Art. 11 Abs. 3 DSV).

4.4 Pflich­ten des Verantwortlichen

Aus Arti­kel 13 Absatz 1 DSV (ehem. Art. 13 Abs. 1 E‑VDSG) wur­de der Auf­trags­be­ar­bei­ter gestri­chen, da sich auch die Rechts­grund­la­ge in Arti­kel 19 nDSG nur an den Ver­ant­wort­li­chen rich­tet. Die Ver­ant­wor­tung für die Aus­kunft bleibt beim Ver­ant­wort­li­chen. Wei­ter wur­de Absatz 1 im Sin­ne der DSGVO umfor­mu­liert. Zudem wur­de Absatz 2 der Bestim­mung gestri­chen. Die Ver­nehm­las­sung hat gezeigt, dass die Ver­wen­dung von Pik­to­gram­men in der ver­lang­ten Form von der Wirt­schaft nicht umge­setzt wer­den könn­te. Ins­be­son­de­re die Vor­aus­set­zung der Maschi­nen­les­bar­keit wur­de stark kritisiert.

Arti­kel 15 E‑VDSG wird neu nur noch für Bun­des­or­ga­ne gel­ten und daher in das Kapi­tel betref­fend die Daten­be­ar­bei­tun­gen durch Bun­des­or­ga­ne ver­scho­ben (neu Art. 30 DSV). Die Bestim­mung wird für Bun­des­or­ga­ne bei­be­hal­ten, da sie von Art. 7 Abs. 2 der Richt­li­nie (EU) 2016/680 gefor­dert wird.

Arti­kel 16 E‑VDSG wur­de gestri­chen, da die­ser Arti­kel nach der Ver­nehm­las­sung zum nDSG ent­fernt wor­den war und des­halb nicht im Geset­zes­ent­wurf war, der dem Par­la­ment unter­brei­tet wur­de. In die­sem Sin­ne war es nicht kohä­rent, ihn im Ver­ord­nungs­ent­wurf aufzuführen.

Arti­kel 17 E‑VDSG wur­de gestri­chen, da Ziel und Zweck der Bestim­mung ins­be­son­de­re durch Arti­kel 21 Absatz 2 nDSG bereits abge­deckt sind.

Arti­kel 14 DSV (ehem. Art. 18 E‑VDSG) regelt nur noch die Auf­be­wah­rung der Daten­schutz­Fol­gen­ab­schät­zung und macht kei­ne Aus­sa­ge mehr zu deren Form. Wie bei ande­ren im nDSG und der DSV gere­gel­ten Instru­men­ten liegt es im Ermes­sen der Ver­ant­wort­li­chen in wel­cher Form sie die­se spei­chern möch­ten. Sicher­lich muss die­se bei einer Prü­fung durch den EDÖB oder bei einer Ver­let­zung in einem gän­gi­gen For­mat les­bar sein.

Bei Arti­kel 15 E‑VDSG wur­de Absatz 2 an die Vor­ga­be von Arti­kel 24 Absatz 1 nDSG ange­gli­chen, so dass auch die Nach­mel­dung «so rasch als mög­lich» erfol­gen muss. Absatz 4 wur­de auf­grund der Ände­rung in Arti­kel 26 und 27 DSV, wonach der Mit­ein­be­zug der Daten­schutz­be­ra­te­rin bzw. des Daten­schutz­be­ra­ters in die Mel­dung der Ver­let­zung der Daten­si­cher­heit neu als Pflicht des Bun­des­or­gans aus­ge­stal­tet ist, gestrichen.

4.5 Rech­te der betrof­fe­nen Person

Im ersten Abschnitt wur­de Arti­kel 20 Absatz 4 E‑VDSG (neu Art. 16 Abs. 5 DSV) dahin­ge­hend geän­dert, dass die bereits in Arti­kel 1 Absatz 2 Buch­sta­ben a und b VDSG vor­ge­se­he­nen Anfor­de­run­gen, um die Sicher­heit der über­mit­tel­ten Infor­ma­tio­nen zu gewähr­lei­sten, nur teil­wei­se über­nom­men wer­den. Die nach Buch­sta­be b vor­ge­se­he­ne Pflicht des Ver­ant­wort­li­chen, sicher­zu­stel­len, dass die Per­so­nen­da­ten der betrof­fe­nen Per­son bei der Aus­kunfts­er­tei­lung vor dem Zugriff unbe­rech­tig­ter Drit­ter geschützt wer­den, ergibt sich bereits genügend
kon­kret aus Arti­kel 8 nDSG. Buch­sta­be b wur­de des­halb gestri­chen. Es wur­de hin­ge­gen aus­drück­lich­bei­be­hal­ten, dass der Ver­ant­wort­li­che ange­mes­se­ne Mass­nah­men tref­fen muss, um die betrof­fe­ne Per­son zu iden­ti­fi­zie­ren. Dies ins­be­son­de­re, da eine Mit­wir­kungs­pflicht der betrof­fe­nen Per­son sta­tu­iert wird.

Arti­kel 20 Absatz 5 E‑VDSG wur­de gestri­chen, da die Pro­ble­ma­tik bereits genü­gend durch Arti­kel 26 Absatz 4 nDSG gedeckt ist. Arti­kel 26 Absatz 4 nDSG sieht bereits vor, dass der Ver­ant­wort­li­che ange­ben muss, wes­halb er die Aus­kunft ver­wei­gert, ein­schränkt oder auf­schiebt. Dies genügt für eine gericht­li­che Gel­tend­ma­chung. Die Ver­ant­wort­li­chen haben somit kei­ne Auf­be­wah­rungs­pflicht mehr. Eine Auf­be­wah­rung durch den Ver­ant­wort­li­chen bie­tet sich jedoch aus Beweis­grün­den an.

Arti­kel 21 E‑VDSG (neu Art. 17 DSV) wur­de ange­passt, um klar als Koor­di­na­ti­ons­norm ersicht­lich zu sein. Absatz 2 wur­de der­ge­stalt abge­än­dert, dass der Auf­trags­be­ar­bei­ter den Ver­ant­wort­li­chen bei der Ertei­lung der Aus­kunft unterstützt.

Arti­kel 23 E‑VDSG (neu Art. 19 DSV) zu den Aus­nah­men von der Kosten­lo­sig­keit wur­de eben­falls über­ar­bei­tet. Absatz 3 sieht nun vor, dass das Gesuch als zurück­ge­zo­gen gilt, wenn die betrof­fe­ne Per­son ihr Begeh­ren nach Mit­tei­lung der Kosten­be­tei­li­gung nicht innert zehn Tagen bestä­tigt. Die Frist nach Arti­kel 18 DSV (ehem. Art. 22 E‑VDSG) beginnt dem­entspre­chend erst nach die­ser Bedenk­zeit zu laufen.

Der 2. Abschnitt zum Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung wur­de noch­mals grund­sätz­lich über­ar­bei­tet. Es wur­den fol­gen­de Arti­kel geschaf­fen: Arti­kel 20 DSV behan­delt den Umfang des Anspruchs, Arti­kel 21 DSV die tech­ni­schen Anfor­de­run­gen an die Umset­zung und Arti­kel 22 DSV (ehem. Art. 24 E‑VDSG) führt unter Frist, Moda­li­tä­ten und Zustän­dig­keit aus, inwie­fern die Bestim­mun­gen zum Aus­kunfts­recht auf das Recht auf Daten­her­aus­ga­be oder ‑über­tra­gung anwend­bar sind.

4.6 Beson­de­re Bestim­mun­gen zur Daten­be­ar­bei­tung durch pri­va­te Personen

Absatz 1 von Arti­kel 25 E‑VDSG (neu Art. 23 DSV) «Daten­schutz­be­ra­te­rin oder Daten­schutz­be­ra­ter» wur­de gestri­chen, da die pri­va­ten Ver­ant­wort­li­chen nicht ver­pflich­tet sind, Daten­schutz­be­ra­ten­de zu ernen­nen. Im ver­blei­ben­den Text wur­de mit Buch­sta­be c die Mög­lich­keit ein­ge­führt, dass die Daten­schutz­be­ra­ten­den in wich­ti­gen Fäl­len das ober­ste Lei­tungs- oder Ver­wal­tungs­or­gan infor­mie­ren können.

4.7 Beson­de­re Bestim­mun­gen zur Daten­be­ar­bei­tung durch Bundesorgane

In Arti­kel 26 DSV (ehem. Art. 28 E‑VDSG) wird in Absatz 2 klar­ge­stellt, dass die Daten­schutz­be­auf­trag­ten bei der Anwen­dung der Daten­schutz­vor­schrif­ten mit­wir­ken. Wobei die Vor­ga­ben in Ziff. 1 und 2 hier aus­schliess­lich als Bei­spie­le dafür dienen.

Die Auf­ga­be der Daten­schutz­be­ra­te­rin bzw. des Daten­schutz­be­ra­ters, Mel­dun­gen von Ver­let­zun­gen der Daten­si­cher­heit dem EDÖB zu mel­den (Arti­kel 28 Absatz 2 Buch­sta­be c EVDSG), wird neu als Pflicht des Bun­des­or­gans aus­ge­stal­tet. Sie ist daher neu in Arti­kel 27 DSV geregelt.

Arti­kel 31 E‑VDSG zur Infor­ma­ti­on an die Daten­schutz­be­ra­te­rin oder den Daten­schutz­be­ra­ter wird gestri­chen. Mit der Bestim­mung wur­de Arti­kel 20 Absatz 2 VDSG teil­wei­se über­nom­men. Die Infor­ma­ti­on der Daten­schutz­be­ra­te­rin oder des Daten­schutz­be­ra­ters ergibt sich jedoch aus ihren bzw. sei­nen all­ge­mei­nen Beratungs‑, Unter­stüt­zungs- und Kontrollaufgaben.