An seiner Sitzung vom 31. August 2022 hat der Bundesrat die neue Datenschutzverordnung (DSV) und die neue Verordnung über Datenschutzzertifizierungen (VDSZ) verabschiedet. Die Ausführungsbestimmungen werden zusammen mit dem totalrevidierten Datenschutzgesetz ([n]DSG) wie erwartet am 1. September 2023 in Kraft treten (Medienmitteilung).
Ausgangslage
Bekanntlich hat das Schweizer Parlament am 25. September 2020 das totalrevidierte Datenschutzgesetz (DSG) verabschiedet. Ab dem Herbst 2020 wurde entsprechend die Überarbeitung der entsprechenden Ausführungsbestimmungen in Angriff genommen. Am 23. Juni 2021 eröffnete der Bundesrat die Vernehmlassung dazu, die bis zum 14. Oktober 2021 dauerte.
Gemäss dem Bericht über das Ergebnis des Vernehmlassungsverfahrens vom 31. August 2022 hatten sich breite Kreise an der Vernehmlassung beteiligt – es sind Stellungnahmen von 24 Kantonen, der Konferenz der kantonalen Datenschutzbeauftragen «privitim», politischen Parteien sowie zahlreichen Verbänden aus Wirtschafts‑, Konsumentenschutz- und Datenschutzkreisen eingegangen, und unter anderem auch von Walder Wyss.
Nun hat der Bundesrat entschieden, das
- totalrevidierte DSG und
- die neue Datenschutzverordnung (DSV, PDF) sowie
- die neue Verordnung über Datenschutzzertifizierungen (VDSZ, PDF)
auf den 1. September 2023 in Kraft treten zu lassen. Damit gewährt er der Wirtschaft ein weiteres Jahr Anpassungsfrist.
Damit liegt die langerwartete finale Fassung der DSV endlich vor. Zugleich hat der Bundesrat den umfangreichen Erläuternden Bericht zur DSV und ebenso zur VDSZ veröffentlicht, zusammen mit einem “FAQ Datenschutzrecht”.
Arbeitsmaterialien
Wir (Hannes Meyle und Anne-Sophie Morand mit David Vasella) haben eine Gegenüberstellung der DSV, der E‑VDSG sowie der geltenden VDSG zusammengestellt. Sie finden diese hier als PDF. Soweit für interne Zwecke eine Word-Fassung hilfreich ist, können wir diese auf Anfrage gerne bereitstellen.
Eine aufbereitete Fassung der DSV zusammen mit den entsprechenden Auszügen aus dem Erläuterungsbericht finden Sie zudem hier, neben dem neuen DSG mit Auszügen der Botschaft und einer englischen Fassung von Walder Wyss (Hugh Reeves).
Änderungen aufgrund der Vernehmlassung
Der Bundesrat hat in der DSV Anpassungen im Verhältnis zum Entwurf (E‑VDSG) vorgenommen und damit auf die harsche Kritik in der Vernehmlassung reagiert.
Bereits bei Bekanntwerden des E‑VDSG Ende Juni 2021 wurde vor allem seitens der Wirtschaft von einer verpassten Chance gesprochen. Besonders kritisiert wurde, dass der Vorentwurf inhaltlich unpräzise und oft unnötig restriktiv war, und dass zahlreichen Bestimmungen eine gesetzliche Grundlage fehlte. An Kritik waren auch die Vernehmlassungseingaben nicht arm. Der Bundesrat hat in der DSV daher versucht, einen klareren Bezug der Bestimmungen der Verordnung zu den jeweiligen Gesetzesnormen herzustellen. Die DSV enthält damit im Vergleich zum Vernehmlassungsentwurf inhaltliche. aber auch systematische Anpassungen. Der Erläuternde Bericht fasst diese Anpassungen wie folgt zusammen:
Anpassungen aufgrund der Vernehmlassung
Die Verordnung enthält im Vergleich zum Vernehmlassungsentwurf inhaltliche und systematische Anpassungen. Die wichtigsten Änderungen werden im Folgenden dargestellt.4.1 Datensicherheit
Der Abschnitt zur Datensicherheit wurde überarbeitet, um der in der Vernehmlassung geäusserten Kritik Rechnung zu tragen.
Auslegungsbedürftige Begriffe (z. B. «angemessene Abstände») wurden gestrichen. Ausserdem werden die Ziele neu in einem eigenen Artikel (Art. 2 DSV) geregelt, der sich an der Regelung im Informationssicherheitsgesetz11 orientiert. Artikel 3 regelt die technischen und organisatorischen Massnahmen.
Die Bestimmungen zur Protokollierung und zum Bearbeitungsreglement (Art. 4 – 6 DSV) erhalten so weit wie möglich die Regelung der geltenden VDSG aufrecht. So wird der Verweis auf die Datenschutz-Folgenabschätzung aus den Voraussetzungen für die Protokollierungspflicht gestrichen. Der Vorschlag, die Dauer für die Aufbewahrung der Protokolle auf zwei Jahre zu erhöhen, wird nicht aufrechterhalten. Da die Dauer von einem Jahr gemäss der geltenden VDSG sowohl ein Minimum als auch ein Maximum darstellt, wurde der Ausdruck «mindestens» eingefügt, damit die privaten Personen die Protokolle auch während mehr als einem Jahr aufbewahren können. Bei den Bundesorganen bleiben die spezialgesetzlichen Vorschriften vorbehalten.
4.2 Bearbeitung durch Auftragsbearbeiter
Der bisherige Inhalt von Artikel 6 E‑VDSG wurde gestrichen. Stattdessen wird in Artikel 7 DSV einzig die Art der vorgängigen Genehmigung, mit welcher ein Verantwortlicher einen Auftragsbearbeiter zur Übertragung der Datenbearbeitung auf einen Dritten ermächtigen kann, geregelt. Diese Bestimmung orientiert sich an Artikel 22 Absatz 2 der Richtlinie (EU) 2016/680 bzw. Artikel 28 Abs. 2 DSGVO. Sie nimmt aus Gründen der Rechtssicherheit auf, was der Bundesrat bereits in der Botschaft zur Totalrevision des Datenschutzgesetzes zur
Genehmigung der Subauftragsbearbeitung ausgeführt hat (vgl. BBl 2017 6941, 7032).Die Streichung von Artikel 6 Absätze 1 und 2 E‑VDSG erfolgt, weil diese Normen bereits durch Art. 9 Abs. 1 Bst. a nDSG sowie die Bestimmungen zur Datenbekanntgabe ins Ausland (Art. 16 f. nDSG; Art. 8 ff. DSV) abgedeckt sind. Auch ein Verantwortlicher, der die Bearbeitung von Personendaten einem Auftragsbearbeiter überträgt, bleibt für den Datenschutz verantwortlich.
Eine ausdrückliche Regelung der Schriftform der vorgängigen Genehmigung der Subauftragsbearbeitung durch Bundesorgane, wie sie Artikel 6 Absatz 3 E‑VDSG vorgesehen hat, scheint ausserdem nicht erforderlich. Es ist davon auszugehen, dass diese bereits mit Blick auf die Rechtssicherheit zu wählen ist. Ausserdem sind auch die gegebenenfalls einschlägigen beschaffungsrechtlichen Formvorgaben zu beachten.
Artikel 7 E‑VDSG wurde ganz gestrichen. Dies ist damit zu begründen, dass bereits Artikel 26 Absatz 2 Buchstabe a DSV (ehem. Art. 28 Abs. 2 Bst. a und b E‑VDSG) die Mitwirkung der Datenschutzberaterin bzw. des Datenschutzberaters regelt.
4.3 Bekanntgabe von Personendaten ins Ausland
Die Vernehmlassung hat gezeigt, dass ein Bedarf an erhöhter Transparenz und Klarheit besteht.
Gemäss Artikel 8 Absatz 5 DSV müssen die Beurteilungen des Bundesrates nunmehr veröffentlicht werden. Eine Übergangsbestimmung regelt die Modalitäten (Art. 46 Abs. 2 DSV). Darüber hinaus wurde der Grundsatz der Transparenz ausdrücklich in Artikel 9 Absatz 1 Buchstabe a DSV aufgenommen.
Schliesslich wird auch präzisiert, dass der EDÖB innerhalb von neunzig Tagen zu den Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften, die ihm unterbreitet werden, Stellung nimmt (Art. 10 Abs. 2 und Art. 11 Abs. 3 DSV).
4.4 Pflichten des Verantwortlichen
Aus Artikel 13 Absatz 1 DSV (ehem. Art. 13 Abs. 1 E‑VDSG) wurde der Auftragsbearbeiter gestrichen, da sich auch die Rechtsgrundlage in Artikel 19 nDSG nur an den Verantwortlichen richtet. Die Verantwortung für die Auskunft bleibt beim Verantwortlichen. Weiter wurde Absatz 1 im Sinne der DSGVO umformuliert. Zudem wurde Absatz 2 der Bestimmung gestrichen. Die Vernehmlassung hat gezeigt, dass die Verwendung von Piktogrammen in der verlangten Form von der Wirtschaft nicht umgesetzt werden könnte. Insbesondere die Voraussetzung der Maschinenlesbarkeit wurde stark kritisiert.
Artikel 15 E‑VDSG wird neu nur noch für Bundesorgane gelten und daher in das Kapitel betreffend die Datenbearbeitungen durch Bundesorgane verschoben (neu Art. 30 DSV). Die Bestimmung wird für Bundesorgane beibehalten, da sie von Art. 7 Abs. 2 der Richtlinie (EU) 2016/680 gefordert wird.
Artikel 16 E‑VDSG wurde gestrichen, da dieser Artikel nach der Vernehmlassung zum nDSG entfernt worden war und deshalb nicht im Gesetzesentwurf war, der dem Parlament unterbreitet wurde. In diesem Sinne war es nicht kohärent, ihn im Verordnungsentwurf aufzuführen.
Artikel 17 E‑VDSG wurde gestrichen, da Ziel und Zweck der Bestimmung insbesondere durch Artikel 21 Absatz 2 nDSG bereits abgedeckt sind.
Artikel 14 DSV (ehem. Art. 18 E‑VDSG) regelt nur noch die Aufbewahrung der DatenschutzFolgenabschätzung und macht keine Aussage mehr zu deren Form. Wie bei anderen im nDSG und der DSV geregelten Instrumenten liegt es im Ermessen der Verantwortlichen in welcher Form sie diese speichern möchten. Sicherlich muss diese bei einer Prüfung durch den EDÖB oder bei einer Verletzung in einem gängigen Format lesbar sein.
Bei Artikel 15 E‑VDSG wurde Absatz 2 an die Vorgabe von Artikel 24 Absatz 1 nDSG angeglichen, so dass auch die Nachmeldung «so rasch als möglich» erfolgen muss. Absatz 4 wurde aufgrund der Änderung in Artikel 26 und 27 DSV, wonach der Miteinbezug der Datenschutzberaterin bzw. des Datenschutzberaters in die Meldung der Verletzung der Datensicherheit neu als Pflicht des Bundesorgans ausgestaltet ist, gestrichen.
4.5 Rechte der betroffenen Person
Im ersten Abschnitt wurde Artikel 20 Absatz 4 E‑VDSG (neu Art. 16 Abs. 5 DSV) dahingehend geändert, dass die bereits in Artikel 1 Absatz 2 Buchstaben a und b VDSG vorgesehenen Anforderungen, um die Sicherheit der übermittelten Informationen zu gewährleisten, nur teilweise übernommen werden. Die nach Buchstabe b vorgesehene Pflicht des Verantwortlichen, sicherzustellen, dass die Personendaten der betroffenen Person bei der Auskunftserteilung vor dem Zugriff unberechtigter Dritter geschützt werden, ergibt sich bereits genügend
konkret aus Artikel 8 nDSG. Buchstabe b wurde deshalb gestrichen. Es wurde hingegen ausdrücklichbeibehalten, dass der Verantwortliche angemessene Massnahmen treffen muss, um die betroffene Person zu identifizieren. Dies insbesondere, da eine Mitwirkungspflicht der betroffenen Person statuiert wird.Artikel 20 Absatz 5 E‑VDSG wurde gestrichen, da die Problematik bereits genügend durch Artikel 26 Absatz 4 nDSG gedeckt ist. Artikel 26 Absatz 4 nDSG sieht bereits vor, dass der Verantwortliche angeben muss, weshalb er die Auskunft verweigert, einschränkt oder aufschiebt. Dies genügt für eine gerichtliche Geltendmachung. Die Verantwortlichen haben somit keine Aufbewahrungspflicht mehr. Eine Aufbewahrung durch den Verantwortlichen bietet sich jedoch aus Beweisgründen an.
Artikel 21 E‑VDSG (neu Art. 17 DSV) wurde angepasst, um klar als Koordinationsnorm ersichtlich zu sein. Absatz 2 wurde dergestalt abgeändert, dass der Auftragsbearbeiter den Verantwortlichen bei der Erteilung der Auskunft unterstützt.
Artikel 23 E‑VDSG (neu Art. 19 DSV) zu den Ausnahmen von der Kostenlosigkeit wurde ebenfalls überarbeitet. Absatz 3 sieht nun vor, dass das Gesuch als zurückgezogen gilt, wenn die betroffene Person ihr Begehren nach Mitteilung der Kostenbeteiligung nicht innert zehn Tagen bestätigt. Die Frist nach Artikel 18 DSV (ehem. Art. 22 E‑VDSG) beginnt dementsprechend erst nach dieser Bedenkzeit zu laufen.
Der 2. Abschnitt zum Recht auf Datenherausgabe oder ‑übertragung wurde nochmals grundsätzlich überarbeitet. Es wurden folgende Artikel geschaffen: Artikel 20 DSV behandelt den Umfang des Anspruchs, Artikel 21 DSV die technischen Anforderungen an die Umsetzung und Artikel 22 DSV (ehem. Art. 24 E‑VDSG) führt unter Frist, Modalitäten und Zuständigkeit aus, inwiefern die Bestimmungen zum Auskunftsrecht auf das Recht auf Datenherausgabe oder ‑übertragung anwendbar sind.
4.6 Besondere Bestimmungen zur Datenbearbeitung durch private Personen
Absatz 1 von Artikel 25 E‑VDSG (neu Art. 23 DSV) «Datenschutzberaterin oder Datenschutzberater» wurde gestrichen, da die privaten Verantwortlichen nicht verpflichtet sind, Datenschutzberatende zu ernennen. Im verbleibenden Text wurde mit Buchstabe c die Möglichkeit eingeführt, dass die Datenschutzberatenden in wichtigen Fällen das oberste Leitungs- oder Verwaltungsorgan informieren können.
4.7 Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane
In Artikel 26 DSV (ehem. Art. 28 E‑VDSG) wird in Absatz 2 klargestellt, dass die Datenschutzbeauftragten bei der Anwendung der Datenschutzvorschriften mitwirken. Wobei die Vorgaben in Ziff. 1 und 2 hier ausschliesslich als Beispiele dafür dienen.
Die Aufgabe der Datenschutzberaterin bzw. des Datenschutzberaters, Meldungen von Verletzungen der Datensicherheit dem EDÖB zu melden (Artikel 28 Absatz 2 Buchstabe c EVDSG), wird neu als Pflicht des Bundesorgans ausgestaltet. Sie ist daher neu in Artikel 27 DSV geregelt.
Artikel 31 E‑VDSG zur Information an die Datenschutzberaterin oder den Datenschutzberater wird gestrichen. Mit der Bestimmung wurde Artikel 20 Absatz 2 VDSG teilweise übernommen. Die Information der Datenschutzberaterin oder des Datenschutzberaters ergibt sich jedoch aus ihren bzw. seinen allgemeinen Beratungs‑, Unterstützungs- und Kontrollaufgaben.