Update 20.12.2019: Aufgrund der inzwischen erschienenen Fahnen haben wir die Gegenüberstellung der Fassungen gemäss BR, NR und SR aktualisiert (Link s. unten).
—
Am 18. Dezember 2019 hat der Ständerat den Entwurf des DSG (E‑DSG) beraten. Er hat sich dabei in weiten Teilen den Beschlüssen des Nationalrats angeschlossen (siehe Medienmitteilung), was die für die Frühlingssession 2020 erwartete Differenzbereinigung erleichtern dürfte. Ein Inkrafttreten des revidierten DSG auf 2021 ist damit wahrscheinlich.
Eine Gegenüberstellung der Fassungen des Bundesrats, des Nationalrats und des Ständerates findet sich hier (PDF [Stand 20.12.19]).
Folgende Punkte fallen in der Fassung des Ständerats prima vista auf:
- Wie vom Nationalrat vorgeschlagen, enthält das E‑DSG eine Bestimmung zum räumlichen Geltungsbereich (Artikel 2A E‑DSG).
- Das Persönlichkeitsprofil wird durch das Profiling ersetzt. Hier hat sich Ständerat der SPK‑S angeschlossen und unterscheidet zwischen Profiling als solchem und Profiling “mit hohem Risiko”. Ein solches liegt besonders dann vor, wenn der verantwortliche Daten aus mehreren Quellen und über verschiedene Lebensbereiche bearbeitet oder Daten systematisch und umfangreich bearbeitet, mit dem Ziel, Rückschlüsse auf verschiedene Lebensbereiche einer Person zu ziehen. Anklänge an das Persönlichkeitsprofil des heutigen DSG sind deutlich erkennbar, was für die Auslegung von Bedeutung sein dürfte.
- Eine ausdrückliche Einwilligung wird für die Bearbeitung von besonders schützenswerten Daten erforderlich bleiben, aber auch für ein Profiling mit hohem Risiko. Das spricht dafür, nur in klaren Fällen ein hohes Risiko anzunehmen. Es wäre jedenfalls unzumutbar, in Zweifelsfällen ausdrückliche Einwilligung einholen zu müssen, denkt man an den möglichen operativen Aufwand für ausdrückliche Einwilligungen besonders bei offline-Kunden.
- Weitere Entlastungen bei der Bestellung eines Datenschutzberaters wird nicht vorgesehen. Immerhin kann der Verantwortliche so der Verpflichtung entgehen, dem EDÖB nach Durchführung einer Datenschutz-Folgenabschätzung hohe Nettorisiken mitzuteilen.
- Die Pflicht zur Führung eines Bearbeitungsverzeichnisses entfällt bei Unternehmen mit weniger als 250 Mitarbeitern, sofern die Bearbeitung nur ein geringes Risiko birgt.
- Verantwortliche mit Wohnsitz im Ausland müssen in der Schweiz eine Vertretung bestellen.
- Die Informationspflicht umfasst Angaben zum Verantwortlichen, zum Bearbeitungszweck und zu Kategorien von Empfängern, zusätzlich aber – dem Vorschlag der SPK‑S entsprechend – die Liste der Betroffenenrechte und gegebenenfalls die Absicht, Personendaten zu Prüfung der Kreditwürdigkeit zu bearbeiten und (und/oder?) sie Dritten bekanntzugeben, und weiter sämtliche Empfängerstaaten und ggf. weitere Angaben zur Auslandsbekanntgabe
- Ausnahmen von der Informationspflicht gelten unter anderem dann, wenn die Information unverhältnismässigen Aufwand erfordert (bei Drittbeschaffung). Die Berufung auf eigene überwiegende Interessen des Verantwortlichen scheitert aber leider, wie bereits heute, wenn der verantwortliche Personendaten Dritten bekannt gibt. Hier gilt immerhin ein (wenn auch – sicher versehentlich – viel zu restriktiv formuliertes) Konzernprivileg.
- Beim Auskunftsrecht hat der Ständerat die Klarstellung, dass die bearbeiteten Personendaten nur “als solche” herauszugeben sind, bedauerlicherweise gestrichen. Das wird die Diskussion auch in der Schweiz befeuern, ob das Auskunftsrecht einen Anspruch auf Herausgabe von Dokumenten verleiht (wohl nicht; selbst in Deutschland geht die Tendenz in diese Richtung).
- Die Ausnahme des Auskunftsrechts bei eigenen überwiegenden Interessen des Verantwortlichen ist ebenfalls auf Fälle beschränkt, wo Personendaten nicht an Dritte – ausserhalb des Konzerns – bekannt gegeben werden.
- Das Recht auf Datenportabilität wird wie vom Nationalrat vorgesehen eingeführt.
- Zum Glück gestrichen hat der Ständerat das von der SPK‑S vorgeschlagene Verbot, Personendaten an Dritte ohne ausdrückliche Einwilligung weiterzugeben.
- Bei der Bearbeitung von Personendaten zur Prüfung der Kreditwürdigkeit ist der Ständerat dem Nationalrat gefolgt. Die gesetzliche Vermutung des überwiegenden Interesses enthält hier, wenn für diese Prüfung (i) Daten von Minderjährigen bearbeitet werden, (ii) Datenbearbeitung werden, die älter sind als fünf Jahre und (iii) ein Profiling mit hohem Risiko erfolgt. Daraus ergibt sich im Umkehrschluss, dass die Bonitätsprüfung als solche kein Profiling mit hohem Risiko darstellen kann.
- Der EDÖB erhält Verfügungskompetenz.
- Bei bestimmten vorsätzlich begangenen Verstössen drohen Bussen bis zu CHF 250’000. der Adressat der Bussen ist nach Art. 29 StGB zu bestimmen, z.B. bei einer Verletzung der Informationspflicht, bei einer unerlaubten Auslandsbekanntgabe und einer unzureichenden Absicherung der Auftragsbearbeitung. Strafbar wird unter anderem – wie vom Bundesrat vorgeschlagen, aber entgegen dem Nationalrat – auch die Verletzung der Anforderungen an die Datensicherheit, die der Bundesrat auf dem Verordnungsweg konkretisieren soll.
- Übergangsfristen sind vorgesehen, aber nur für laufende Bearbeitungen, wenn der Verarbeitungszweck unverändert bleibt und keine neuen Daten beschafft werden. Bei solchen Bearbeitungen gelten Art. 6 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) und Art. 20 f. (Datenschutz-Folgenabschätzung) nicht. auch die Informationspflicht bei der Beschaffung von Personendaten (Art. 17) greift nicht, wenn nach dem Inkrafttreten des revidierten DSG keine neue Beschaffung erfolgt. Ansonsten aber bestimmt sich die Anwendung des neuen Rechts nach dem Schlusstitel des ZGB.
Bereits vor der Differenzbereinigung ist damit klar, dass das revidierte Datenschutzrecht erheblichen Aufwand verursachen wird, unter anderem deshalb, weil es in vielen Punkten deutlich von den Vorgaben der DSGVO abweicht, in einigen Punkten zum Vorteil, in vielen Punkten aber auch zum Nachteil der betroffenen Unternehmen.