SR: Bera­tung des E‑DSG abge­schlos­sen

Update 20.12.2019: Auf­grund der inzwi­schen erschie­ne­nen Fah­nen haben wir die Gegen­über­stel­lung der Fas­sun­gen gemäss BR, NR und SR aktua­li­siert (Link s. unten).

Am 18. Dezem­ber 2019 hat der Stän­de­rat den Ent­wurf des DSG (E‑DSG) bera­ten. Er hat sich dabei in wei­ten Tei­len den Beschlüs­sen des Natio­nal­rats ange­schlos­sen (sie­he Medi­en­mit­tei­lung), was die für die Früh­lings­ses­si­on 2020 erwar­te­te Dif­fe­renz­be­rei­ni­gung erleich­tern dürf­te. Ein Inkraft­tre­ten des revi­dier­ten DSG auf 2021 ist damit wahr­schein­lich.

Eine Gegen­über­stel­lung der Fas­sun­gen des Bun­des­rats, des Natio­nal­rats und des Stän­de­ra­tes fin­det sich hier (PDF [Stand 20.12.19]).

Fol­gen­de Punk­te fal­len in der Fas­sung des Stän­de­rats pri­ma vista auf:

  • Wie vom Natio­nal­rat vor­ge­schla­gen, ent­hält das E‑DSG eine Bestim­mung zum räum­li­chen Gel­tungs­be­reich (Arti­kel 2A E‑DSG).
  • Das Per­sön­lich­keits­pro­fil wird durch das Pro­filing ersetzt. Hier hat sich Stän­de­rat der SPK‑S ange­schlos­sen und unter­schei­det zwi­schen Pro­filing als sol­chem und Pro­filing “mit hohem Risi­ko”. Ein sol­ches liegt beson­ders dann vor, wenn der ver­ant­wort­li­che Daten aus meh­re­ren Quel­len und über ver­schie­de­ne Lebens­be­rei­che bear­bei­tet oder Daten syste­ma­tisch und umfang­reich bear­bei­tet, mit dem Ziel, Rück­schlüs­se auf ver­schie­de­ne Lebens­be­rei­che einer Per­son zu zie­hen. Anklän­ge an das Per­sön­lich­keits­pro­fil des heu­ti­gen DSG sind deut­lich erkenn­bar, was für die Aus­le­gung von Bedeu­tung sein dürf­te.
  • Eine aus­drück­li­che Ein­wil­li­gung wird für die Bear­bei­tung von beson­ders schüt­zens­wer­ten Daten erfor­der­lich blei­ben, aber auch für ein Pro­filing mit hohem Risi­ko. Das spricht dafür, nur in kla­ren Fäl­len ein hohes Risi­ko anzu­neh­men. Es wäre jeden­falls unzu­mut­bar, in Zwei­fels­fäl­len aus­drück­li­che Ein­wil­li­gung ein­ho­len zu müs­sen, denkt man an den mög­li­chen ope­ra­ti­ven Auf­wand für aus­drück­li­che Ein­wil­li­gun­gen beson­ders bei off­­­­­li­­­­ne-Kun­­­­­­­­­den.
  • Wei­te­re Ent­la­stun­gen bei der Bestel­lung eines Daten­schutz­be­ra­ters wird nicht vor­ge­se­hen. Immer­hin kann der Ver­ant­wort­li­che so der Ver­pflich­tung ent­ge­hen, dem EDÖB nach Durch­füh­rung einer Daten­­­­­schutz-Fol­­­­­gen­a­­b­­­­­schä­t­­zung hohe Net­to­ri­si­ken mit­zu­tei­len.
  • Die Pflicht zur Füh­rung eines Bear­bei­tungs­ver­zeich­nis­ses ent­fällt bei Unter­neh­men mit weni­ger als 250 Mit­ar­bei­tern, sofern die Bear­bei­tung nur ein gerin­ges Risi­ko birgt.
  • Ver­ant­wort­li­che mit Wohn­sitz im Aus­land müs­sen in der Schweiz eine Ver­tre­tung bestel­len.
  • Die Infor­ma­ti­ons­pflicht umfasst Anga­ben zum Ver­ant­wort­li­chen, zum Bear­bei­tungs­zweck und zu Kate­go­ri­en von Emp­fän­gern, zusätz­lich aber – dem Vor­schlag der SPK‑S ent­spre­chend – die Liste der Betrof­fe­nen­rech­te und gege­be­nen­falls die Absicht, Per­so­nen­da­ten zu Prü­fung der Kre­dit­wür­dig­keit zu bear­bei­ten und (und/oder?) sie Drit­ten bekannt­zu­ge­ben, und wei­ter sämt­li­che Emp­fän­ger­staa­ten und ggf. wei­te­re Anga­ben zur Aus­lands­be­kannt­ga­be
  • Aus­nah­men von der Infor­ma­ti­ons­pflicht gel­ten unter ande­rem dann, wenn die Infor­ma­ti­on unver­hält­nis­mä­ssi­gen Auf­wand erfor­dert (bei Dritt­be­schaf­fung). Die Beru­fung auf eige­ne über­wie­gen­de Inter­es­sen des Ver­ant­wort­li­chen schei­tert aber lei­der, wie bereits heu­te, wenn der ver­ant­wort­li­che Per­so­nen­da­ten Drit­ten bekannt gibt. Hier gilt immer­hin ein (wenn auch – sicher ver­se­hent­lich – viel zu restrik­tiv for­mu­lier­tes) Kon­zern­pri­vi­leg.
  • Beim Aus­kunfts­recht hat der Stän­de­rat die Klar­stel­lung, dass die bear­bei­te­ten Per­so­nen­da­ten nur “als sol­che” her­aus­zu­ge­ben sind, bedau­er­li­cher­wei­se gestri­chen. Das wird die Dis­kus­si­on auch in der Schweiz befeu­ern, ob das Aus­kunfts­recht einen Anspruch auf Her­aus­ga­be von Doku­men­ten ver­leiht (wohl nicht; selbst in Deutsch­land geht die Ten­denz in die­se Rich­tung).
  • Die Aus­nah­me des Aus­kunfts­rechts bei eige­nen über­wie­gen­den Inter­es­sen des Ver­ant­wort­li­chen ist eben­falls auf Fäl­le beschränkt, wo Per­so­nen­da­ten nicht an Drit­te – ausser­halb des Kon­zerns – bekannt gege­ben wer­den.
  • Das Recht auf Daten­por­ta­bi­li­tät wird wie vom Natio­nal­rat vor­ge­se­hen ein­ge­führt.
  • Zum Glück gestri­chen hat der Stän­de­rat das von der SPK‑S vor­ge­schla­ge­ne Ver­bot, Per­so­nen­da­ten an Drit­te ohne aus­drück­li­che Ein­wil­li­gung wei­ter­zu­ge­ben.
  • Bei der Bear­bei­tung von Per­so­nen­da­ten zur Prü­fung der Kre­dit­wür­dig­keit ist der Stän­de­rat dem Natio­nal­rat gefolgt. Die gesetz­li­che Ver­mu­tung des über­wie­gen­den Inter­es­ses ent­hält hier, wenn für die­se Prü­fung (i) Daten von Min­der­jäh­ri­gen bear­bei­tet wer­den, (ii) Daten­be­ar­bei­tung wer­den, die älter sind als fünf Jah­re und (iii) ein Pro­filing mit hohem Risi­ko erfolgt. Dar­aus ergibt sich im Umkehr­schluss, dass die Boni­täts­prü­fung als sol­che kein Pro­filing mit hohem Risi­ko dar­stel­len kann.
  • Der EDÖB erhält Ver­fü­gungs­kom­pe­tenz.
  • Bei bestimm­ten vor­sätz­lich began­ge­nen Ver­stö­ssen dro­hen Bus­sen bis zu CHF 250’000. der Adres­sat der Bus­sen ist nach Art. 29 StGB zu bestim­men, z.B. bei einer Ver­let­zung der Infor­ma­ti­ons­pflicht, bei einer uner­laub­ten Aus­lands­be­kannt­ga­be und einer unzu­rei­chen­den Absi­che­rung der Auf­trags­be­ar­bei­tung. Straf­bar wird unter ande­rem – wie vom Bun­des­rat vor­ge­schla­gen, aber ent­ge­gen dem Natio­nal­rat – auch die Ver­let­zung der Anfor­de­run­gen an die Daten­si­cher­heit, die der Bun­des­rat auf dem Ver­ord­nungs­weg kon­kre­ti­sie­ren soll.
  • Über­gangs­fri­sten sind vor­ge­se­hen, aber nur für lau­fen­de Bear­bei­tun­gen, wenn der Ver­ar­bei­tungs­zweck unver­än­dert bleibt und kei­ne neu­en Daten beschafft wer­den. Bei sol­chen Bear­bei­tun­gen gel­ten Art. 6 (Daten­schutz durch Tech­nik und daten­schutz­freund­li­che Vor­ein­stel­lun­gen) und Art. 20 f. (Daten­­­­­schutz-Fol­­­­­gen­a­­b­­­­­schä­t­­zung) nicht. auch die Infor­ma­ti­ons­pflicht bei der Beschaf­fung von Per­so­nen­da­ten (Art. 17) greift nicht, wenn nach dem Inkraft­tre­ten des revi­dier­ten DSG kei­ne neue Beschaf­fung erfolgt. Anson­sten aber bestimmt sich die Anwen­dung des neu­en Rechts nach dem Schluss­ti­tel des ZGB.

Bereits vor der Dif­fe­renz­be­rei­ni­gung ist damit klar, dass das revi­dier­te Daten­schutz­recht erheb­li­chen Auf­wand ver­ur­sa­chen wird, unter ande­rem des­halb, weil es in vie­len Punk­ten deut­lich von den Vor­ga­ben der DSGVO abweicht, in eini­gen Punk­ten zum Vor­teil, in vie­len Punk­ten aber auch zum Nach­teil der betrof­fe­nen Unter­neh­men.