Zum Entwurf der revidierten VDSG: eine verpasste Chance

Allgemeines

Am 23. Juni 2021 wurde der Entwurf der totalrevidierten Verordnung zum DSG (E‑VDSG) veröffentlicht. Nach der Lektüre muss man enttäuscht sein: Der bzw. die E‑VDSG (Online-Version) ist eine verpasste Chance.

Wie schon der Vorentwurf des DSG (VE-DSG) ist sie inhaltlich unpräzise und oft unnötig restriktiv. Das gilt für den Erläuterungsbericht noch mehr. Er lässt wesentliche Fragen offen und erscheint insgesamt unreflektiert. Statt Regelungsvorschläge in der Sache zu begründen, verweist der Bericht öfters auf den 13-jährigen Kommentar des BJ zur heutigen VDSG und übernimmt Regelungen der bald 20-jährigen heutigen VDSG, ohne sich zu fragen, ob diese Regelungen noch sinnvoll sind oder ob sie es je waren.

Es fällt auch auf, wie unsorgfältig die Sprache des Berichts ist, zumindest in der deutschen Fassung (“telefonisches Setting”) und wie oberflächlich manche Aussagen (“So stellen sich etwa in einem Spital, wo regelmässig besonders schützenswerte Personendaten bearbeitet werden, in aller Regel erhöhte Anforderungen im Vergleich zur Bearbeitung von Kunden- oder Lieferantendaten in einer Bäckerei oder Metzgerei”). Auch im E‑VDSG finden sich Grammatikfehler.

Der Grund ist wohl derselbe wie beim VE-DSG: Zeitdruck und Ressourcenmangel und eine gewisse Mutlosigkeit angesichts der hohen Komplexität des Gebiets. Bei der E‑VDSG ist das allerdings weniger verständlich als vielleicht noch beim VE-DSG. Das revidierte DSG (revDSG) war das Ergebnis eines langen politischen Prozesses, in dem sich im Wesentlichen zwei Lager gegenüberstanden, das regulierungsfreundlichere, konsumentenschutznähere, das sich mehr DSGVO wünschte, und das bürgerlicher und gewerblicher orientierte Lager, das offenere Regelungen und mehr Praktikabilität verlangte. Das Ergebnis langer Diskussionen war ein Kompromiss. In der E‑VDSG erkennt man wenig Respekt vor diesem Prozess, wenn sie sogar eine Regelung wiederbeleben will, die sich im VE-DSG fand, die Vernehmlassung des VE-DSG aber nicht überlebt hatte.

Wenig Gespür für politische Prozesse zeigt sich auch andernorts, bei Bestimmungen, die wohl formellgesetzlich zu regeln wären. Die VDSG ist eine unselbstständige Verordnung. Sie bedarf einer Grundlage im Gesetz; ohne solche Delegation bleibt der Bundesrat zwar berechtigt, Gesetzesbestimmungen näher auszuführen (Art. 182 Abs. 2 BV), kann dabei aber nur “Bestimmungen des betreffenden Bundesgesetzes durch Detailvorschriften näher ausführen und mithin zur verbesserten Anwendbarkeit des Gesetzes beitragen” (BGE 141 II 169). Es drängt sich der Eindruck auf, dass dieser Rahmen bei der E‑VDSG überschritten wurde. Das gilt besonders für die folgenden Regelungen, die keine Detailvorschriften sind, sondern in ihrer Bedeutung den in der revDSG enthaltenen Bestimmungen gleichkommen:

Bearbeitungsreglement privater Personen: Art. 4; systematisch wird dies zwar bei der Datensicherheit geregelt, aber das Reglement ist keine Datensicherheitsmassnahme, sondern verweist u.a. auf diese. Art. 8 Abs. 3 revDSG (“Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit”) trägt daher nicht die Pflicht Privater, ein Bearbeitungsreglement zu führen;
Information bei der Bekanntgabe von Personendaten: Art. 15 und 16; die Pflicht, Empfänger über die Aktualität, Zuverlässigkeit und Vollständigkeit der bekanntgegebenen Personendaten und deren Berichtigung, Löschung usw. zu informieren, hat keine Grundlage im revDSG, weder für Private noch für Bundesorgane, wäre in ihrer Umsetzung aber einschneidend (die Informationspflicht in Art. 16 ist die bereits angesprochene Bestimmung, die sich im VE-DSG fand, aber nicht in das revDSG übernommen wurde; sie nun in die Verordnung aufzunehmen, ist hoffentlich ein Versehen);
Dokumentationspflichten: Die Pflicht, Dokumentationen zu führen und aufzubewahren, kann operativ ausgesprochen aufwendig sein. Im revDSG fehlen solche Pflichten weitgehend, und zwar bewusst: Die Botschaft hielt fest, “anstelle einer allgemeinen Dokumentationspflicht wurde eine Bestimmung über ein Verzeichnis der Bearbeitungstätigkeiten eingefügt. Die Vernehmlassung hat ergeben, dass eine allgemeine Dokumentationspflicht zu wenig definiert ist”. Der Gesetzgeber hatte demnach entschieden, bestimmte Dokumentationspflichten im Gesetz zu regeln, auf andere aber – bewusst – zu verzichten. Die E‑VDSG sieht nun mehrere solche Pflichten vor (z.B. bei Sicherheitsverletzungen, Art. 19 Abs. 5; Gründe für eine Einschränkung bei Betroffenenrechten, Art. 20 Abs. 5; Aufbewahrung von Datenschutzfolgenabschätzungen für zwei Jahre, Art. 18 Abs. 5; Aufbewahrung von Systemlogs für zwei Jahre, Art. 3 Abs. 4; Aufbewahrung der Dokumentation von Sicherheitsverletzungen für drei Jahre, Art. 19 Abs. 5), die im Verbund von einem Gewicht sind, das nach einer gesetzlichen Regelung ruft.

Die Vernehmlassung dauert bis am 14. Oktober 2021. Es werden sich breite Kreise an der Vernehmlassung beteiligen. Es wird nicht nur darum gehen, Verbesserungen und Präzisierungen der Verordnung zu erreichen, sondern vor allem auch darum, die Balance, die im revDSG gefunden wurde, in der Verordnung zu respektieren und der Tatsache Rechnung zu tragen, dass viele Unternehmen bei der Vorbereitung auf das revDSG fortgeschritten sind. Nun, nach langer Vorarbeit und vielen Verschiebungen, überraschende neue Pflichten einzuführen, zeigt fehlendes Verständnis für die Anstrengungen vieler Unternehmen, die sich ernsthaft um den Datenschutz bemühen. Dadurch wird die Akzeptanz des Datenschutzes bestimmt nicht gestärkt.

Bemerkungen zu ausgewählten Bestimmungen

Datensicherheit

Art. 1 – Grundsätze

Angemessenheit der Massnahmen: Es sind nicht nur die Implementierungskosten, sondern überhaupt der Implementierungsaufwand relevant (das können auch personelle Aufwendungen sein, die nicht allein der konkreten Implementierung zuzuordnen sind, aber auch zeitliche und organisatorische Aufwendungen). Der Erläuterungsbericht ist hier sehr restriktiv (S. 16): Es stehe einem Verantwortlichen(oder Auftragsbearbeiter nicht frei, aufgrund übermässiger Kosten eine weniger als angemessene Datensicherheit herzustellen; sie dürfen nur bei mehreren angemessenen Massnahmen die günstigere wählen. Das ist schon logisch falsch: Wenn sich die Angemessenheit auch nach den Implementierungskosten bestimmt, entzieht sich der Verantwortliche nicht etwa aus Kostengründen der Angemessenheit, sondern er bestimmt sie mit Blick auf die Kosten. Sonst wäre der Hinweis auf die Implementierungskosten auch gegenstandslos, denn dass der Verantwortliche unter angemessenen Massnahmen die günstigere erwählen kann, versteht sich von selbst.
Prüfung der Massnahmen: Zu prüfen sind die Massnahmen eigentlich nicht “in angemessenen Abständen”, sondern “in angemessener Weise”. Abstände implizieren eine Pflicht, die getroffenen Massnahmen zu prüfen, bei der nur zeitliche Umstände fraglich sind. Aber schon ob Massnahmen zu prüfen sind, ist fraglich, denn oft sind es zuerst nicht die Massnahmen, die zu prüfen sind, sondern die Risikofaktoren – haben sie sich nicht geändert, müssen die Massnahmen nicht überprüft werden. Das ist wohl auch gemeint, wäre im Verordnungstext aber zu präzisieren.
Strafbarkeit: Eine Verletzung der Mindestanforderungen ist nach Art. 61 revDSG bei Vorsatz strafbar. Eine Strafbarkeit setzt voraus, dass nicht nur bewusst eine Massnahme unterlassen wurde, sondern dass der Verantwortliche zumindest in Kauf nahm, das in Anbetracht der absehbaren Risiken erforderliche Schutzniveau zu unterschreiten. Dabei verfolgt die E‑VDSG einen einzelfallorientierten, risikobasierten Ansatz. Es wird deshalb schwer sein, ausser in Extremfällen eine vorsätzliche Verletzung der Datensicherheit zu begründen. Auch eine Verletzung der Überprüfungspflicht der Massnahmen kann für sich keine Strafbarkeit begründen; solange nicht feststeht, dass damit bewusst in Kauf genommen wurde, eine konkret erforderlich gewordene Massnahme zu unterlassen, liegt darin keine Verletzung der Datensicherheit.

Art. 2 – Schutzziele

Diese Bestimmung ist unklar formuliert: Die Massnahmen müssen die Schutzziele nicht erreichen, sondern sie anstreben. Das dürfte auch gemeint sein (“angemessen”). Der Erläuterungsbericht hält denn auch fest (S. 16), dass nicht jede Verletzung der Datensicherheit die Verletzung von Mindestanforderungen impliziert, weil eine absolute Sicherheit nicht verlangt werden kann. – Der Erläuterungsbericht konkretisiert weiter, was mit dem Stand der Technik gemeint ist (S. 16): Der gegenwärtige Stand, d.h. Massnahmen, die bereits zur Verfügung stehen und sich bewährt haben.
Die Schutzziele wurden leicht erweitert, um sich der DSGVO anzugleichen (Erläuterungsbericht, S. 19).

Art. 3 – Protokollierung

Bedeutung: Unklar ist zunächst, ob eine Verletzung der Protokollierungspflicht auch eine ggf. strafbare Verletzung der Datensicherheit sein kann. Das ist wohl zu bejahen, allerdings nur, falls die Protokollierung im Einzelfall tatsächlich materiell erforderlich ist, um eine Verletzung der Datensicherheit zu verhindern.
Abs. 1 und 2: Im Umkehrschluss müssen Vorgänge wie die Speicherung etc. nicht protokolliert werden, wenn keine hohen Restrisiken in Kauf genommen werden (ausser durch Bundesorgane und ihre Auftragsbearbeiter, die Systeme so auszugestalten haben, dass sie dieser Pflicht nachkommen können). Die Protokollierungspflicht dürfte entgegen dem Wortlaut dagegen auch dann bestehen, wenn eine DSFA unterlassen wurde, aber dennoch ein hohes Risiko besteht.
Abs. 3: Die Identität des Empfängers meint nicht die Person, die zugreift, sondern die Organisation, der sie angehört oder unter deren Weisung sie tätig wird.
Abs. 4: Verfehlt ist die harte Zweckbindung der Protokolle, auch wenn sie sich heute in Art. 10 VDSG findet. Sie widerspricht dem Zweckbindungsgrundsatz, der an die vom Verantwortlichen transparent gesetzten Zwecke anknüpft. Wenn schon, hätte sie auf Gesetzesstufe verankert werden müssen. Es spricht aber nichts dagegen, dass ein Verantwortlicher Logs auswertet, z.B. zu Analysezwecken, wenn er dies in der Datenschutzerklärung beschreibt. Auch die Regelung zur Zugriffsbeschränkung ist in dieser Form verfehlt; die Aufbewahrung der Logs ist eine Frage der Verhältnismässigkeit und der Datensicherheit und verlangt eine Abwägung.

Art. 4 – Bearbeitungsreglement von privaten Personen

Pflicht bei hohen Risiken: Schwer nachvollziehbar ist, dass das BJ für private Bearbeitung eine Pflicht vorsehen will, ein Bearbeitungsreglement zu führen. Zur Dokumentation genügt ausweislich der Botschaft (dazu schon oben) das Bearbeitungsverzeichnis, dessen Inhalt sich mit jenem des Reglements überschneidet. Der Erläuterungsbericht sagt dazu, man könne diese Angaben ja aus dem Bearbeitungsverzeichnis „kopieren“. So einfach wird das operativ nicht sein, und natürlich könnte man das Bearbeitungsverzeichnis auch mit dem Reglement kombinieren, oder man könnte die Zusatzangaben im Reglement separat erfassen und für den Rest auf das Verzeichnis verweisen, oder man könnte überhaupt nur auf bestehende Prozessvorgaben und das Bearbeitungsverzeichnis und eine Datenschutzfolgenabschätzung oder sogar auf eine Datenschutzerklärung verweisen, in der sich die erforderlichen Angaben finden – Urkundeneinheit kann ebenso wenig gelten wie beim Bearbeitungsverzeichnis. – Der Erläuterungsbericht enthält weitere Hinweise zum Mindestinhalt.
Auch nimmt der Gesetzgeber mit dem Bearbeitungsreglement in Kauf, dass betroffene Personen versuchen werden, vor- oder ausserprozessual über ein Auskunftsbegehren an das Bearbeitungsregiment zu gelangen. Dafür werden sich Betroffene auf die Generalklausel des Auskunftsrechts stützen, die ihrerseits – im Verbund mit der Strafbestimmung von Art. 62 revDSG – rechtsstaatlich hochproblematisch ist.
Fehlende gesetzliche Grundlage: Man hat hier versucht, den heutigen Art. 11 VDSG in die neue VDSG zu übertragen, aber ohne Not und mit einem unschönen Swiss Finish (die DSGVO kennt keine solche Pflicht). Das BJ scheint sich nicht bewusst gewesen zu sein, welchen Aufwand es damit für grössere Organisationen generiert. Zudem hat der Gesetzgeber die Anmeldepflicht der Datensammlungen im revDSG bewusst durch die Pflicht zur Führung eines Bearbeitungsverzeichnisses ersetzt. Es war daher nicht damit zu rechnen, dass das Bearbeitungselement für private Bearbeiter – das heute ja an die Anmeldepflicht einer Datensammlung anknüpft – in die neue VDG übernommen wird. Eine solche Regelung hätte insgesamt ins Gesetz gehört, wie oben bereits erwähnt.
Hohes Risiko: Jedenfalls aber bestünde eine Pflicht zur Führung eines Bearbeitungsreglements nur bei der umfangreichen Bearbeitung besonders schützenswert Personendaten oder bei einem Profiling mit hohem Risiko. Ergibt eine Datenschutz-Folgenabschätzung aber, dass eine solche Bearbeitung aufgrund der Massnahmen des Verantwortlichen tatsächlich kein hohes Risiko (mehr) mit sich bringt, muss konsequenterweise auch die Pflicht zur Führung eines Bearbeitungselement entfallen (dazu hier).
Datenschutzberater: Abs. 3 klingt so, als wäre immer ein Datenschutzberater zu bestellen. Das ist bei Privaten aber optional (anders als bei Bundesorganen; Art. 27 E‑VDSG), und zwar selbst in den Fällen, in denen nach dem Entwurf ein Bearbeitungsreglement zu führen ist. Und was ist “in einer für diesen verständlichen Form”? Heisst das, dass Private ohne Datenschutzberater auch unverständliche Reglemente führen dürfen?

Art. 5 – Bearbeitungsreglement von Bundesorganen

Es gelten die obigen Bemerkungen, zumal auch Bundesorgane ein Bearbeitungsverzeichnis zu führen haben (Art. 12 revDSG). Zu weit ist jedenfalls auch die Pflicht, bei allen Profilings ein Reglement zu führen – Profilings sind anerkanntermassen oft harmlos, weil der Begriff des Profilings so weit ist. Unklar sind zudem die weiteren Tatbestandsvarianten des Zugänglichmachens von Personendaten und der Verknüpfung von Datenbeständen. Im Gesetz kommt die Verknüpfung als Begriff nirgends vor, ausser bei der Definition des Profiling mit hohem Risiko, aber dort geht es um etwas anderes, und auch der Begriff der „Datenbestände“ ist neu – damit sollen dem Erläuterungsbericht zufolge die Datensammlungen gemeint sein (S. 23), ein nach wie vor unklarer Begriff. Immerhin wird dadurch klar, dass die Verknüpfung von Daten noch keine solche von Datenbeständen ist.

Bearbeitung durch Auftragsbearbeiter

Art. 6 – Modalitäten

Abs. 1: Der Verantwortliche kann niemals sicherstellen, dass Daten vertrags- und gesetzesgemäss bearbeitet werden – er kann nur dazu Sorge tragen. Das spielt eine Rolle, denn der Verantwortliche bleibt datenschutzrechtlich verantwortlich, haftet zivilrechtlich aber nur bei Verschulden (nach Art. 41 OR) und nicht etwa kausal.
Abs. 3 widerspricht dem allgemeinen Anliegen, die Digitalisierung nicht durch Formvorschriften zu unterlaufen. Es sollte eine Genehmigung in Textform reichen, was zu präzisieren wäre (das Schriftformerfordernis entnimmt der Erläuterungsbericht der Richtlinie 2018/680, wo aber ein Nachweis durch Text gemeint ist). Zudem sollte klar sein, dass auch ein Bundesorgan eine allgemeine Genehmigung unter Widerspruchsvorbehalt erteilen kann, wie es auch nach der DSGVO möglich ist (und auch nach der genannten RL).

Art. 7 – Information an die Datenschutzberaterin oder den Datenschutzberater des Bundesorgans

Diese Bestimmung ist missglückt. Zum einen unterstellt sie, der Beizug eines Auftragsbearbeiters sei grundsätzlich risikobehaftet, was sie nicht ist (trotz der gegenteiligen Aussage im Erläuterungsbericht). Zum anderen verlangt sie eine Information des Datenschutzberaters, “wenn Probleme bei der Einhaltung der gesetzlichen oder vertraglichen Datenschutzvorschriften entstehen”. Das ist sprachlich unschön, aber auch inhaltlich. Was sind “Probleme”? Diese Regelung ist ohnehin unnötig, denn Art. 10 Abs. 2 lit. b revDSG (der auch bei Beratern eines Bundesorgans greift) sieht ja bereits vor, dass der Berater bei der Anwendung des Datenschutzrrechts mitwirkt.

Bekanntgabe von Personendaten ins Ausland

Art. 9 – Datenschutzklauseln und spezifische Garantien

Die inhaltlichen Vorgaben an die Datenschutzklauseln – d.h. Verträge, die eine Bekanntgabe in einen Staat ohne angemessenes Schutzniveau legitimieren, aber vom EDÖB nicht anerkannt sind – sind unpräzise formuliert. Falsch ist zudem lit. g; es geht nicht um die “zur Bearbeitung der Daten legitimierten” Empfänger, sondern einfach um die Empfänger. Zudem kann es nicht sein, dass die Empfänger die betroffene Person zu informieren haben, zumindest dann nicht, wenn der Exporteur über die Bearbeitung durch die Empfänger informiert wurde oder der Empfänger ein Auftragsbearbeiter ist.

Art. 10 – Standarddatenschutzklauseln

Diese Bestimmung (der Exporteur trifft angemessene Massnahmen, um sicherzustellen, dass der Importeur die Klauseln beachtet) ist durch die neuen Standardvertragsklauseln eigentlich überflüssig geworden (vgl. Klausel 14 und 15). Und wiederum kann der Exporteur prinzipiell nicht sicherstellen, dass der Empfänger die Klauseln beachtet; er kann es nur verlangen und im Rahmen von Klausel 14 der neuen Standardvertragsklauseln prüfen, ob lokales Recht der Einhaltung entgegensteht. Der Erläuterungsbericht sieht ferner vor, dass der Empfänger verpflichtet werden müsse, „die schweizerischen Datenschutzvorschriften“ einzuhalten. Das ist falsch; er muss die Standardklauseln einhalten, nicht schweizerisches Recht. Auch Art. 6 Abs. 2 E‑VDSG verlangt ja nur, dass der Auftragsbearbeiter „gleichwertige“ Bestimmungen einhalten muss.

Pflichten des Verantwortlichen und des Auftragsbearbeiters

Art. 13 – Modalitäten der Informationspflichten

Abs. 1: Hier reibt man sich die Augen: Der Auftragsbearbeiter hat eine Informationspflicht? Das kann nur ein Versehen sein. Doch auch der Erläuterungsbericht sagt, „die Informationspflicht des Verantwortlichen und des Auftragsbearbeiters ist in Artikel 19 nDSG verankert“. Das ist sie nicht (“Der Verantwortliche informiert die betroffene Person…”); hat man nicht nachgelesen? Eine eigene Informationspflicht des Auftragsbearbeiters wäre absurd und widerspräche seiner Weisungsbindung.
Umsetzung der Informationspflicht:
- Ebenso zu bedauern, aber wohl kein Versehen ist der Inhalt der Regelung. Die Informationspflicht ist wohl die am schwierigsten umzusetzende Pflicht des Verantwortlichen. In einer reinen Onlineumgebung mag sie einfach zu erfüllen sein (denkt man sich die Generalklausel bei der Informationspflicht weg), aber was ist mit einer Information gegenüber Personen, mit denen nur schriftlich verkehrt wird?
- Hier ist der Besuch einer Website zumutbar. Es ist kein Gegenargument, dass nicht alle Menschen über einen Internetzugang verfügen, sonst wären Datenschutzerklärungen auch in Braille-Schrift zu veröffentlichen. Das BJ hätte deshalb in der Verordnung klarstellen sollen, das über eine Website wirksam informiert werden kann, zumindest wenn die betroffene Person die Identität des Verantwortlichen kennt und die Information auf dessen Website leicht aufzufinden ist. Entsprechende Regelungsvorschläge lagen dem BJ vor. In diesem Zusammenhang hätte weiter präzisiert werden müssen, dass ein Hinweis auf eine Webseite vielleicht nicht immer erforderlich ist, dass es aber jedenfalls genügt, auf eine Datenschutzerklärung zu verweisen, auch ohne bestimmte Grundinformationen (“Basisinformationen”) bereits in der Verweisquelle zu liefern (zum Beispiel durch einen Link in AGB).
- All dies vermisst man in der E‑VDSG, und im Erläuterungsbericht eine ernsthafte Auseinandersetzung mit diesen Fragen. Die vorgeschlagene Regelung in Art. 13 Abs. 1 kann man nur als bequem bezeichnen – am Problem geht sie völlig vorbei, sie ist unpräzise, führt zu Rechtsunsicherheit, ist in dieser Form überflüssig und lehnt sich an AGB-rechtliche Überlegungen an, ohne dass man nur die Frage gestellt hätte, ob diese Überlegungen übertragbar sind. Der Erläuterungsbericht schreibt stattdessen, „… muss der Verantwortliche oder der Auftragsbearbeiter bei der Wahl der Informationsform sicherstellen, dass die betroffene Person die wichtigsten Informationen stets auf der ersten Kommunikationsstufe erhält.“ Was heisst das? Meint dies die genannten Basisinformationen nach der DSGVO? Man kann nur spekulieren und liest weiter, „es kann eine gute Praxis darin bestehen“ (?), „dass alle wesentlichen Informationen auf einen Blick verfügbar sind“. Ist das eine Pflicht zum Inhaltsverzeichnis? Hier sollte dringend präzisieren werden, dass es genügt, etwa aus AGB auf eine Website zu verweisen, und zwar ohne weitergehende Informationen und ohne QR-Code.
- Und am Ende schreibt der Erläuterungsbericht noch, „Findet die Kommunikation in einem telefonischen Setting statt, können die Informationen durch eine natürliche Person mündlich mitgeteilt und allenfalls durch einen Link zu einer Website ergänzt werden.“ Ein telefonisches „Setting“? Und weiter: „Bei aufgezeichneten Informationen muss die betroffene Person die Möglichkeit haben, sich ausführlichere Informationen anzuhören.“ Wer will sich das nach 30 Minuten in der Warteschleife antun, und vor allem: Wie kommt das BJ darauf, von welcher Rechtsnatur der Informationspflicht geht es aus, welches Leitbild der Betroffenen hat es, welche Praktikabilitätsüberlegungen stellt es an? Davon erfährt man nichts.
Abs. 2: Was bedeutet “maschinenlesbar” bei Piktogrammen? Vermutlich genügt es, wenn der Erklärungstext von Icons durch einen Screenreader vorgelesen werden kann oder der Betreiber der Website bei den Piktogrammen eine Erläuterung einfügt, z.B. als alternativen Text (<img src=“xyz.jpg” alt=“Erklärungstext”>). Das ist aber wohl nicht möglich, wenn Icons als Schriftsatz eingebunden werden. Der Erläuterungsbericht sagt dazu nur „[…] die verwendete Software muss die in solchen Formaten vorliegenden Informationen leicht identifizieren, erkennen und extrahieren können.“ Dadurch wird es auch nicht klarer. Und „Dies ermöglicht unter anderem den Vergleich verschiedener Dokumente sowie allgemein eine gewisse Automatisierung.“ Ist “allgemein eine gewisse Automatisierung“ ein datenschutzrechtliches Anliegen?

Art. 14 – Informationspflicht der Bundesorgane bei der systematischen Beschaffung von Personendaten

Dieses Anliegen ist von der DSGVO bekannt und entspricht dem heutigen Art. 14 VDSG. Eine solche Hinweispflicht sollte trotzdem nicht gelten, wenn aus den Umständen klar ist, dass eine Auskunft (gemeint ist: eine Bekanntgabe von Personendaten) freiwillig ist. Wenn ein Krankenversicherer eine Zufriedenheitsumfrage macht, sollte ein solcher Hinweis z.B. nicht notwendig sein.

Art. 15 – Information bei der Bekanntgabe von Personendaten

Auch diese Pflicht stellt einen Swiss Finish dar. Eine solche Pflicht kann m.E. nicht auf Verordnungsstufe geregelt werden; dafür ist sie in der Umsetzung zu einschneidend. Sie ist auch überflüssig. Letztlich ist es Sache der Verantwortlichen, die Einhaltung der Datenschutzgrundsätze sicherzustellen. Dies kann eine Angabe der Aktualität usw. von Personendaten verlangen, aber nicht in allen Fällen. Eine harte Pflicht zu einer solchen Information wird schlicht nicht umgesetzt werden und auch nicht werden können.
Und auch hier wird wieder der Auftragsbearbeiter verpflichtet, dabei müsste er Informationen bekanntgeben, die ihm gar nicht vorliegen. Es handelt sich hier wohl um den gleichen Fehler wie bereits bei Art. 13.
Man hat sich hier an die Schengen-RL angelehnt, aber einen Grund, solche Pflichten auf private Bearbeiter auszudehnen, gibt es nicht.

Art. 16 – Information über die Berichtigung, Löschung oder Vernichtung sowie die Einschränkung der Bearbeitung von Personendaten

Hier hat das BJ ein zu kurzes Gedächtnis. Eine Pflicht, Empfänger über die Berichtigung, Löschung oder Vernichtung von Personendaten zu informieren, fand sich schon in Art. 19 lit. b des Vorentwurfs des DSG (“Sie informieren die […] Empfänger […] über jede Berichtigung, Löschung oder Vernichtung […], über Verletzungen des Datenschutzes sowie über Einschränkungen der Bearbeitung […], es sei denn, eine solche Mitteilung ist nicht oder nur mit unverhältnismässigem Aufwand möglich”). Die Vernehmlassung hatte dieser Vorschlag nicht überlebt. Und nun soll dieselbe Pflicht in der Verordnung auferstehen? Im Erläuterungsbericht wird dieser Vorschlag des VE-DSG nicht einmal erwähnt.
Damit nicht genug: Der Absender soll den Empfänger nun auch noch über eine Einschränkung der Bearbeitung informieren. Das klingt nach dem Betroffenenrecht auf Einschränkung der Verarbeitung nach der DSGVO (Art. 18). Das revDSG kennt ein solches Betroffenenrecht gar nicht.

Art. 17 – Überprüfung einer automatisierten Einzelentscheidung

Unnötig, aber wohl unschädlich. Kein Verantwortlicher wird jemanden diskriminieren, weil er eine Überprüfung der Entscheidung verlangt. Allerdings: Es liegt keine Benachteiligung darin, dass sich ein Verantwortlicher zu Wehr setzt, wenn ein Betroffener mit der Überprüfung nicht einverstanden ist. Das kann bis zur Kündigung eines Vertrags gehen – sie ist legitim, wenn der Betroffene die Fortsetzung des Vertrags durch eigenes Verhalten verunmöglicht (Stichwort Begehrensneurose).

Art. 18 – Form und Aufbewahrung der Datenschutz-Folgenabschätzung

“Schriftlich” muss hier soviel heissen wie “Nachweis durch Text” – der Erläuterungsbericht sagt das, aber man müsste das im Verordnungstext präzisieren, wenn man an das Helsana-Urteil des BVGer denkt.
Die Aufbewahrungsdauer von zwei Jahren wird dadurch gerechtfertigt, dass sie ein zentrales datenschutzrechtliches Instrument darstelle und insbesondere bei der Abklärung von Verletzungen der Datensicherheit oder der Beurteilung der Strafbarkeit eines Verhaltens von Bedeutung sein könne. Der Verantwortliche soll eine DSFA also insbesondere deshalb aufbewahren, weil sie in einer Untersuchung als Indiz des Vorwurfs dienen kann, wenn nach der DSFA eine Sicherheitsmassnahme unterlassen wurde (also wohl eine Massnahme, die in der DSFA beschrieben wurde). Zum einen bedeutet die Tatsache, dass eine geplante Sicherheitsmassnahme in eine DSFA Eingang fand, noch nicht, dass sie erforderlich im Sinne des Gesetzes war, und zum anderen ist die Unterlassung der Aufbewahrung einer DSFA nicht strafbar. Der Verantwortliche hat daher einen Anreiz, eine DSFA nicht aufzubewahren, wenn er sich seiner Sache unsicher ist. Dies besonders vor dem Hintergrund der restriktiven Auslegung des nemo-tenetur-Grundsatzes bei juristischen Personen im Zusammenhang mit Dokumenten, die einer Aufbewahrungsfrist unterliegen (BGE 142 IV 207 E. 8.3.3.).
Der Erläuterungsbericht hält mit Bezug auf Bundesorgane weiter fest, dass “es aufgrund der Beständigkeit gewisser Rechtsgrundlagen vorkommen [kann], dass eine Datenschutz-Folgeabschätzung über einen sehr langen Zeitraum aufzubewahren ist (z.B. mehrere Jahrzehnte)”. Welche Rechtsgrundlage das BJ hier im Auge hat, ist unklar, der Erläuterungsbericht sagt dazu nichts.

Art. 19 – Meldung von Verletzungen der Datensicherheit

Abs. 1: Der Umfang der Angaben, die dem EDÖB bei einer Sicherheitsverletzung mitzuteilen sind, orientiert sich an der DSGVO, weicht davon aber ab: Anzugeben sind nach der E‑VDSG zusätzlich auch Zeitpunkt und Dauer der Verletzung, was die DSGVO nicht verlangt (auch wenn der Verantwortliche diese Angaben schon deshalb einschliessen wird, weil er die Rechtzeitigkeit der Meldung belegen will). Weshalb nicht einfach der Text der DSGVO übernommen wurde, ist unklar.
Abs. 2: Dies entspricht weitgehend den Vorgaben der DSGVO, ausser dass die E‑VDSG zusätzlich die Angabe der “Art der Verletzung” verlangt. Das wird ein Verantwortlicher ohnehin tun.
Abs. 5: Hier wird eine weitere Dokumentationspflicht eingeführt, ohne dass klar wäre, wozu sie dient (ausser zur Erleichterung einer Untersuchung des EDÖB). Insgesamt drängt sich der Schluss auf, dass hier DSGVO nachvollzogen werden soll. Jedenfalls ergibt sich aber aus der Systematik, dass nur Verletzungen zu dokumentieren sind, die eine Meldepflicht gegenüber dem EDÖB auslösen, nicht Verletzungen unterhalb der Meldeschwelle. Was nicht steht, aber klar ist und trotzdem präzisiert werden sollte: Die Dokumentationspflicht deckt nur bekannte Fakten ab. Der Verantwortliche ist nicht gehalten, nur zur Erfüllung der Dokumentationspflicht weitere Nachforschungen anzustellen (insbesondere muss und kann er nicht “alle mit den Vorfällen zusammenhängenden Tatsachen” vollständig in Erfahrung bringen.
Etwas willkürlich scheint die Dauer der Aufbewahrung von drei Jahren. Zwei Jahre hätten sicher auch genügt.

Rechte der betroffenen Person

Art. 20 – Modalitäten

Abs. 1: Inhaltlich ist diese Bestimmung unproblematisch, aber unpräzise. Das Auskunftsbegehren kann selbstverständlich immer mündlich gestellt werden, nur muss der Verantwortliche bei mündlichen Begehren nicht reagieren.
Abs. 2: Wie heute setzt ein Einsichtsrecht voraus, dass beide Parteien – der Verantwortliche und der Betroffene – mit dieser Modalität einverstanden sind.
Abs. 3: Ob die Auskunft für die betroffene Person verständlich ist, liegt in erster Linie am Empfängerhorizont. Der Verantwortliche muss die Auskunft selbstverständlich so erteilen, dass ein durchschnittlicher Betroffener etwas damit anfangen kann; er muss aber nicht auf besondere Schwächen des konkreten Auskunftstellers eingehen. Stellt ein Kind ein Auskunftsbegehren, kann es sich dessen Inhalt von seinen Eltern bzw. Bezugspersonen erklären lassen. Zudem ist der Verantwortliche nicht verpflichtet, unter dem Titel der Verständlichkeit Informationen zu liefern, die vom Auskunftsrecht nicht erfasst sind. Man wird genau zwischen der Erläuterung einer Angabe und Zusatzangaben unterscheiden müssen.
Abs. 4: Der Verantwortliche wird wie heute eine Kopie eines Identitätsausweises verlangen dürfen.
Abs. 5: Erneut eine neue Dokumentationspflicht à la DSGVO – dazu bereits oben. Der Verantwortliche ist ja verpflichtet, die Gründe für eine Verweigerung, Einschränkung oder den Aufschub der Auskunft zu nennen (Art. 26 Abs. 4 revDSG). Genügen diese Angaben dem Betroffenen nicht, kann er die Auskunft einklagen; im Prozess liegt die Beweislast für die Gründe der Einschränkung etc. beim Verantwortlichen. Es liegt deshalb in seinem Interesse, sich entsprechend zu dokumentieren – eine gesetzliche Pflicht dazu braucht es nicht. Und die Aufbewahrungsfrist scheint wiederum willkürlich gewählt.

Art. 21 – Zuständigkeit

Abs. 1: Dass der Betroffene bei der gemeinsamen Verantwortung die Auskunft von jedem Verantwortlichen verlangen kann, ist nicht überraschend. Wenn dennoch der andere Verantwortliche die Auskunft erteilt, ist die Auskunftspflicht des angefragten aber Verantwortlichen erfüllt; die Auskunftserteilung ist nicht vertretungsfeindlich.
Abs. 3: Diese Bestimmung ist überflüssig. Es ist ohnehin Aufgabe des Verantwortlichen, seine Auskunftsfähigkeit sicherzustellen.

Art. 22 – Frist

Abs. 1: Hier wäre eine Präzisierung erforderlich: Wenn aus dem Auskunftsbegehren nicht hervorgeht, um welche Daten es dem Betroffenen geht und der Verantwortliche um Klarstellung ersucht, beginnt die Frist erst mit dieser Klarstellung zu laufen.

Art. 23 – Ausnahmen von der Kostenlosigkeit

Abs. 1 und 2: Die Frage der Kostenbeteiligung steht im Zusammenhang mit den häufigen missbräuchlichen Auskunftsbegehren: Wenn ein Auskunftsbegehren nicht zu Datenschutzzwecken gestellt wird, sondern zu anderen Zwecken, und das Auskunftsinteresse des Betroffenen niedrig, der Aufwand des Verantwortlichen gleichzeitig aber hoch ist, muss der Verantwortliche nach allgemeinen Grundsätzen die Möglichkeit haben, das krasse Missverhältnis der Interessen als Fall des Rechtsmissbrauchs einzuwenden (diese Konstellation kann anerkanntermassen ebenso unter den Rechtsmissbrauch fallen wie die häufiger diskutierte zweckwidrige Ausübung). Eine Kostenbeteiligung von CHF 300 ist nun so niedrig, dass sie dem Interessengegensatz in keiner Weise Rechnung trägt. Wird diese Kostenbeteiligung nicht substantiell erhöht (mindestens verzehnfacht), muss dies daher als Indiz dafür gewertet werden, dass die Berufung auf das krasse Missverhältnis der Interessen nicht nur in seltenen Ausnahmefällen möglich ist. Anders formuliert: Wenn der Verantwortliche bei einer Kostenbeteiligung von CHF 300 bleibt, auch bei viel höherem Aufwand, kann er sich erst recht auf das Missverhältnis der Interessen berufen.
Abs. 3: Die Auskunftsfrist von 30 Tagen beginnt in diesen Fällen erst mit Ablauf der Rückzugsfrist zu laufen; das wäre zu präzisieren.

Art. 25 – Datenschutzberaterin oder Datenschutzberater

Abs. 1: Der Datenschutzberater muss diese Aufgabe nicht wahrnehmen; er muss sie haben. Mit anderen Worten: Ein säumiger Datenschutzberater führt nicht dazu, dass sich ein privater Verantwortlicher nicht mehr auf die Ausnahme der Meldepflicht bei Folgeabschätzungen nach Art. 23 Abs. 4 revDSG berufen kann. Das ergibt sich nicht nur aus Art. 25 Abs. 1 lit. b E‑VDSG, sondern auch daraus, dass die Bestellung des Beraters für Private freiwillig ist und entsprechend auf bestimmte Bearbeitungen oder Bereiche beschränkt werden kann. Ein säumiger Berater hat auch nicht zur Folge, dass ein Bundesorgan der Bestellungspflicht nicht nachgekommen wäre. Letzteres wäre erst der Fall, wenn das Bundesorgan den Berater an der Erfüllung seiner Aufgaben hindert bzw. die Voraussetzungen dafür nicht schafft.
Der Berater muss nicht jede Bearbeitung prüfen – hier gilt der risikobasierte Ansatz. Zudem gehört es zur Unabhängigkeit des Beraters, dass er seine eigenen Prioritäten setzt.

Art. 26 – Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten

Der Bundesrat hat nach Art. 12 Abs. 5 revDSG Ausnahmen von der Pflicht zur Führung eines Bearbeitungsverzeichnisses vorzusehen für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen und deren Datenbearbeitung ein “geringes Risiko” mit sich bringt. Nach Art. 26 der Verordnung bedeutet ein geringes Risiko, dass weder “umfangreich besonders schützenswerte Personendaten bearbeitet” werden noch “ein Profiling mit hohem Risiko durchgeführt” wird. Alle anderen Bearbeitungen bringen folglich ein niedriges Risiko mit sich. Daran wird man sich bei Datenschutzfolgenabschätzungen erinnern, zumal der Erläuterungsbericht auch noch ausdrücklich auf den Risikobegriff bei den Folgenabschätzungen verweist (S. 11 f.). Art. 26 E‑VDSG ist im Ergebnis als Konkretisierung von Art. 22 Abs. 2 revDSG anzuwenden.

Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane

Art. 27 – 30

Hier lehnt man sich an die DSGVO an. Die Anforderungen an den Berater werden hier auf Verordnungsstufe geregelt, während jene bei privaten Verantwortlichen inhaltlich fast gleich im Gesetz stehen (Art. 10) – systematisch unschön, aber im revDSG so angelegt.

Art. 31 – 32

Diese Bestimmungen dürften noch zu reden geben. Bundesorgane müssen bei automatisierten Bearbeitungstätigkeiten zuerst – bei der “Planung” – den Berater informieren, damit “die Erfordernisse des Datenschutzes sogleich berücksichtigt” werden. Was “sogleich” heissen soll, ist offen; gemeint ist wohl nur, dass der Datenschutz im Sinne von Privacy by Design rechtzeitig bedacht werden soll. Der Berater muss auch bei “Abschluss” des Projekts inforrmiert werden, allerdings ohne dass klar würde, wozu diese Information dient und was unter Projektabschluss zu verstehen ist.
Bei der Planung wird also der Berater informiert. Bei der anschliessenden “Freigabe” des Projekts oder des “Entscheids zur Projektentwicklung” ist sodann der EDÖB zu informieren. Keine dieser Stationen ist allerdings klar. Es hätte genügt, eine “rechtzeitige” Information an den Berater und eine Information des EDÖB “vor Beginn der Bearbeitung” zu verlangen (wenn überhaupt).
Art. 32: Zu Beachten ist die übergangsbestimmung in Art. 47.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Art. 45 – Gebühren

Nach Art. 59 revDSG erhebt der EDÖB Gebühren für Tätigkeiten wie z.B. die Stellungnahme zu einem Verhaltenskodex, die Konsultation aufgrund einer Datenschutz-Folgenabschätzung (was noch mehr dazu führt, dass das Restrisiko nicht hoch ist), vorsorgliche Massnahmen und Massnahmen nach Art. 51 (!!) und für Beratungen. Der Ansatz liegt nun je nachdem bei CHF 150 bis 350. Zu beachten bleibt die AllgGebV. Unter anderen isrt die gebührenpflichtige Person vorgängig über die voraussichtliche Gebühr zu informieren, wenn der Aufwand aussergewöhnlich ist. Das müsste eigentlich auch bei vorsorglichen Massnahmen nach Art. 51 revDSG gelten…

David Vasella

17. Juli 2021

English

Behörde

Gebiet

Datenschutz

Themen

DSG-Revision, VDSG

häufige Suchwörter

Themen

Zum Ent­wurf der revi­dier­ten VDSG: eine ver­pass­te Chance

All­ge­mei­nes

Bemer­kun­gen zu aus­ge­wähl­ten Bestimmungen

Daten­si­cher­heit

Art. 1 – Grundsätze

Art. 2 – Schutzziele

Art. 3 – Protokollierung

Art. 4 – Bear­bei­tungs­re­gle­ment von pri­va­ten Personen

Art. 5 – Bear­bei­tungs­re­gle­ment von Bundesorganen

Bear­bei­tung durch Auftragsbearbeiter

Art. 6 – Modalitäten

Art. 7 – Infor­ma­ti­on an die Daten­schutz­be­ra­te­rin oder den Daten­schutz­be­ra­ter des Bundesorgans

Bekannt­ga­be von Per­so­nen­da­ten ins Ausland

Art. 9 – Daten­schutz­klau­seln und spe­zi­fi­sche Garantien

Art. 10 – Standarddatenschutzklauseln

Pflich­ten des Ver­ant­wort­li­chen und des Auftragsbearbeiters

Art. 13 – Moda­li­tä­ten der Informationspflichten

Art. 14 – Infor­ma­ti­ons­pflicht der Bun­des­or­ga­ne bei der syste­ma­ti­schen Beschaf­fung von Personendaten

Art. 15 – Infor­ma­ti­on bei der Bekannt­ga­be von Personendaten

Art. 16 – Infor­ma­ti­on über die Berich­ti­gung, Löschung oder Ver­nich­tung sowie die Ein­schrän­kung der Bear­bei­tung von Personendaten

Art. 17 – Über­prü­fung einer auto­ma­ti­sier­ten Einzelentscheidung

Art. 18 – Form und Auf­be­wah­rung der Datenschutz-Folgenabschätzung

Art. 19 – Mel­dung von Ver­let­zun­gen der Datensicherheit

Rech­te der betrof­fe­nen Person

Art. 20 – Modalitäten

Art. 21 – Zuständigkeit

Art. 22 – Frist

Art. 23 – Aus­nah­men von der Kostenlosigkeit

Art. 25 – Daten­schutz­be­ra­te­rin oder Datenschutzberater

Art. 26 – Aus­nah­me von der Pflicht zur Füh­rung eines Ver­zeich­nis­ses der Bearbeitungstätigkeiten

Beson­de­re Bestim­mun­gen zur Daten­be­ar­bei­tung durch Bundesorgane