Im Dezember 2016 eröffnete der Bundesrat die Vernehmlassung zum Vorentwurf eines totalrevidierten Datenschutzgesetzes (DSG). Im September 2021 verabschiedete das Parlament die Revision des DSG. Dieses enthält nebst vielzähligen Anpassungen an die Europäische Datenschutz-Grundverordnung (DSGVO) auch einige Schweizer Besonderheiten. Wir haben für Sie die wichtigsten Veränderungen und Anpassungen der neuen DSG (nDSG) zusammengefasst.

Anwendungsbereich

Im nDSG gehören – im Gegensatz zur bisherigen Regelung und zur DSGVO– die juristischen Personen nicht mehr zum Anwendungsbereich. Das revidierte DSG gilt gemäss Art. 2 nDSG nur noch für die Bearbeitung von Personendaten natürlicher Personen. Sodann erstreckt sich der räumliche Geltungsbereich des nDSG nun auch auf Sachverhalte, die sich in der Schweiz auswirken, aber ausserhalb ausgelöst wurden (Art. 3 nDSG). Damit übernimmt es das sog. Auswirkungsprinzip aus dem EU-Recht.

Schliesslich können Unternehmen mit Sitz im Ausland, die Personendaten von Personen in der Schweiz bearbeiten, auch dazu verpflichtet werden eine Vertretung für die Schweiz zu bezeichnen. Eine solche Vertretung ist notwendig, wenn die Datenbearbeitung umfangreich und regelmässig erfolgt, diese im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen oder der Verhaltensbeobachtung dieser Personen steht und die Datenbearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Person mit sich bringt. Damit fällt diese Regelung in Art. 14 nDSG fast identisch mit jener der DSGVO aus.

Besonders schützenswerte Personendaten

In Art. 5 nDSG werden verschiedene Begriffe genauer umschrieben. Eine ähnliche Liste führte bereits das bestehende DSG. Neu wird unter lit. c als besonders schützenswerte Personendaten auch die ethnische Abstammung, die Rasse und die biometrischen Daten aufgeführt. Gestrichen wurde zudem der Begriff des Persönlichkeitsprofils unter Art. 3 lit. d DSG.

Neu eingeführt wird unter lit. f hingegen das sog. Profiling, d.h. „jede Art der automatisierten Bearbeitung von Personendaten“. Im Rahmen des Profilings werden Daten benutzt, um eine Bewertung von persönlichen Aspekten einer bestimmten natürlichen Person vorzunehmen, um diese zu analysieren bzw. eine Prognose ihres Verhaltens zu treffen. Eine weitere Schweizer Besonderheit statuiert lit. g mit dem «Profiling mit hohem Risiko». Dieses liegt vor, wenn Daten miteinander verbunden Schlüsse auf wesentliche Persönlichkeitsaspekte einer natürlichen Person zulassen und dadurch eine Gefährdung der Persönlichkeit oder der Grundrechte der betroffenen Person besteht. Für ein «Profiling mit hohem Risiko» bedarf es einer ausdrücklichen Einwilligung.

Erweiterte Pflichten des Verantwortlichen

Gemäss Art. 12 nDSG muss neu, wie auch in der DSGVO, ein Verzeichnis über sämtliche Bearbeitungstätigkeiten geführt werden. In diesem Verzeichnis sind mindestens die Angaben gemäss Art. 12 Abs. 2 nDSG wie z.B. Identität des Verantwortlichen, Bearbeitungszweck, Kategorie der betroffenen Personen und der Personendaten, aber auch Angaben zur Speicherdauer und zu geeigneten technischen und organisatorischen Massnahmen aufzulisten.

Art. 7 nDSG sieht vor, ähnlich wie in Art. 25 DSGVO, dass die Technik und Organisation der Datenbearbeitung in einer Art und Weise gestaltet sein muss, dass die Vorschriften des Datenschutzes eingehalten werden. Dabei sind die Datenschutzgrundsätze von Art. 6 nDSG bereits in der Konzipierung und Entwicklung mit geeigneten Massnahmen zu berücksichtigen (Privacy-by-Design). Auch ist der Verantwortliche verpflichtet bereits datenschutzfreundliche Voreinstellungen sicherzustellen (Privacy by Default).

Zusätzlich werden die Verantwortlichen mit der Einführung des nDSG neu verpflichtet gemäss Art. 22 nDSG vorab eine Datenschutzfolgeabschätzung vorzunehmen, sollte die geplante Datenbearbeitung ein erhöhtes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person, z.B. aufgrund des Einsatzes von neuartigen Technologien, bergen. Auch dieses Instrument wurde der DSGVO entnommen. Des Weiteren muss der Verantwortliche dem EDÖB und gegebenenfalls der betroffenen Person eine Verletzung der Datensicherheit schnellstmöglich melden, wenn diese ein hohes Risiko betreffend die Grundrechte oder Persönlichkeit der betroffenen Personen darstellt (Art. 24 nDSG).

Informationspflicht und Rechte der betroffenen Person

Im Rahmen der Totalrevision des DSG wurden die Informationspflichten der Verantwortlichen und des Auftragsbearbeiters stark ergänzt. Es besteht eine Mitteilungspflicht über die Identität und Kontaktangaben des Verantwortlichen, den Zweck der Datenbearbeitung und nötigenfalls die Empfänger der Daten (vgl. Art. 19 nDSG). Ziel der erweiterten Informationspflicht ist, dass betroffene Personen ihre Rechte dank diesen Angaben effizienter geltend machen können und eine gewisse Transparenz bei der Datenbearbeitung besteht. Ausnahmen von der Informationspflicht sind in Art. 20 nDSG geregelt. Auch wurden spezielle Regelungen betreffend die automatisierte Einzelentscheidung getroffen (Art. 21 nDSG).

Betroffene Personen stehen zudem mit dem nDSG mehr Rechte bei der Herausgabe bzw. Übertragung ihrer Daten zu. So können sie z.B. gemäss Art. 28 nDSG verlangen, dass ihre Daten kostenlos in einem elektronischen Format zur Verfügung gestellt oder an Dritte übergeben werden. Dem Antrag muss grundsätzlich stattgegeben werden, wenn der Verantwortliche eine automatisierte Bearbeitung dieser Daten vorgenommen hat, die Datenverarbeit mit Einwilligung der betroffenen Person oder in Zusammenhang mit einem Vertrag erfolgte. Die Forderung zur Herausgabe oder Übertragung muss ausserdem verhältnismässig sein, damit dem Antrag stattgegeben wird. Darüber hinaus hat die betroffene Person gemäss Art. 21 nDSG ein Widerspruchsrecht bei automatisierten Einzelentscheidungen. So kann sie ihre Position hierzu darlegen und kann verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird.

Aufgabenbereich des EDÖB und Sanktionen

Der Eidgenössische Datenschutzbeauftragte (EDÖB) kann gem. Art. 49 ff. nDSG eine Untersuchung gegen eine Privatperson oder gegen ein Bundesorgan eröffnen, wenn ihm eine Anzeige vorliegt oder wenn Anzeichen bestehen, dass Vorschriften des nDSG verletzt wurden. Im Verlauf einer solchen Untersuchung kann er Zeugen befragen, Zugang zu Räumen oder Anlagen verlangen, sowie Auskünfte, Unterlagen usw. einsehen oder einen Sachverständigen beauftragen eine Begutachtung vorzunehmen. Der EDÖB kann Verwaltungsmassnahmen anordnen und dadurch z.B. erwirken, dass Datenbearbeitungen eingestellt oder angepasst werden.

Sodann, ganz im Stil der DSGVO, hat auch das nDSG das Maximalbussgeld stark erhöht. So sieht das nDSG strafrechtliche Sanktionen in Form einer Busse von bis zu 250 000 Franken vor, wenn Informations-, Auskunfts- oder Mitwirkungspflichten (Art. 60 nDSG), Sorgfaltspflichten (Art. 61 nDSG) oder berufliche Schweigepflicht (Art. 62 nDSG) verletzt werden oder wenn eine Verfügung des EDÖB oder eine Entscheidung der Rechtsmittelinstanzen missachtet bzw. diese vorsätzlich nicht erfüllt wird (Art. 63 nDSG).