Am 15. September 2017 hat der Bundesrat den Entwurf und die Botschaft für ein neues Datenschutzgesetz (DSG) publiziert. Die Vernehmlassung zum Vorentwurf hatte grosse Kritik eingebracht, insbesondere ein gegenüber den Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) zu weitgehender "Swiss Finish". Der Entwurf verfolgt nun stärker einen risikobasierten und technologieneutralen Ansatz. Inhaltlich liegt der Entwurf näher an der DSGVO und am geltenden DSG als noch der Vorentwurf (vgl. dazu den Schellenberg Wittmer Newsletter von März 2017).

In diesem Beitrag sollen einige relevante Aspekte und Unterschiede zum Vorentwurf beleuchtet werden, ohne Anspruch auf Vollständigkeit zu erheben.

Die wichtigsten Änderungen gegenüber dem Vorentwurf

Im Vorentwurf stiess die umfassende, aber unklar umschriebene Dokumentationspflicht auf starke Kritik. Die Dokumentationspflicht wurde nunmehr ersetzt mit der Pflicht des Verantwortlichen (Controller) und des Auftragsbearbeiters (Processor), ein Verzeichnis der Bearbeitungstätigkeiten zu führen. Unternehmen mit weniger als 50 Mitarbeitenden können durch den Bundesrat von der Führung eines Verzeichnisses ganz befreit werden, sofern ihre Tätigkeit ein geringes Datenschutzrisiko beinhaltet. Dies würde vor allem nicht-digitale KMU von administrativer Bürde entlasten.

Abgeschwächt wurde auch die Pflicht der Verantwortlichen, eine umfassende DatenschutzFolgenabschätzung (Privacy Impact Assessment) durchzuführen und dem Beauftragten (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) vorzulegen. Die Verantwortlichen werden eine Datenschutz-Folgenabschätzung lediglich dann vornehmen müssen, wenn ein "hohes" Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht; diese Schwelle entspricht jener in der DSGVO. Im Falle zertifizierter oder auf Verhaltenskodizes (vgl. unten) beruhender Datenbearbeitungen kann die Datenschutz-Folgenabschätzung unterbleiben. Auch bei Konsultation des (im Entwurf wieder eingeführten) betrieblichen Datenschutzberaters ist der Verantwortliche von der Pflicht zur Konsultation des Beauftragten befreit. Mit diesen Änderungen sollte der im Rahmen der Vernehmlassung kritisierte lähmende und kostenintensive Aufwand von Datenschutz-Folgenabschätzungen reduziert werden können. 

Beim Auslandtransfer hat der Datenexporteur keine gesonderte Prüfpflicht mehr, falls der Bundesrat einen Angemessenheitsbeschluss gefällt hat. Der Export von Personendaten aus der Schweiz in das Zielland wird in diesen Fällen ohne zusätzliche Abklärungen seitens des Verantwortlichen als zulässig erachtet. Es genügt die Konsultation der Länderliste, welche die Staaten mit angemessenem Datenschutz nennt. Auch die Meldepflicht an den Beauftragten wurde abgeschwächt; insbesondere ist eine Meldung beim Einsatz vorgängig vom Beauftragten genehmigter Standarddatenschutzklauseln nicht mehr erforderlich, und bei Verwendung anderer datenschutzrechtlicher Klauseln entfällt die Genehmigungspflicht nach bisherigem DSG.

Zur Förderung der Selbstregulierung sind Verhaltenskodizes (Best Practice) vorgesehen, die zum Beispiel das "hohe Risiko", die Informationspflicht oder die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung präzisieren. Anders als im Vorentwurf sollen bei der Erstellung solcher Verhaltenskodizes jedoch nur noch Berufs- oder Wirtschaftsverbände federführend sein, die nach ihren Statuten zur Wahrung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind. Im Gegensatz zur DSGVO und zum Vorentwurf wird der Beauftragte lediglich Stellungnahmen zu Verhaltenskodizes abgeben können; eine Genehmigungspflicht beim Beauftragten besteht nicht. Die Stellungnahme des Beauftragten ist rechtlich nicht bindend.

Auftragsbearbeiter werden im Entwurf weniger in die Pflicht genommen als noch im Vorentwurf. Neben der Befreiung von der Datenschutz-Folgenabschätzung müssen sie weder die Prinzipien von Privacy by Design oder Privacy by Default umsetzen noch Auskunft erteilen; dies gilt selbst dann, wenn der Verantwortliche unbekannt ist oder seinen Sitz nicht in der Schweiz hat.

Die maximale Strafe für Datenschutzverstösse wurde auf 250'000 Franken halbiert, und der Strafkatalog wurde gekürzt. Fahrlässiges Handeln wird nicht mehr bestraft. Die Strafen treffen nach wie vor in erster Linie die natürlichen Personen. Der Geschäftsbetrieb kann zur Bezahlung von Bussen bis maximal 50'000 Franken anstelle des Angestellten verurteilt werden, sofern dessen Ermittlung unverhältnismässige Untersuchungsmassnahmen nach sich ziehen würde. Der Beauftragte wird - anders als sein Pendant in der DSGVO - keine Verwaltungssanktionen aussprechen können. Obwohl die Sanktionen gegenüber dem Vorentwurf insgesamt gemildert wurden, stellt die Beibehaltung des Sanktionssystems (Strafbarkeit der natürlichen Person anstelle von Verwaltungssanktionen für Unternehmen) einen Wermutstropfen im Entwurf dar.

Erstes Fazit und Ausblick Die am Vorentwurf im Rahmen der Vernehmlassung geäusserte Kritik ist nicht ungehört verhallt. Der Entwurf orientiert sich stärker als noch der Vorentwurf am Massstab der DSGVO und am geltenden DSG. Vom "Swiss Finish" wurde in vielen Bereichen Abstand genommen, und administrative Hürden wurden abgebaut. Der Entwurf gewährleistet weiterhin die Angemessenheit des Datenschutzes in der Schweiz aus Sicht der EU, ohne aber für in der Schweiz ansässige oder tätige Unternehmen übermässige Hindernisse zu schaffen.

Der Entwurf wird in der Wintersession 2017 und evtl. in der Frühjahrssession 2018 in den Räten behandelt und voraussichtlich zum Ende der Frühjahrssession 2018 vom Parlament verabschiedet werden. Danach läuft die dreimonatige Referendumsfrist, so dass mit einem Inkrafttreten des revidierten Datenschutzgesetzes (und der zugehörigen Verordnung) vor Sommer 2018 nicht zu rechnen ist.