Das Schweizer Datenschutzgesetz (DSG) befindet sich seit geraumer Zeit in Revision. Mit dem revidierten DSG soll ein zeitgemässes Regelwerk angestrebt werden, welches sich den europäischen Standards der EU-Datenschutzgrundverordnung (DSGVO) angleicht. Die Revision des DSG ist eine Voraussetzung dafür, dass die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und somit der grenzüberschreitende Datenaustausch nicht weiter erschwert wird. Mittlerweile hat die Staatspolitische Kommission des Nationalrates (SPK-NR) die Beratung der Vorlage zum DSG abgeschlossen. In mehreren Punkten, wie beispielsweise bezüglich der Datenportabilität und den besonders schützenswerten Personendaten, ist sie vom Entwurf des Bundesrates abgewichen.

Vergleich zum Vernehmlassungsentwurf

Die SPK-NR hat Mitte August die Vorberatung des DSG abgeschlossen. Die zuhanden des Nationalrates verabschiedete Fassung wurde denkbar knapp mit 9 zu 9 Stimmen bei 7 Enthaltungen und Stichentscheid des Präsidenten angenommen. Die verabschiedete Vorlage enthält unter anderem folgende Punkte (vgl. für die Details), die vom E-DSG (Stand September 2017) abweichen (siehe dazu MLL-News vom 14.2.2017):

  • Der Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) soll neu direkt von der Bundesversammlung und nicht mehr vom Bundesrat mit anschliessender Genehmigung durch die Bundesversammlung gewählt werden.
  • Die Kommission hat ein Recht auf Datenportabilität eingeführt. Danach kann die betroffene Person kann von einem Verantwortlichen Personendaten in einem gängigen (Datei-) Format herausverlangen und an einen anderen Dienstleister übermitteln.
  • Daten über Sozialhilfemassnahmen und Daten über gewerkschaftliche Tätigkeiten wurden von der Liste der besonders schützenswerten Daten gestrichen. In die Liste aufgenommen wurden hingegen die genetischen Daten.
  • Ausländische Unternehmen, die in der Schweiz Dienstleistungen anbieten, sind ebenfalls explizit dem revidierten DSG unterstellt. Sie müssen zudem eine Vertreterin oder einen Vertreter in der Schweiz bezeichnen.
  • Die besondere Regelung für den Umgang mit den Daten verstorbener Personen wird gestrichen.

Die SPK-NR hat das vom Bundesrat vorgeschlagene Sanktionssystem angenommen (siehe dazu MLL-News vom 21.9.2017). Es sind daher keine verwaltungsrechtlichen, sondern ausschliesslich strafrechtliche Sanktionen vorgesehen. Bei Verstössen gegen das DSG können nur natürliche Personen, die für die Datenbearbeitung verantwortlich sind, juristisch belangt werden. Die vom Bundesrat vorgeschlagene Höchstbusse von CHF 250’000 wurde ebenfalls akzeptiert.

Umsetzungsfrist für Unternehmen

Die SPK-NR hat beschlossen, dass das neue Gesetz erst zwei Jahre nach Ablauf der Referendumsfrist bzw. einer allfälligen Volksabstimmung in Kraft treten soll. Dadurch wird den Unternehmen in den Augen der Kommission ausreichend Zeit für die erforderlichen Anpassungen eingeräumt. Nichtsdestotrotz sollten Unternehmen vorausschauend Massnahmen zur Einhaltung der kommenden Gesetzesregelung ergreifen. Die Erfahrungen aus der Implementierung der EU-DSGVO haben bereits verdeutlicht, dass die konkrete Umsetzung der verschärften Vorgaben des Datenschutzrechts und die erforderlichen Anpassungen der operativen Prozesse in der Praxis anspruchsvoll ist (siehe MLL-News vom 30.7.2017). Ein frühzeitiges Handeln ist auch deshalb angezeigt, weil bei einer Verletzung des revidierten DSG zum (jetzigen Zeitpunkt) die verantwortlichen Personen mit Bussen (persönliche Haftung) bestraft werden. Darüber hinaus können Verstösse bekanntlich auch zu Reputationsschäden und Vertrauensverlust führen.

Stand der Arbeiten im Parlament und nächste Schritte

Die Behandlung des Entwurfs steht auf dem Sessionsprogramm für die Herbstsession 2019 des Nationalrates, welche diesen September stattfindet. Wann die Vorlage der Ständeratskommission und dem Ständerat unterbreitet wird, ist noch nicht bekannt. Es wird jedoch vermutet, dass die Schlussabstimmungen nicht vor Ende 2020 durchgeführt werden. Ein Inkrafttreten des revidierten DSG vor 2021 ist nach jetzigem Kenntnisstand darum eher unwahrscheinlich. Spätestens im Zeitpunkt, in dem der finale Text des revidierten DSG feststeht, gilt es für die vom Anwendungsbereich des DSG betroffenen Unternehmen zu handeln, ihre Bearbeitungstätigkeiten zu überprüfen und die nötigen Anpassungsmassnahmen zu ergreifen.

Weitere Informationen: