Am 21. Dezember 2016 veröffentlichte der Bundesrat den Vorentwurf zur Totalrevision des Schweizer Datenschutzgesetzes (VE-DSG). Die darauffolgenden Stellungnahmen der verschiedenen Anspruchsgruppen stellten rasch klar, dass der Vorentwurf nachgebessert werden muss.

Seit Dezember 2016 befand sich das Schweizer Datenschutzgesetz in der Vernehmlassung, welche bis zum 4. April 2017 andauerte. Am 15. September 2017 wurden die Resultate der Vernehmlassung durch das Polizei und Justizdepartement veröffentlicht.

Während der Vernehmlassung sind insgesamt 222 Stellungnahmen eingegangen. Alle bezogen sich auf das Vorhaben der Totalrevision des Schweizer Datenschutzgesetzes.

Die Stellungnehmenden bewerteten es überaus positiv, dass sich das Schweizer Datenschutzrecht an die europäische Regelung annähert. Damit bleibt die Schweiz auch weiterhin als adäquater Drittstaat anerkannt und Daten können auch weiterhin auf vereinfachtem Wege transferiert werden.

Einer der wichtigsten, in der Vernehmlassung geäusserten Vorbehalte war, dass die im Vorentwurf vorgeschlagenen Regeln einen übermässigen organisatorischen Aufwand für die Unternehmen bedingen würden.

Die verschiedenen, aus der Vernehmlassung hervorgehenden Neuerungen im aktuellen Entwurf erstrecken sich auf die einzelnen Gesetzesartikel und spiegeln die Summe der Stellungnahmen in ihrem Ergebnis wie folgt wieder:

Weiterhin gilt, dass Bussen in Form einer Strafsanktion an Mitarbeiter verhängt werden können, welche in ihrem Verantwortungsbereich vorsätzlich widerrechtlich handeln. Dies sorgte im Dezember 2016 noch für grosse Kritik. Der Strafrahmen wurde hier jedoch auf 250`000.- CHF gesenkt

1. Weiterhin gilt, dass Bussen in Form einer Strafsanktion an Mitarbeiter verhängt werden können, welche in ihrem Verantwortungsbereich vorsätzlich widerrechtlich handeln. Dies sorgte im Dezember 2016 noch für grosse Kritik. Der Strafrahmen wurde hier jedoch auf 250`000.- CHF gesenkt.
2. Die Transparenz der Datenverarbeitung wurde gestärkt und vor allem auch die Kontrolle der Datensubjekte über die eigenen Daten. Besonders hervorzuheben ist hierbei die Informationspflicht der Unternehmen gegenüber der Datensubjekte, wenn von diesen Daten beschafft und verarbeitet worden sind.
3. Wieder eingeführt wurde der freiwillig ernannte Datenschutzbeauftragte.
4. Weiterhin sind juristische Personen nicht mehr vom Regelungsbereich der Norm erfasst.
5. Ein extraterritorialer Anwendungsbereich wurde im Vergleich zur EU Regelung nicht angestrebt und daher keine Regelung getroffen.
6. Als zentrale Abweichung zum europäischen Recht soll das neue Schweizer DSG keine Regelung zur Datenportabilität (Regelung zur Übertragung der Daten) enthalten.
7. Einige Stellungnahmen wandten sich gegen Art. 12 VE-DSG, welcher in Anlehnung an das EU-Recht die Einsicht und Löschung von Daten Verstorbener regelt. Dennoch bleibt dieses Recht im aktuellen Entwurf bestehen.
8. Profiling wird weiterhin als Datenbearbeitung mit hohem Risiko bezeichnet. Die „Datenbearbeitung mit hohem Risiko“ wird jedoch auf automatisierte Datenbearbeitungsprozesse limitiert.
9. Eine Datensammlung muss nach dem neuen Entwurf nicht mehr dem Beauftragten vorgelegt werden, sondern muss nur noch unternehmensintern geführt werden.
10. Auch die sich aus der Datenschutzgrundverordnung ergebenden, grossen Rechtsinstitute (Datenschutz-Folgeabschätzung, Privacy by Design, Meldungen von Verletzungen) finden sich im nunmehrigen Schweizer Entwurf zum Datenschutzrecht wieder.
11. Schliesslich wurden auch Begriffsänderungen eingeführt. So heisst die bisherige „Verletzung des Datenschutzes“ neu „Verletzung der Datensicherheit“.

Für den Anwender in der Rechtspraxis ist darüber hinaus die Regelung des Art. 59 VE-DSG von entscheidender Bedeutung. Art. 59 VE-DSG regelt, dass die Verantwortlichen sowie die Auftragsbearbeiter zwei Jahre nach Inkrafttreten des Gesetzes in der Lage sein müssen, eine Datenschutz-Folgenabschätzung nach Artikel 16 vorzunehmen. Jedoch sieht das Gesetz gemäss Art. 20 Abs. 5 VE – DSG vor, dass diese Pflicht entfallen kann, falls der Verantwortliche nach Art. 12 zertifiziert ist oder nach Art. 10 einen Verhaltenskodex einhält.

Darüber hinaus muss jedoch nicht nur das Bundesgesetz über den Datenschutz angepasst werden, sondern auch weitere Erlasse wie verschiedene Anforderungen der Richtlinie (EU) 2016/680 im Strafgesetzbuch, der Strafprozessordnung und auch im Rechtshilfegesetz, sowie aber auch die Aufhebung einiger Bestimmungen des Schengen Informationsaustauschgesetzes.

Die Verabschiedung der Vorlage des revidierten Schweizer Datenschutzgesetzes ist in den Zielen des Bundesrates für das Jahr 2017 festgesetzt, sowie in der Legislaturplanung 2015-2019.

Trotz teilweise vorliegender Abweichung stellt der neue Entwurf zum Schweizer DSG eine sehr starke Angleichung an die europäische Gesetzgebung dar. Wichtige Vorbehalte haben ihren Eingang in den Gesetzesentwurf gefunden.

Die Wirtschaft, welche diese immer noch sehr aufwändig einzuführende Regelung in Zukunft umsetzen muss, wurde damit mit etwas mehr praktischer Vernunft beglückt. Als nächstes muss nun jedoch der Gesetzesentwurf noch das Parlament passieren. Ob sich hier nochmals Veränderungen ergeben, werden wir bald erfahren!