Die verschiedenen, aus der Vernehmlassung hervorgehenden Neuerungen im aktuellen Entwurf erstrecken sich auf die einzelnen Gesetzesartikel und spiegeln die Summe der Stellungnahmen in ihrem Ergebnis wie folgt wieder:
Weiterhin gilt, dass Bussen in Form einer Strafsanktion an Mitarbeiter verhängt werden können, welche in ihrem Verantwortungsbereich vorsätzlich widerrechtlich handeln. Dies sorgte im Dezember 2016 noch für grosse Kritik. Der Strafrahmen wurde hier jedoch auf 250`000.- CHF gesenkt
- Weiterhin gilt, dass Bussen in Form einer Strafsanktion an Mitarbeiter verhängt werden können, welche in ihrem Verantwortungsbereich vorsätzlich widerrechtlich handeln. Dies sorgte im Dezember 2016 noch für grosse Kritik. Der Strafrahmen wurde hier jedoch auf 250`000.- CHF gesenkt.
- Die Transparenz der Datenverarbeitung wurde gestärkt und vor allem auch die Kontrolle der Datensubjekte über die eigenen Daten. Besonders hervorzuheben ist hierbei die Informationspflicht der Unternehmen gegenüber der Datensubjekte, wenn von diesen Daten beschafft und verarbeitet worden sind.
- Wieder eingeführt wurde der freiwillig ernannte Datenschutzbeauftragte.
- Weiterhin sind juristische Personen nicht mehr vom Regelungsbereich der Norm erfasst.
- Ein extraterritorialer Anwendungsbereich wurde im Vergleich zur EU Regelung nicht angestrebt und daher keine Regelung getroffen.
- Als zentrale Abweichung zum europäischen Recht soll das neue Schweizer DSG keine Regelung zur Datenportabilität (Regelung zur Übertragung der Daten) enthalten.
- Einige Stellungnahmen wandten sich gegen Art. 12 VE-DSG, welcher in Anlehnung an das EU-Recht die Einsicht und Löschung von Daten Verstorbener regelt. Dennoch bleibt dieses Recht im aktuellen Entwurf bestehen.
- Profiling wird weiterhin als Datenbearbeitung mit hohem Risiko bezeichnet. Die „Datenbearbeitung mit hohem Risiko“ wird jedoch auf automatisierte Datenbearbeitungsprozesse limitiert.
- Eine Datensammlung muss nach dem neuen Entwurf nicht mehr dem Beauftragten vorgelegt werden, sondern muss nur noch unternehmensintern geführt werden.
- Auch die sich aus der Datenschutzgrundverordnung ergebenden, grossen Rechtsinstitute (Datenschutz-Folgeabschätzung, Privacy by Design, Meldungen von Verletzungen) finden sich im nunmehrigen Schweizer Entwurf zum Datenschutzrecht wieder.
- Schliesslich wurden auch Begriffsänderungen eingeführt. So heisst die bisherige „Verletzung des Datenschutzes“ neu „Verletzung der Datensicherheit“.
Für den Anwender in der Rechtspraxis ist darüber hinaus die Regelung des Art. 59 VE-DSG von entscheidender Bedeutung. Art. 59 VE-DSG regelt, dass die Verantwortlichen sowie die Auftragsbearbeiter zwei Jahre nach Inkrafttreten des Gesetzes in der Lage sein müssen, eine Datenschutz-Folgenabschätzung nach Artikel 16 vorzunehmen. Jedoch sieht das Gesetz gemäss Art. 20 Abs. 5 VE – DSG vor, dass diese Pflicht entfallen kann, falls der Verantwortliche nach Art. 12 zertifiziert ist oder nach Art. 10 einen Verhaltenskodex einhält.
Darüber hinaus muss jedoch nicht nur das Bundesgesetz über den Datenschutz angepasst werden, sondern auch weitere Erlasse wie verschiedene Anforderungen der Richtlinie (EU) 2016/680 im Strafgesetzbuch, der Strafprozessordnung und auch im Rechtshilfegesetz, sowie aber auch die Aufhebung einiger Bestimmungen des Schengen Informationsaustauschgesetzes.
Die Verabschiedung der Vorlage des revidierten Schweizer Datenschutzgesetzes ist in den Zielen des Bundesrates für das Jahr 2017 festgesetzt, sowie in der Legislaturplanung 2015-2019.