Aufgrund der Revisionen der datenschutzrechtlichen Bestimmungen in der EU und beim Europarat, sah sich auch die Schweiz gezwungen ihr Datenschutzrecht zu überarbeiten und an das europäische Schutzniveau anzupassen. Ohne Anpassungen hätten unsere südlichen Nachbarn damit rechnen müssen, ihren Angemessenheitsbeschluss zu verlieren. Dieses Risiko scheint nun nicht mehr zu bestehen, nachdem sowohl National- als auch Ständerat den Schlussabstimmungstext des revidierten Datenschutzgesetztes Ende September gutgeheißen haben. Bis das revidierte Datenschutzgesetz tatsächlich in Kraft tritt, wird jedoch noch einige Zeit verstreichen. Einerseits läuft die Referendumsfrist bis Mitte Januar 2021, andererseits muss auch die Verordnung an das revidierte Gesetz angepasst werden. Daher kann mit einem Inkrafttreten wohl frühestens Anfang 2022 gerechnet werden.

Wesentliche Änderungen im Überblick

Die folgenden Punkte führen im Zuge der Revision zu den markantesten Änderungen für die Schweiz:

Geltungsbereich

Eine Eigenheit des schweizerischen Datenschutzrechts war, dass es sowohl für natürliche als auch juristische Personen galt. Mit der Revision wurden die juristischen Personen aus dem Schutzbereich des Datenschutzgesetztes gestrichen, wodurch die Schweiz den Schutzbereich dem europäischen Recht angleicht.

Datenschutzberaterin oder -berater

Neu sieht das Gesetz vor, dass private Verantwortliche eine Datenschutzberaterin oder einen Datenschutzberater ernennen können. Aufgabe dieser Beraterin oder dieses Beraters ist die Überwachung der Einhaltung der Datenschutzvorschriften innerhalb eines Unternehmens sowie die Schulung und Beratung des Verantwortlichen. Im Gegensatz zum europäischen Recht, das in gewissen Fällen eine Pflicht zur Ernennung einer Beraterin oder eines Beraters bzw. einer oder eines Datenschutzbeauftragten vorsieht, ist die Ernennung einer Beraterin oder eines Beraters in der Schweiz freiwillig. Welchen konkreten Vorteil die Ernennung einer Beraterin oder eines Beraters mit sich bringt, wird später ausgeführt.

Verzeichnis der Bearbeitungstätigkeiten

Das bisherige Register der Datensammlungen wird durch ein Verzeichnis der Bearbeitungstätigkeiten abgelöst. Dieses muss im Vergleich zum Register der Datensammlungen nicht mehr dem Eidgenössischen Datenschutz- und Öffentlichkeitsverantwortlichen (EDÖB) gemeldet werden. Ausnahmen sind für Unternehmen mit weniger als 250 Mitarbeitenden und einem geringen Risiko für Verletzungen der Persönlichkeit vorgesehen. Wie diese Ausnahmen konkret ausgestaltet werden, wird die Verordnung zeigen.

Bekanntgabe von Personendaten ins Ausland

Nach geltendem Recht dürfen Personendaten nicht ins Ausland bekanntgegeben werden, wenn dadurch die Persönlichkeit der betroffenen Person schwerwiegende gefährdet würde. Dazu führt der EDÖB eine unverbindliche Liste mit einer Einschätzung über das in den aufgeführten Ländern herrschende Datenschutzniveau. Diese Liste dient dem Datenexporteur eine Einschätzung vorzunehmen, doch ist er nicht von seiner Verantwortung befreit.

Mit dem revidierten Datenschutzgesetz stellt der Bundesrat (Exekutive) nun verbindlich fest, ob die Gesetzgebung eines Staates ein angemessenes Datenschutzniveau gewährleistet. Ist dies der Fall, dürfen Personendaten ins Ausland bekanntgegeben werden. Wenn nicht, müssen zusätzliche Maßnahmen zum Schutz der exportierten Daten ergriffen werden.

Von den vorgenannten Grundsätzen darf abgewichen werden, wenn eine Ausnahme vorliegt; beispielsweise die ausdrückliche Einwilligung der betroffenen Person.

Informationspflicht bei der Beschaffung von Personendaten

Das revidierte Datenschutzgesetzt verschärft die Informationspflichten bei der Beschaffung von Personendaten. Die Mindestangaben reichen jedoch nicht soweit, wie dies im europäischen Recht vorgesehen ist. Das schweizerische Datenschutzrecht geht jedoch bei der Bekanntgabe ins Ausland weiter, hier muss der Verantwortliche den Betroffenen nämlich den Staat des Empfängers mitteilen.

Des Weiteren wurden die Ausnahmen der Informationspflicht konkretisiert.

Datenschutz-Folgenabschätzung und Konsultation des EDÖB

Eine der gewichtigsten Revisionspunkte ist die neu eingeführte Datenschutz-Folgenabschätzung, welche sich in den maßgeblichen Punkten am europäischen Recht orientiert.

Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die beabsichtigte Datenbearbeitung trotz der vorgesehenen Maßnahmen ein hohes Risiko für die Persönlichkeit der betroffenen Personen birgt, muss der Verantwortliche die Stellungnahme des EDÖB einholen. Von dieser Konsultation kann der Verantwortliche jedoch absehen, wenn er eine Beraterin oder einen Berater ernannt hat und diese oder diesen betreffend der Datenbearbeitung konsultiert hat.

Meldung von Verletzungen der Datensicherheit

Ein weiterer einschneidender Punkt der Revision ist die Meldepflicht von Verletzungen der Datensicherheit. Auch hier hat die Schweiz einen pragmatischeren Ansatz gewählt als ihn das europäische Recht vorsieht. So ist die Meldung so rasch als möglich zu machen und nur wenn die Verletzung zu einem hohen Risiko für die Betroffenen führt.

Verwaltungsmaßnahmen und Sanktionen

Während das Datenschutzrecht in der Schweiz bisher als zahnloser Tiger daherkam, werden dem EDÖB mit dem revidierten Datenschutzgesetz erweiterte Kompetenzen zugestanden, denn er kann neu nicht nur Maßnahmen empfehlen, sondern auch Verwaltungsmaßnahmen verfügen. Allerdings kann der EDÖB nach wie vor keine Bussen aussprechen, denn diese Kompetenz liegt bei den Strafverfolgungsbehörden der Kantone. Der EDÖB hat jedoch ein Anzeigerecht und kann sich als Privatkläger am Verfahren beteiligen.