Select Page

Revision des Datenschutzgesetzes: Entwurf und Botschaft veröffentlicht

Das schweizerische Datenschutzgesetz (DSG) befindet sich zur Zeit in Revision. Nachdem die Vernehmlassung zum Vorentwurf anfangs April 2017 endete, hat der Bundesrat nun den Entwurf zur Revision des Datenschutzgesetzes mit weiteren Dokumenten veröffentlicht.

Das Parlament wird den Entwurf des Datenschutzgesetzes nun zu beraten haben. Der Bundesrat hofft aber, das neue DSG auf August 2018 in Kraft setzen zu können.

Der Vorentwurf war im Vernehmlassungsverfahren in vielen Punkten teils heftig kritisiert worden. Gegenstand besonders scharfer Kritik waren die vorgehenen Sanktionen, die sich nicht als Verwaltungsbussen gegen fehlbare Unternehmen, sondern als Strafsanktionen gegen verantwortliche Mitarbeiter richten sollten. Der Bundesrat will an diesem System festhalten, hat den Bussenrahmen aber auf CHF 250’000 gesenkt und die Tatbestände als Vorsatzdelikte ausgestaltet. Strafbar ist ferner nur die Verletzung bestimmter Mitwirkungspflichten gegenüber dem EDÖB, der Informations- und Auskunftspflicht, der Pflichten bei Auslandsbekanntgabe und Auftragsbearbeitung und der Datensicherheitsanforderungen. Nicht strafbar sind weiterhin eine Verletzung der allgemeinen Bearbeitungsgrundsätze und – neu – der Pflichten im Zusammenhang mit einer Datenschutz-Folgenabschätzung und mit Datenschutzverletzungen (“breach notification”).

Auf den ersten Blick und noch ohne Berücksichtigung der Botschaft zeigt sich ansonsten folgendes Bild:

Einige in der Vernehmlassung nicht oder kaum bestrittene Punkte wurden übernommen, etwa die Beschränkung der “Personendaten” auf natürliche Personen (Art. 4 lit. a E-DSG) oder die Kompetenz des Bundesrats zur Beurteilung der Angemessenheit des ausländischen Rechts (Art. 13 Abs. 1).

Einiges ist neu:

  • Bearbeiter können neu einen unabhängigen, fachkundigen, internen oder auch externen “Datenschutz-Berater” bestimmen, was Erleichterungen im Fall einer Datenschutz-Folgenabschätzung mit sich bringt.
  • Hersteller von Datenbearbeitungssystemen oder -programmen können ihre Systeme, Produkte und Dienstleistungen zertifizieren lassen.
  • Der Entwurf der Revision des Datenschutzgesetzes sieht Übergangsbestimmungen vor. So müssen fortdauernde Bearbeitungen erst zwei Jahre nach Inkrafttreten angepasst sein, und die neuen Informationspflichten greifen ebenfalls erst nach zwei Jahren (Art. 62 ff.).

Einige Bestimmungen wurden in ihrer Handhabung erleichtert:

  • Es sind einige Meldepflichten gegenüber dem EDÖB entfallen oder durch Informationspflichten auf Anfrage ersetzt worden, so etwa bei der Datenbekanntgabe ins Ausland (Art. 14 Abs. 2; was bleibt, ist die Pflicht zur Mitteilung nicht genehmigter oder anerkannter Klauseln zur Bekanntgabe in unsichere Drittstaaten);
  • Der Bundesrat kann weitere Garantien festlegen, die eine Datenbekanntgabe ins Ausland erlauben (Art. 13 Abs. 3).
  • Die Bekanntgabe ins Ausland im Zusammenhang mit einem Vertrag ist neu auch dann möglich, wenn der Vertrag nicht mit der betroffenen Person, aber in deren Interesse geschlossen wurde oder werden soll (Art. 14 Abs. 1 lit. b).
  • Auftragsbearbeiter brauchen nach wie vor die Zustimmung für Unteraufträge, doch muss diese nicht mehr schriftlich erfolgen.
  • Die besonderen Pflichten bei automatisierten Einzelentscheidungen (Art. 19) entfallen neu, wenn die Entscheidung mit einem Vertrag zusammenhängt und für die betroffene Person positiv ausfällt, und wenn die betroffene Person in die automatisierte Entscheidung ausdrücklich eingewilligt hat.
  • Die Reaktionsfrist des EDÖB nach Meldung einer Folgenabschätzung wurde auf zwei Monate verkürzt (Art. 21 Abs. 2; wenn auch mit der Möglichkeit einer Verlängerung auf drei Monate), und sie ist nicht verpflichtend, wenn ein Datenschutzberater konsultiert wurde.

Einiges wurde präzisiert und – aus Sicht der Wirtschaft – korrigiert oder verbessert:

  • Das DSG ist bei Verfahren nicht mehr anwendbar (Art. E Abs.  2).
  • Eine Datenschutzfolgenabschätzung ist etwa nur noch bei “hohen” Risiken verpflichtend (Art. 20 Abs. 1), wobei neu in einer nicht abschliessenden Aufzählung konkretisiert wird, wann ein hohes Risiko vorliegt (Art. 20 Abs. 2). Eine Datenschutz-Folgenabschätzungen ist ferner u.a. dann nicht mehr verpflichtend, wenn ein bestimmter Verhaltenskodex eingehalten wird.
  • Die Pflicht zur Meldung von Verletzungen (“breach notification”) betrifft nur noch Verletzungen der Datensicherheit, nicht mehr jede unbefugte Datenbearbeitung. Der Inhalt der Meldung an den EDÖB wurde zudem umschrieben, und die Meldung ist nur noch bei hohem Risiko erforderlich (Art. 22).
  • Die Definition des “Profiling” wurde korrigiert (Art. 4 lit. f): nur die automatisierte Bearbeitung von Personendaten ist erfasst.
  • Der Gegenstand der Dokumentationspflicht wurde konkretisiert (Art. 11 Abs. 2).
  • Verhaltenskodizes (im Vorentwurf noch als „Empfehlungen der guten Praxis“ bezeichnet) werden nicht mehr vom EDÖB, sondern ausschliesslich von Beruf-und Wirtschaftsverbänden erarbeitet. Allerdings hat der EDÖB neu die Aufgabe, „Leitfäden und Arbeitsinstrumente“ zu erarbeiten (Art. 52 Abs. 1 lit. g). Zudem verzichtet der Entwurf darauf, die Allgemeinen Rechtsfolgen zu definieren, wenn ein Verhaltenskodex eingehalten wird.
  • Die Pflicht zur Information über die Identität von Auftragsbearbeitern, ein Paradebeispiel des „swiss finish“, wurde gestrichen (Art. 17).
  • Die Informationspflicht gilt bei privaten Bearbeitern nicht, wenn sie sonst gegen Geheimhaltungspflichten verstossen müssten (Art. 18 Abs. 1 lit. c).
  • Medien können sich auch bei der Informationspflicht auf die beim Auskunftsrecht vorgesehenen Ausnahmen berufen (Art. 18 Abs.  1 lit. d).
  • Meldungen von Datenschutzverletzungen dürfen in Strafverfahren ohne Einwilligung des Meldepflichtigen nicht mehr verwendet werden (Art.  22 Abs. 6).
  • Besondere Auskunftspflichten bestehen nur noch bei automatisierten Einzelfallentscheidungen, nicht mehr bei Entscheidungen allgemein (Art. 23 Abs. 2 lit. f). Der Bundesrat erhält zudem wieder die Kompetenz, Ausnahmen von der Kostenlosigkeit vorzusehen (Art. 23 Abs. 6), und die Auskunft darf verweigert werden, wenn das Auskunftsgesuch offensichtlich unbegründet oder querulatorisch ist (Art. 24 Abs. 1 lit. c).
  • Der verwirrende Umgang mit dem Profiling im System der Rechtfertigungsgründe wurde bereinigt (Art. 26).
  • Ein Anspruch auf Berichtigung besteht nicht bei entgegenstehenden gesetzlichen Vorschriften (Art. 28 Abs. 1 lit. a).

Einige Unstimmigkeiten sind geblieben:

  • Privacy by design” soll weiterhin schon ab der Planung von Datenbearbeitungen gelten (Art. 6 Abs. 1). Das kann allerdings nur gelten, wenn dabei konkret auch Daten bearbeitet werden; andernfalls ist das DSG nicht anwendbar. Hersteller sind daher trotz des Wortlauts nicht verpflichtet, dieses Prinzip anzuwenden.
  • Die Beurteilung der Angemessenheit ausländischen Rechts durch den Bundesrat begründet nach wie vor eine Fiktion, nicht eine Vermutung (Art. 14 Abs. 2).
  • Die Bekanntgabe ins Ausland kann weiterhin nicht durch ein überwiegendes privates Interesse gerechtfertigt werden (Art. 14 Abs. 2).
  • Die Freistellung allgemeiner Information (zum Beispiel durch Medien) von den Anforderungen an die Bekanntgabe ins Ausland gilt nur für „automatisierte Informations- und Kommunikationsdienste“ (Art. 15). Ob dies auch für Print-Publikationen gilt, die weitgehend automatisiert versandt wird, ist offen, wäre der Sache nach aber richtig.
  • Einsicht und Löschung von Daten verstorbener Personen („Lex Facebook“) wird nach wie vor im DSG geregelt (Art. 16), obwohl Verstorbene keine Datensubjekte sind.
  • Die Beschränkung der Informationspflicht und des Auskunftsrechts durch Berufung auf überwiegende Privatinteressen bleibt ausgeschlossen, wenn Personendaten an Dritte weitergegeben werden (Art. 18 Abs. 3 lit. c; Art. 24 Abs. 2 lit. a), wohl aus Angst, dass Drittbekanntgaben besonders riskant sind (falls das stimmt, hätte es auch im Rahmen einer Interessenabwägung berücksichtigt werden können). Immerhin müssen die Information und die Auskunft nicht mehr nachgeholt werden, wenn der Grund für die Verweigerung oder Einschränkung entfällt.
  • Eine „automatisierte Einzelentscheidung“ liegt weiterhin immer dann vor, wenn eine automatisierte Entscheidung mit einer Rechtsfolge verbunden ist; eine Qualifizierung fehlt insoweit nach wie vor (Art. 19 Abs. 1).

Einige Unstimmigkeiten, Unklarheiten oder Hindernisse sind neu:

  • Die Vorkehren zur Datensicherheit müssen es neu “ermöglichen”, “Verletzungen der Datensicherheit zu vermeiden” (Art. 7 Abs. 2).
  • Die Bekanntgabe ins Ausland gestützt auf eine Einwilligung ist nur noch zulässig, wenn diese Einwilligung ausdrücklich erfolgt (Art. 14 Abs. 1 lit. a).
  • Es scheint neu fingiert zu werden, dass ein Profiling hochriskant ist, so dass stets eine Folgenabschätzung durchzuführen ist (Art. 20 Abs.  2 lit. b).
  • Die Berufung auf ein besonderes, überwiegendes privates Interesse ist für Kreditauskunfteien nur noch möglich, wenn die betreffenden Daten nicht älter sind als 5 Jahre (Art. 27 Abs. 2 lit. c).
  • Die Informations- und Auskunftspflichten operieren neu mit einer Generalklausel (neben den Mindestangaben), was im Fall einer Busse trotz der Beschränkung auf Vorsatzdelikte Fragen im Zusammenhang mit der genügenden Bestimmtheit aufwerfen wird.

In verfahrensrechtlicher Hinsicht wurden Erleichterungen vorgesehen:

  • Das Opportunitätsprinzip wurde für geringfügige Datenschutzverletzungen verankert (Art. 43 Abs. 2). Gleichzeitig wurde die Anzeigepflicht bei Verstössen (Art. 45 VE) gestrichen. Ferner wird ausdrücklich festgehalten, dass sich der EDÖB auf eine Verwarnung beschränken darf, falls der Bearbeiter während der Untersuchung die erforderlichen Massnahmen getroffen hat, um das Datenschutzrecht wieder einzuhalten.
  • Beschwerden gegen vorsorgliche Massnahmen werden nicht mehr ex lege aufschiebende Wirkung haben.
  • Im Amtshilfeverfahren wird Geheimnisträgern vor einer Informationsbekanntgabe an eine ausländische Behörde i.d.R. Gelegenheit gegeben, dazu Stellung zu nehmen (Art. 49 Abs. 3).
  • Dafür kann der EDÖB neu Gebühren erheben (Art. 53).

Software-Pflegevertrag

  • Rechtlich umfassende Regelung über die Entwicklung einer Software
  • Entwicklung Software mit Pflichtenheft und Terminplan
  • Mitwirkungspflichten des Kunden
  • Regelung der Abnahmeprüfung evtl. Teilabnahmen
  • Vergütung
  • Sachgewährleistung
  • Rechtsgewährleistung
  • Gegenseitige Haftung
  • Projektorganisation
  • Geheimhaltungspflicht

Software-Lizenzvertrag

  • Rechtlich umfassende Regelung über die Lizensierung einer Software
  • Rechte Lizenznehmer zur vertragsgemässe Nutzung
  • Lizenzgebühr
  • Sachgewährleistung
  • Rechtsgewährleistung
  • Gegenseitige Haftung
  • Dauer und Beendigung des Lizenzvertrages

Software-Entwicklungsvertrag

  • Rechtlich umfassende Regelung über die Entwicklung einer Software
  • Entwicklung Software mit Pflichtenheft und Terminplan
  • Mitwirkungspflichten des Kunden
  • Regelung der Abnahmeprüfung evtl. Teilabnahmen
  • Vergütung
  • Sachgewährleistung
  • Rechtsgewährleistung
  • Gegenseitige Haftung
  • Projektorganisation
  • Geheimhaltungspflicht

Mehr auf
MUSTER-URKUNDEN.ch

MUSTER-URKUNDEN.ch bietet digitale juristische Dienstleistungen zu einem Bruchteil der Zeit, Kosten und Komplexität der traditionellen Anwälte und Notare.

Bei uns finden Sie keine Stundenansätze oder Überraschungen bei der Endabrechnung. Wählen Sie einfach online das passende Produkt – dies alles zum Fixpreis. Einfach, transparent und effizient – für alle Parteien.

Share This