Das seit 1993 gültige Schweizer Datenschutzrecht (DSG) wurde einer Totalrevision unterzogen um

• es an die technologische Entwicklung anzupassen
• den Betroffenen mehr Kontrolle über ihre eigenen Daten zu geben und damit die Eigenverantwortung zu fördern
• einen Risiko-basierten Ansatz einzuführen (Erkennen und Bewerten von Risiken)
• und um notwendige Anpassungen an das europäische Datenschutzrecht vorzunehmen (das ist Voraussetzung dafür, dass der EU-Angemessenheitsbeschluss für die Schweiz aufrechterhalten bleibt).

Und es war ein langer Weg bis die neue Dateschutzgesetzgebung in trockenen Tüchern war:

Fahrplan:

¹ Weka Verlag: Datenschutz für Schweizer Unternehmen und Institutionen, Ausgabe 08/2021
² daten:recht – das Datenschutz-Team von Walder Wyss: Täglich grüsst das Murmeltier: Gedanken zum Vorentwurf der Datenschutzverordnung
³ Bundesamt für Justiz: https://www.bj.admin.ch/bj/de/home/aktuell/mm.msg-id-90134.html

Wichtigste Neuerungen der Revision

(Quelle: Reto Franger, Das ist neu am revidierten Schweizer Datenschutzgesetz)

Gegenüber dem geltenden Recht hat dies zu folgenden wichtigsten Neuerungen geführt:

• Kein Schutz mehr von Daten juristischer Personen: Künftig werden lediglich noch natürlich Personen geschützt werden, während die juristischen Personen (z.B. AG, GmbH etc.) sich für ihren Schutz nicht mehr auf das nDSG berufen können. Ihnen verbleibt der Schutz durch das Firmenrecht sowie weitere bestehende Bestimmungen der Rechtsordnung (z.B. Persönlichkeitsschutz nach ZGB, UWG).

• Besonders schützenswerte Personendaten: Die Auflistung der besonders schützenswerten Personendaten wird um genetische Daten sowie um biometrische Daten (z.B. Fingerabdruck oder Retina-Scan) erweitert. Somit gelten auch hier künftig qualifizierte Rechtsfolgen, beispielsweise bei der Einwilligung, der Datenschutz-Folgenabschätzung oder der Datenbekanntgabe an Dritte.

• Profiling und Profiling mit hohem Risiko: Profiling ist jede Art der automatisierten Bearbeitung von Personendaten, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Profiling mit hohem Risiko liegt dann vor, wenn Personendaten automatisiert bearbeitet werden und eine Verknüpfung von Daten die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt. Bei Profiling mit hohem Risiko muss eine allenfalls erforderliche Einwilligung ausdrücklich erfolgen.

• Auftragsbearbeiter: Das Auftragsbearbeitungsverhältnis (Outsourcing, z.B. in die Cloud) kann durch Vertrag oder Gesetz begründet werden. Der Auftragsbearbeiter hat die Daten gleich zu bearbeiten wie der Verantwortliche. Der Verantwortliche hat sich dabei zu vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Die Übertragung an einen Unterauftragnehmer bedarf der vorgängigen Genehmigung des Verantwortlichen.

• Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Der Verantwortliche muss die Datenbearbeitung ab der Planung so gestalten, dass die Datenschutzvorschriften und insbesondere die Bearbeitungsgrundsätze eingehalten werden (Privacy by Design). Weiter müssen die Voreinstellungen so eingestellt sein, dass die Bearbeitung von Personendaten auf das für den Verwendungszweck notwendige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Privacy by Default).

• Erweiterung Informationspflichten: Betroffenen Personen müssen bei der Beschaffung von Personendaten folgende Mindestanforderungen mitgeteilt werden: Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck, allfällige Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfänger, denen Personendaten bekannt gegeben werden sowie bei Bekanntgabe ins Ausland zusätzlich auch der Staat oder das internationale Organ und gegebenenfalls die Garantien zum Schutz der Personendaten.

• Ausbau Auskunftspflichten: Betroffene Personen haben neu Anspruch auf jede Information, welche für sie erforderlich ist, um ihre Rechte nach dem nDSG geltend zu machen. Die Auskunft ist daher nicht auf die abschliessend definierten Mindestinformationen beschränkt.

• Recht auf Datenübertragbarkeit: Mit dem Recht auf Datenherausgabe und Datenübertragung (Datenportabilität) kann die betroffene Person kostenlos vom Verantwortlichen die Herausgabe ihrer Personendaten bzw. deren Übertragung an einen anderen Verantwortlichen in maschinenlesbarer Form verlangen.

• Automatisierte Einzelfallentscheidung: Der Verantwortliche muss die betroffene Person über eine Entscheidung informieren, die ausschliesslich auf einer automatisierten Bearbeitung beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Die betroffene Person muss dabei die Möglichkeit haben, ihren Standpunkt darzulegen und kann verlangen, dass die Entscheidung von einer natürlichen Person geprüft wird.

• Datenschutz-Folgenabschätzung: Weiter ist der Verantwortliche verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Dabei sind die geplante Bearbeitung, die entstehenden Risiken sowie geeignete Massnahmen dagegen zu beschreiben.

• Meldung von Verletzungen des Datenschutzes: Bei einer Datenschutzverletzung hat der Verantwortliche dem EDÖB so rasch als möglich Meldung zu erstatten, wenn grosse Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen bestehen. Zudem müssen in der Regel auch die Betroffenen informiert werden, sofern dies zu ihrem Schutz erforderlich ist. Auch der Auftragsbearbeiter muss eine Verletzung der Datensicherheit so rasch als möglich dem Verantwortlichen melden, der dann die weiteren Schritte einzuleiten hat.

• Sanktionen: Natürliche Personen können bei vorsätzlicher Verletzung der Informations- und Auskunftspflichten sowie der Sorgfaltspflichten neu mit Busse bis CHF 250'000 bestraft werden. Ausreichend ist der Eventualvorsatz, weshalb die Strafbarkeit bereits gegeben ist, wenn eine tatsächlich eingetretene Verletzung in Kauf genommen wurde. Dies führt dazu, dass – im Gegensatz zur DSGVO bei der lediglich Unternehmen oder Organisationen im Fokus stehen – nach dem revidierten DSG Verantwortliche im Unternehmen wie CEOs, CIOs oder andere Funktionen direkt sanktioniert werden können. Die Zuständigkeit liegt dabei bei den kantonalen Staatsanwaltschaften.

Was gerne übersehen wird: bereits das bestehende Datenschutzrecht (DSG / VDSG) fordert umfangreiche Massnahmen und Dokumentationen. Hier die wesentlichen Pflichten nach dem DSG:

• Grenzüberschreitende Bekanntgabe (DSG Art. 6): Sicherstellen, dass im Zielland ein angemessene Schutz gewährleistet ist
• Datensicherheit (DSG Art. 7): angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten von Personendaten
• Auskunftsrecht (DSG Art. 8): 
• Datensammlung (neu: Verzeichnis der Bearbeitungstätigkeiten) (DSG Art. 11): Pflicht zur Erstellung, Veröffentlichung und Anmeldung bei der Aufsichtsbehörde
• und vieles mehr.

Die Tatsache, dass viele Schweizer Unternehmen und Vereine noch nichts bzw. sehr wenig (z.B. nur eine Datenschutzerklärung) zum Thema Datenschutz eingeführt haben, ist wohl auch dem Umstand geschuldet, dass das DSG kaum Strafen für Nichteinhaltung bzw. Datenschutzverletzungen kennt. Das wird sich mit dem nDSG ändern. 
Es ist zu erwarten, dass - wie nach der Inkraftsetzung der EU-DSGVO im Mai 2018 - kurz vor dem Inkrafttreten der revidierten Datenschutzgesetzgebung auch in der Schweiz ein Run auf die verfügbaren Datenschutz-Experten beginnt, um noch kurzfristig die Versäumnisse der Vergangenheit aufzuholen.

Handlungsempfehlung: Beginnen Sie rechtzeitig mit der Umsetzung!

Nützliche Links:

• Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992
• Verordnung zum Bundesgesetz über den Datenschutz (VDSG) vom 14. Juni 1993
• Bundesgesetz über den Datenschutz (nDSG) vom September 2020
• Entwurf der Revision der Verordnung zum Bundesgesetz über den Datenschutz (rev-VDSG) vom 
• EU-Angemessenheitsbeschluss für die Schweiz vom 26.Juli 2000.