Das neue Datenschutzgesetz

Ein neues Datenschutzgesetz (nDSG) war längst überfällig. Das fachliche und politische Tauziehen nahm viel Zeit in Anspruch; das Parlament hat sich 2019/2020 intensiv mit der Vorlage auseinandergesetzt, wobei bis zum Ende nicht ganz klar war, ob sich die Räte finden würden oder ob das neue DSG nicht doch noch Schiffbruch erleiden könnte. Angesichts der Relevanz des Gesetzes und der teilweise äusserst komplexen Fragestellungen ist die Langwierigkeit dieses politischen Prozesses nachvollziehbar.

Das Wichtigste vorab: Das revidierte DSG ist weder ein Abklatsch noch eine Kopie der EU-Datenschutz-Grundverordnung (DSGVO). Schweizer Eigenheiten wurden durchaus beibehalten oder Neue eingeführt. Ein gewisser Angleich an die DSGVO bzw. eine Übernahme von Regeln daraus war jedoch unumgänglich. Im Internet und in der Literatur finden sich bereits zahlreiche Zusammenfassungen und Aufsätze, die einen vertieften und hilfreichen Vergleich zum geltenden Schweizer Recht und zur DSGVO erlauben.¹ An dieser Stelle wird daher nur eine subjektive Auswahl der wichtigsten Neuerungen aufgelistet:

Besonders schützenswerte Personendaten:

Der Begriff der besonders schützenswerten Personendaten ist zwar gleichlautend mit dem entsprechenden Begriff der DSGVO, allerdings ist die Definition nicht deckungsgleich und gegenüber der bestehenden Regelung im geltenden DSG weiter gefasst. Neuerdings fallen unter diese Kategorie auch Daten über die ethnische Herkunft sowie genetische und biometrische Daten, sofern sie die Identifikation einer natürlichen Person zulassen.

Profiling:

Im Schweizer Datenschutzgesetz neu und von der DSGVO übernommen ist das Konzept des Profilings. Profiling ist vereinfacht gesagt die maschinelle Auswertung von Personendaten wie bspw. Daten bzgl. Gesundheit, Aufenthaltsort, etc. Es gibt einerseits das «Profiling» und andererseits das «Profiling mit hohem Risiko». Letzteres ist ein Profiling, das Daten so verknüpft, dass eine Beurteilung wesentlicher Aspekte der Persönlichkeit möglich ist. Dies kommt dem bereits bekannten aber im nDSG nicht mehr enthaltenen Konzept des Persönlichkeitsprofiles sehr nahe.² Der Begriff «mit hohem Risiko» deutet bei dieser Art von Profiling auf eine erhöhte Wahrscheinlichkeit einer Persönlichkeitsverletzung hin. Das nDSG sieht für das Profiling kein grundsätzliches Einwilligungserfordernis der betroffenen Person vor.

Erweiterte Informationspflicht:

Die Informationspflichten der oder des Verantwortlichen (d.h. diejenige Person oder dasjenige Bundesorgan, die über Zweck und Mittel der Datenbearbeitung entscheidet) werden stark ausgebaut. Einerseits muss neu grundsätzlich bei jeder Beschaffung von Personendaten informiert werden (nicht mehr nur bei besonders schützenswerten Personendaten) und andererseits wurde die Informationspflicht inhaltlich erweitert. Gemäss nDSG müssen als Mindestinformationen die Identität und die Kontaktdaten der oder des Verantwortlichen, der Bearbeitungszweck und ggf. die Empfängerkreise der Personendaten angegeben werden, sofern keine Datenbekanntgabe ins Ausland stattfindet. In letzterem Fall kommen weitere Informationspflichten dazu.

Betroffenenrechte:

Betroffenen Personen (darunter versteht das Gesetz natürliche Personen, deren Personendaten bearbeitet werden) steht neu, nebst den bereits bekannten und teilweise ausgeweiteten Rechten der Information (siehe vorstehend) und Auskunft, das Recht auf Datenherausgabe und -übertragung zu. Da vermehrt Software (häufig spricht man auch von Künstlicher Intelligenz) eingesetzt wird und dieser teilweise eine Entscheidkompetenz zukommt (z.B. softwarebasierte Selektion von Dossiers im Bewerbungsprozess) wurde bei diesen sogenannten automatisierten Einzelentscheidungen ein Widerspruchsrecht verankert. In dessen Rahmen kann verlangt werden, dass die automatisierte Entscheidung von einer natürlichen Person überprüft wird.

Strafbestimmungen:

Seit Jahren ist die Tendenz zu beobachten, dass zur Durchsetzung von Regulierungen verschiedenen Verwaltungsbehörden eine Sanktionskompetenz zuerkannt wird und Gesetze mit (verschärften) Strafbestimmungen bestückt werden. Dies hat nun auch Niederschlag im nDSG gefunden. Strafbestimmungen gibt es bereits im geltenden DSG, doch wurde der Tatbestandskatalog deutlich erweitert und der Bussenrahmen auf CHF 250'000 erhöht. Da im Gegensatz zur DSGVO nicht ein Unternehmen, sondern jeweils die verantwortliche natürliche Person haftbar gemacht werden kann, ist diese Bussenerhöhung beachtlich.

Berufsgeheimnis:

Regulierte Berufe und Branchen wie bspw. Anwälte oder Banken kennen bereits gesetzlich verankerte und mit Strafe bewehrte Berufsgeheimnisse. Das nDSG führt nun ein Berufsgeheimnis für alle Berufe ein. So wird neuerdings mit Busse bis CHF 250'000 bestraft, wer geheime Personendaten vorsätzlich offenbart, die bei der Ausübung des Berufes zur Kenntnis gelangt sind. Zu beachten ist ebenfalls, dass diese Geheimnispflicht explizit auch für die Zeit nach der Beendigung des Berufes (oder der Ausbildung) gilt. 

Interessant und erwähnenswert am neuen DSG ist, dass der im Zuge der Revision seit längerem von Fachkreisen und Politik geforderte Straftatbestand des Identitätsmissbrauchs nun seinen Weg in das Strafgesetzbuch gefunden hat.

Die Revision des schweizerischen Datenschutzes führt gesamthaft gesehen zu einer Annäherung an den europäischen Standard. Schweizer Eigenheiten wurden jedoch bewahrt. Mit Spannung wird nun die Vernehmlassung der revidierten Verordnung (voraussichtlich im ersten Quartal 2021) erwartet. Doch bereits zum heutigen Zeitpunkt kann gesagt werden, dass Unternehmen mit einem bereits eingeführten DSGVO-Standard bei der Umsetzung der nDSG keine Mühe haben werden.

¹ Siehe bspw. zahlreiche Kommentare und Aufsätze auf www.datenrecht.ch, eine Synopse des DSG, DSGVO und revDSG von Meyenberger Lustenberger Lachenal (MML) vom 19.10.2020, abrufbar unter www.mml-news.com oder David Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16.11.2020.

² Siehe zu diesem Thema Rosenthal, das neue Datenschutzgesetz, RN 27.