Mit einiger Verzögerung hat der Bundesrat kurz vor Weihnachten den Vorentwurf zu einer Totalrevision des Bundesgesetzes über den Datenschutz (Datenschutzgesetz, DSG) veröffentlicht. Die Medienmitteilung sowie die begleitenden Unterlagen können unter folgendem Link abgerufen werden:

Zur Medienmitteilung und begleitenden Unterlagen (EJPD)

Die Revision bezweckt den Datenschutz an die veränderten technologischen Verhältnisse anzupassen und den Entwicklungen auf europäischer Ebene Rechnung zu tragen, insbesondere hinsichtlich der EU-Datenschutzgrundverordnung (DSGVO; Inkrafttreten 25. Mai 2018) und der Datenschutzkonvention des Europarates (SEV 108; Entwurf).

Die Vorlage zielt darauf ab, die Transparenz von Datenbearbeitungen zu erhöhen und die Rechte der Personen, über die Daten bearbeitet werden, zu stärken. Um dies zu erreichen, sollen die Informationspflichten der Organe, die für die Datenbearbeitung verantwortlich sind, ausgeweitet werden. So ist eine allgemeine Informationspflicht bei der Beschaffung von Personendaten vorgesehen; auch soll eine betroffene Person darüber informiert werden, wenn eine Entscheidung ausschliesslich basierend auf einer automatisierten Datenverarbeitung erfolgt. Ferner sind im Vorentwurf weitere Pflichten, insbesondere Melde- und Dokumentationspflichten vorgesehen.

Der Vorentwurf hält fest, dass bei Datenbearbeitungen mit voraussichtlich erhöhtem Risikopotential vorgängig eine Datenschutz-Folgenabschätzung durchzuführen ist. Ferner sollen Datenbearbeitungen neu von Beginn weg so konzipiert werden, dass die Risiken einer Persönlichkeitsverletzung minimiert werden. Dies soll einerseits durch entsprechende technische Massnahmen (Privacy by Design) und andererseits durch datenschutzfreundliche Voreinstellungen (Privacy by Default) bewerkstelligt werden.

Nicht nur die Rechte der betroffenen Personen sollen gestärkt werden, sondern auch die Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). So soll der EDÖB beispielsweise nicht nur die Befugnis erhalten, Datenschutzverstösse zu untersuchen, sondern im Anschluss daran auch Verfügungen erlassen können. Der Vorentwurf enthält überdies Bestimmungen zur Selbstregulierung. Der EDÖB soll künftig «Empfehlungen der guten Praxis» erlassen oder genehmigen und dabei die interessierten Kreise frühzeitig miteinbinden. Die Regelung bezüglich der Datenbearbeitung durch Dritte (Auftragsdatenbearbeitung) sollen grundsätzlich unverändert bleiben. Auch Datenbekanntgaben ins Ausland sollen weiterhin möglich sein, wenn auch Einzelheiten und Modalitäten geändert werden sollen. Zudem sollen die Strafbestimmungen verschärft werden. In bestimmten Fällen sieht der Vorentwurf Bussen bis zu CHF 500'000 vor (derzeit maximal CHF 10'000).

Klar ist: Die neuen Bestimmungen werden wesentliche Änderungen in Bezug auf die Datenbearbeitung und den Datenschutz mit sich bringen. Wir empfehlen daher, sich frühzeitig mit den neuen Bestimmungen vertraut zu machen und die erforderlichen Vorkehrungen zu treffen.

Das Vernehmlassungsverfahren dauert bis am 4. April 2017. Interessierte Kreise sind eingeladen, entsprechende Stellungnahmen einzureichen. Es ist davon auszugehen, dass das neue DSG im Sommer 2018 in Kraft treten wird.

Für weitere Auskünfte stehen wir Ihnen gerne im Rahmen des Zurich Center for Information Technology and Privacy (ITPZ) zur Verfügung.