Auf den ersten Blick hat das revidierte Datenschutzgesetz, das voraussichtlich 2022 in Kraft tritt, grosse Ähnlichkeit mit dem aktuellen. Einige Anpassungen sind redaktioneller Art, andere sind der europäischen Datenschutzgrundverordnung (DSGVO) geschuldet.
Insgesamt bringt die Revision eine Stärkung der Betroffenenrechte und der Transparenz. Auch der risikobasierte Ansatz bei der Datenbearbeitung wird gestärkt. Die Datenschutz-Compliance verlangt mehr Beachtung und weitergehende Dokumentationen. Der schweizerische Ansatz bleibt: Eine Datenbearbeitung ist grundsätzlich erlaubt.
Daten juristischer Personen nicht mehr erfasst
Bereits in Artikel 2 kommt die erste, auf den ersten Blick bedeutende, in der Praxis aber kaum relevante Änderung: Das revidierte Datenschutzgesetz (nDSG) gilt nur noch für die Bearbeitung von Daten natürlicher Personen. Der datenschutzrechtliche Schutz für juristische Personen war nur von geringer praktischer Relevanz. Deren Schutz ist weiterhin durch den allgemeinen Persönlichkeitsschutz von Artikel 28 des Zivilgesetzbuches, auf den sich auch juristische Personen berufen können, durch das Bundesgesetz über den unlauteren Wettbewerb sowie das Urheberrecht gewährleistet (vgl. Regina E. Aebi-Müller im Handkommentar zum Schweizer Privatrecht in Note 1 zu Artikel 28).
Weiter sind in der Ausnahmeregelung von Artikel 2 nDSG die «hängigen» Verfahren nicht mehr aufgeführt. Vielmehr wird allgemein auf das anwendbare Verfahrensrecht verwiesen. Damit sollen Normenkollisionen verhindert werden. Das Verfahrensrecht schützt die Persönlichkeitsrechte der betroffenen Personen und stellt einen gleichwertigen Schutz dar.
Mehr Schutz für genetische und biometrische Daten
Neu wurden die «besonders schützenswerten Personendaten» erweitert um die Begriffe Ethnie, genetische sowie biometrische Daten.
Neuerungen fallen auch beim «Profiling sowie Profiling mit hohem Risiko» auf (Artikel 5 litera f und g nDSG): Bis anhin war der Begriff «Persönlichkeitsprofil» im DSG definiert, der eine Besonderheit der schweizerischen Gesetzgebung war. Bei Profiling geht es um die automatisierte Bearbeitung von Personendaten, analog der DSGVO, um persönliche Aspekte wie beispielsweise Arbeitsleistung, Gesundheit, Interessen, Mobilität. Entscheidend ist, ob die betroffene Person bewertet wird.
«Profiling mit hohem Risiko» kam erst am Schluss der Beratung ins Gesetz. Nicht jedes Profiling ist heikel. Deshalb suchte das Parlament die Lösung mit dem Begriff «Profiling mit hohem Risiko». Dabei werden Begriffe aus der alten Definition des Persönlichkeitsprofils aufgenommen, wonach das Profiling «eine Beurteilung wesentlicher Aspekte der Persönlichkeit» umfasst. Das Risiko muss für die betroffene Person zudem hoch sein.
Gehen Personendaten verloren, werden sie gelöscht, vernichtet oder verändert beziehungsweise Unbefugten offengelegt oder zugänglich gemacht, stellt dies eine «Verletzung der Datensicherheit» (Artikel 5 litera h nDSG). Nicht relevant ist beim Verlust eines Datenträgers, ob Unbefugte tatsächlich Zugang hatten. Es genügt die Tatsache, dass die Daten verloren gingen, wie es in der Botschaft auf Seite 7022 heisst.
Die Grundsätze in Artikel 6 nDSG unterscheiden sich nicht wesentlich von den bestehenden. Die Transparenz, bis anhin in Artikel 4 Absatz 4 DSG geregelt, lässt sich sowohl durch die verstärkte Informationspflicht als auch über Treu und Glauben herleiten. Das hielt David Rosenthal in «Das neue Datenschutzgesetz» im «Jusletter» vom 16. November 2020 fest. Neu wird dafür in Artikel 6 Absatz 4 nDSG ausdrücklich verlangt, dass Personendaten sobald als möglich zu vernichten oder zu anonymisieren sind. Bis anhin war dies aus dem Verhältnismässigkeitsgrundsatz zu lesen. Dadurch wird betont, dass bei den neuen Speichermöglichkeiten die Vernichtung oder zumindest Anonymisierung der Daten nicht vernachlässigt werden dürfen.
Im Internet neu ohne Benutzerprofil bestellen
Die aus der DSGVO bekannten Prinzipien von Privacy by Design und Privacy by Default sind neu in Artikel 7 nDSG aufgenommen. Mit der datenschutzfreundlichen Technik (Privacy by Design) sollen Technik und Recht bewusster zusammenwirken. Als Beispiel für eine datenschutzfreundliche Voreinstellung (Privacy by Default) wird in der Botschaft erwähnt, dass man als Kunde die Möglichkeit erhält, im Internet einzukaufen, ohne dass ein Benutzerprofil erstellt werden muss, wobei minimale Angaben genügen. Dadurch sollen die Einflussmöglichkeiten der betroffenen Personen gestärkt werden.
Weiterhin freiwillig ist die Ernennung eines Datenschutzberaters (bis anhin Datenschutzverantwortlicher). Geregelt ist dies in Artikel 10 nDSG. Die Erleichterungen für Unternehmen mit Datenschutzberater sind marginal: Es braucht keine Konsultation des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb), wenn die Datenschutzfolgeabschätzung ein hohes Risiko für Betroffene ergibt (Artikel 23 nDSG).
Informationspflicht auf alle Personendaten ausgedehnt
Anstelle eines Verzeichnisses der Datensammlungen muss ein Verzeichnis der Bearbeitungstätigkeiten geführt werden (Artikel 12 nDSG). Der Bundesrat kann aber für Unternehmen mit weniger als 250 Angestellten und sofern deren Datenbearbeitung ein geringes Risiko darstellt, Ausnahmen festlegen. Dies dürfte in der Verordnung geregelt werden. Die Mindestanforderungen an ein Datenbearbeitungsverzeichnis sind in Artikel 12 Absatz 2 nDSG aufgeführt.
Bei den Pflichten des Datenbearbeiters werden die Transparenz der Datenbearbeitung erhöht und die Rechte der Betroffenen gestärkt. Wie bereits im heutigen Gesetz in Artikel 14 besteht bei der Beschaffung von Personendaten eine Informationspflicht – neu nicht mehr nur bei besonders schützenswerten Personendaten, sondern bei allen Personendaten (Artikel 19 nDSG). Ausnahmen sind in Artikel 20 nDSG geregelt. Beispielsweise muss nicht jedes Mal informiert werden, wenn eine Person aufgrund einer früheren Information weiss, dass weitere Daten beschafft werden oder dass eine Bearbeitung gestützt auf eine gesetzliche Grundlage erfolgt.
Werden Entscheide rein automatisiert getroffen, muss die betroffene Person darüber informiert werden, sofern mit dieser Entscheidung Rechtsfolgen verbunden sind oder wenn ein Nachteil für die betroffene Person entsteht. Dies ist beispielsweise beim Abschluss oder der Kündigung eines Vertrags der Fall (Artikel 21 nDSG).
Die nächsten zwei Punkte haben mit dem risikobasierten Ansatz zu tun: Es muss eine Datenschutz-Folgeabschätzung gemacht werden, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte der Betroffenen bedeutet (Artikel 22 nDSG). Diese Risikoabschätzung muss durch den Verantwortlichen gemacht und dokumentiert werden. Weiter muss er Datensicherheitsverletzungen dem Edöb melden, wenn ein hohes Risiko für die betroffene Person entstehen könnte (Artikel 24 nDSG).
Auskunftsbegehren vor Klagen nicht mehr möglich
Das Auskunftsrecht wurde erweitert, indem der Umfang der Informationen klar definiert und ergänzt wurde (Artikel 25 nDSG). Neu ist die Aufbewahrungsdauer der Daten ebenfalls mitzuteilen. Demgegenüber sollen Informationen nur noch herausgegeben werden, um die Rechte nach Datenschutz wahrnehmen zu können. Eine Beschaffung von Beweismitteln in Zivilprozessen soll laut Botschaft nicht via Datenschutz erfolgen.
Neu besteht ein Recht auf Datenherausgabe oder -übertragung in einem gängigen elektronischen Format (Artikel 28 nDSG), analog der DSGVO. Das hat auch wettbewerbsrechtliche Zwecke: Ein Wechsel von einem Unternehmen zu einem anderen soll erleichtert werden.
Die bisherigen Bestimmungen zur Datenbearbeitung durch private Personen werden weitestgehend beibehalten. Einzig bei der Prüfung der Kreditwürdigkeit braucht es neu vier Voraussetzungen (Artikel 31 Absatz 2 Buchstabe c nDSG): Erstens darf die Sammlung keine besonders schützenswerten Personendaten oder Profile mit hohen Risiken enthalten, zweitens dürfen Dritte nur Daten erhalten, die sie für die Abwicklung eines Vertrags brauchen, drittens dürfen die Daten nicht älter als zehn Jahre sein und viertens dürfen nur Daten volljähriger Personen gespeichert werden.
Die Strafbestimmungen wurden verschärft, indem die Bussenobergrenze auf 250 000 Franken angehoben wurde. Neu steht auch die Missachtung von Verfügungen unter Strafandrohung (Artikel 63 nDSG). Dasselbe gilt für die Verletzung von Sorgfaltspflichten wie beispielsweise der Mindestanforderung an die Datensicherheit sowie die Verletzung der beruflichen Schweigepflicht bei allen Personendaten – nicht nur bei den besonders schützenswerten.
Fazit: Das revidierte Datenschutzgesetz bringt nicht ein völlig neues Gesetz. Die Befugnisse des Edöb wurden erweitert, die Rechte der betroffenen Personen gestärkt und die strafrechtlichen Sanktionen ausgebaut. Eine Annäherung an die DSGVO ist unverkennbar, dennoch handelt es sich nicht um eine Abschrift derselben. Das Gesetz hat die Anzahl Artikel fast verdoppelt, bleibt aber lesbar und verständlich.
Im Streitfall Beschaffung von Beweisen erschwert
Aus anwaltlicher Sicht zentral: Das Auskunftsrecht soll gemäss dem Willen des Gesetzgebers nicht mehr «missbraucht» werden können, um an Beweismittel zu gelangen. War es bis anhin wichtig, gerade bei arbeitsrechtlichen Streitigkeiten, möglichst früh ein Auskunftsbegehren zu stellen, soll dies schwieriger werden. Insbesondere ein Haftpflichtversicherer wird bei einer Streitigkeit keine Daten herausgeben müssen.
Inwiefern das Sammeln der Beweismittel der Gegenpartei vor einem Prozess tatsächlich erheblich erschwert wird, wie dies vom Gesetzgeber gewünscht wird, ist fraglich. Ebenso offen ist, ob es aufgrund der erhöhten Transparenz und Kontrollmöglichkeiten durch die betroffenen Personen zu mehr Klagen kommen wird. Unternehmen werden aber mehr Ressourcen für die Datenschutz-Compliance brauchen, die Dokumentationspflicht nimmt zu. Das Augenmass sollte gewahrt bleiben. Sowohl betroffene Personen als auch Unternehmen werden es danken, wenn sie nicht mit übermässig langen Informationen zugedeckt werden.
