Revision des Datenschutzgesetzes auf der Zielgeraden

Beide Räte haben das Reformprojekt zum Schweizer Datenschutzgesetz mittlerweile behandelt. Der Ständerat kann sich aufgrund der aktuellen Lage nun frühestens in der Sondersession ab dem 4. Mai 2020 ein weiteres Mal mit der Vorlage bzw. den noch vorhandenen Differenzen befassen. Deswegen ist ein Inkrafttreten in diesem Jahr unwahrscheinlich. Welche Auswirkungen dies auf den ausstehenden Äquivalenzentscheid der EU hat, wird sich zeigen.
 

Trotz Einigkeit in den meisten Punkten: Verabschiedung des revidierten Gesetzes in diesem Jahr kaum realistisch

Die EU hat den Fahrplan vorgegeben: Bis zum 25. Mai 2020 muss die Europäische Kommission entscheiden, ob sie die Schweiz weiterhin als Drittstaat anerkennt, der einen ausreichenden Datenschutz gewährleistet. Nach dem Abbruch der Frühjahrssession ist klar, dass die Schweiz diesen Fahrplan nicht einhalten kann.

Immerhin: Nach der Debatte zum revidierten Datenschutzgesetz von Anfang März 2020 besteht in folgenden Punkten Klarheit:

  1. Gewerkschaftliche Ansichten oder Tätigkeiten werden als besonders schützenswerte Daten qualifiziert;
  2. die Informationspflicht nach Datenschutzverletzungen besteht in jedem Fall;
  3. eine betroffene Person soll stets Auskunft über das Vorliegen einer automatisierten Entscheidung erhalten; und
  4. für den konzerninternen Datenaustausch sollen gewisse Erleichterungen gelten (so genanntes Konzernprivileg).

Weiterhin Uneinigkeit beim Thema Profiling

Beim Kernstück und eigentlichen «piece de résistance» der gesamten Vorlage, dem sogenannten Profiling, bestehen noch wesentliche Differenzen zwischen den beiden Kammern im Parlament. Dabei geht es um die automatisiert – meist gestützt auf Algorithmen – vorgenommene Erfassung und Bewertung von personenbezogenen Daten. Diese Daten werden verwendet, um daraus Lebensumstände, Persönlichkeitsmerkmale und Verhaltensweisen einer Person abzuleiten oder vorhersehen zu können. Nachdem sich Bundesrat und Nationalrat nicht einigen konnten, erarbeitete der Ständerat eine Art Kompromissvorschlag aus. Der Nationalrat folgte diesem Kompromissvorschlag nicht und will an seiner (liberaleren, aber nicht EU-DSGVO-kompatiblen) Fassung festhalten, womit das Geschäft zurück an den Ständerat geht.

Zudem gibt es auf folgenden Nebenschauplätzen Klärungsbedarf:

  1. Zeitpunkt ab dem Daten für Bonitätsprüfungen nur noch eingeschränkt verarbeitet werden dürfen (nach fünf oder zehn Jahren, ohne oder mit Daten von Minderjährigen);
  2. ob alle genetischen Daten oder nur solche, die eine natürliche Person «eindeutig identifizieren», als besonders schützenswert qualifizieren, und
  3. Mindestinhalt der Informationspflicht (Angabe der Rechte der betroffenen Person und der Absicht einer Datenbearbeitung bei der Prüfung der Kreditwürdigkeit).

EU-Äquivalenzanerkennung in Gefahr

Die Hoffnung bleibt, dass sich das Parlament bei der nächsten Gelegenheit zusammenrauft und einen Kompromiss findet, der insbesondere auch den Äquivalenzvorstellungen der Europäischen Kommission Rechnung trägt. Die Entscheidung über die Angemessenheit des Datenschutzniveaus des sich kurz vor der Zielgeraden befindenden revidierten DSG liegt alleine bei der EU. Ohne die Anerkennung der Angemessenheit wird die Datenübermittlung für Schweizer Unternehmen komplizierter, weil die Einhaltung der Datenschutzanforderungen mit entsprechenden Garantien nachgewiesen werden muss. Der Verlust der Gleichwertigkeit des Datenschutzniveaus hätte weitreichende Folgen und könnte einen Papierkrieg (in der Form von Datenverarbeitungsverträgen) zwischen der Schweiz und den betroffenen EU-Mitgliedsstaaten auslösen. Die EU hat aufgrund der ausserordentlichen Umstände aber auch die Möglichkeit zuzuwarten und die heute bestehende Äquivalenz-Entscheidung nach altem Recht weiterhin anzuerkennen, bis die Schweiz mit einem EU-kompatiblen Datenschutzgesetz nachziehen kann.

Vorbereitung auf das revidierte Datenschutzgesetz bereits jetzt möglich

Auch wenn aktuell noch Differenzen bestehen: das Gros der Bestimmungen ist bereits heute bekannt und es ist damit zu rechnen, dass die längst fällige Revision Anfang 2021 unter Dach und Fach gebracht werden kann. Die Unternehmen sollten die Zeit bis dahin nutzen, sich bestmöglich auf die neuen datenschutzrechtlichen Anforderungen vorzubereiten. Für diejenigen, die sich bisher nicht nach der EU-DSGVO zu orientieren hatten, werden diese Vorbereitungen voraussichtlich erheblichen Aufwand verursachen.

03.04.2020




Felder mit einem * müssen ausgefüllt werden.

Die von Ihnen angegebenen Daten werden ausschliesslich zum Personalisieren unseres Newsletters verwendet und nicht an Dritte weiter gegeben. Die Angaben sind freiwillig. Zu statistischen Zwecken führen wir ein Link-Tracking durch.