Aktualisierung: Am 31. August 2022 wurde der finale Text publiziert, siehe hierzu meinen Blogbeitrag zur revision-dsv
In der Herbstsession 2020 hat das Parlament das neue Datenschutzgesetz (nDSG) verabschiedet. Damit dieses in Kraft treten kann, muss die Verordnung zum Bundesgesetz über den Datenschutz (VDSG) angepasst werden. Am 23. Juni 2021 hat der Bundesrat die Vernehmlassung zum Entwurf der Verordnung zum DSG eröffnet.[1] Der Entwurf der VDSG (E-VDSG) konkretisiert zahlreiche Bestimmungen im nDSG. Nachfolgend die wichtigsten Regelungen.
Mindestanforderungen an die Datensicherheit
Der Bundesrat überarbeitete und ergänzte die Vorschriften an die Datensicherheit, um sie auf den heutigen Stand der Technik abzustimmen und um den Vorgaben der Schengen-relevanten Richtlinie (EU) 2016/680 zu genügen. Dabei wurde auch Wert auf die Kompatibilität mit der Datenschutz-Grundverordnung (DSGVO) gelegt, damit Schweizer Unternehmen, welche die DSGVO-Konformität gewährleisten müssen deren Anforderungen erfüllen. Bezüglich Mindesanforderungen geht der E-VDSG von einem risikobasierten Ansatz aus. Soweit angemessen, müssen die Massnahmen zur Gewährleistung der Datensicherheit folgende Schutzziele erreichen: Zugriffskontrolle, Zugangskontrolle, Datenträgerträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Bekanntgabekontrolle, Wiederherstellung, Verfügbarkeit, Zuverlässigkeit, Datenintegrität und Erkennung.[2]
Vorgaben an die Protokollierung
Weiter hat der Bundesrat die Protokollierungspflicht ausgebaut und konkretisiert. Neu müssen alle privaten Verantwortlichen alle automatisierten Bearbeitungen von Personendaten protokollieren, bei denen sich aus der Datenschutz-Folgenabschätzung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen ergibt. Die Protokolle sind während zwei Jahren getrennt vom System, in welchem die Personendaten bearbeitet werden, aufzubewahren. [3]
Modalitäten der Informationspflichten
Nachdem das nDSG die Informationspflicht grundsätzlich auf alle Bearbeitungen ausgeweitet hat,[4] sieht der E-VDSG nun vor, dass die Informationen über die Beschaffung von Personendaten den betroffenen Personen in präziser, verständlicher und leicht zugänglicher Form mitzuteilen sind. [5]
Modalitäten der Bearbeitung durch den Auftragsverarbeiter
Der Verantwortliche, der die Bearbeitung von Personendaten einem Auftragsbearbeiter überträgt, bleibt für den Datenschutz verantwortlich. Er muss sicherstellen, dass die Daten vertrags- oder gesetzesgemäss bearbeitet werden. Untersteht der Auftragsbearbeiter dem nDSG nicht, so muss sich der Verantwortliche vergewissern, dass andere gesetzliche Bestimmungen einen gleichwertigen Datenschutz gewährleisten. Andernfalls muss er diesen auf vertraglichem Wege sicherstellen.[6]
Rechte der betroffenen Personen
Nach E-VDSG kann das Auskunftsbegehren mit dem Einverständnis des Verantwortlichen zukünftig auch in mündlicher Form gestellt werden kann.[7] Im Einvernehmen mit dem Verantwortlichen oder auf dessen Vorschlag hin kann die betroffene Person ihre Daten nach wie vor auch an Ort und Stelle einsehen.[8] Im Übrigen sind die Modalitäten bzgl. Auskunftsrecht sinngemäss anwendbar auf die mit dem nDSG neu eingeführten Rechte auf Datenherausgabe und -übertragung.[9]
Inhalt der Meldung der Verletzung Datensicherheit
Nach nDSG hat der Verantwortliche Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, so rasch als möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden.[10] Der E-VDSG regelt den Inhalt dieser Meldung:[11]
- die Art der Verletzung;
- soweit möglich den Zeitpunkt und die Dauer der Verletzung;
- soweit möglich die Kategorien und ungefähre Anzahl der betroffenen Personendaten;
- soweit möglich die Kategorien und ungefähre Anzahl der betroffenen Personen;
- die Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;
- welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben oder die Folgen zu mildern;
- den Namen und die Kontaktdaten einer Ansprechperson.
Ausnahme der Pflicht zur Führung eines Verzeichnisses der Bearbeitungen
Der E-VDSG sieht vor, Unternehmen und andere privatrechtliche Organisationen, die am Anfang eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen von der Pflicht ein Verzeichnis der Bearbeitungstätigkeiten zu führen zu befreien. Ausgenommen hiervon sind Unternehmen oder natürliche Personen, die eine der folgenden Voraussetzungen erfüllen:
- Es werden umfangreich besonders schützenswerte Personendaten bearbeitet;
- Es wird ein Profiling mit hohem Risiko durchgeführt.
Kriterien für Bekanntgabe von Personendaten ins Ausland
Der E-VDSG regelt neu die Kriterien, welche für die Bekanntgabe von Personendaten ins Ausland zu berücksichtigen sind.[12] Im Anhang 1 der Verordnung sind tabellarisch diejenigen Staaten und internationalen Organe aufgeführt, welche über ein angemessenes Datenschutzniveau verfügen. Die Liste wird periodisch neu beurteilt.[13] Die Angemessenheitsliste ist zurzeit noch nicht definitiv, da die Angemessenheitsbeschlüsse der Europäischen Kommission und die Entwicklungen bei den Ratifikationen des revidierten Übereinkommens SEV 108 abgewartet werden.[14]
Ausblick
Die Vernehmlassung zum Entwurf der Verordnung zum DSG dauert bis am 14. Oktober 2021. Die VDSG soll gleichzeitig mit dem neuen DSG in der zweiten Jahreshälfte 2022 in Kraft treten. Der Bundesrat wird zu gegebener Zeit das genaue Datum festlegen. Was bis zum Zeitpunkt des Inkrafttretens zum neuen Datenschutzgesetz zu tun ist, sehen Sie in meinem Blogbeitrag vom 1. Mai 2021. Gleichzeitig mit Inkrafttreten des neuen DSG wird die Schweiz auch die modernisierte Datenschutzkonvention 108 des Europarates ratifizieren.[14]
[1] Die Mitteilung des Bundesrates hier.
[2] Art. 2 E-VDSG.
[3] Art. 3 E-VDSG.
[4] Art. 19 nDSG.
[5] Art. 13 E-VDSG.
[6] Art. 6 E-VDSG.
[7] Art. 20 Abs. 1 E-DSG.
[8] Art. 20 Abs. 2 E-VDSG.
[9] Art. 24 E-VDSG.
[10] Art. 24 Abs. 1 nDSG.
[11] Art. 19 E-VDSG.
[12] Art. 8 E-VDSG.
[13] Art. 8 Abs. 3 E-VDSG.
[14] Erläuternder Bericht zur Eröffnung des Vernehmlassungsverfahrens des E-VDSG, S. 49.
