Vernehmlassung zum Entwurf der Verordnung zum DSG

Juli 4, 2021

Aktualisierung: Am 31. August 2022 wurde der finale Text publiziert, siehe hierzu meinen Blogbeitrag zur revision-dsv

In der Herbstsession 2020 hat das Parlament das neue Datenschutzgesetz (nDSG) verabschiedet. Damit dieses in Kraft treten kann, muss die Verordnung zum Bundesgesetz über den Datenschutz (VDSG) angepasst werden. Am 23. Juni 2021 hat der Bundesrat die Vernehmlassung zum Entwurf der Verordnung zum DSG eröffnet.[1] Der Entwurf der VDSG (E-VDSG) konkretisiert zahlreiche Bestimmungen im nDSG. Nachfolgend die wichtigsten Regelungen.

Mindestanforderungen an die Datensicherheit

Der Bundesrat überarbeitete und ergänzte die Vorschriften an die Datensicherheit, um sie auf den heutigen Stand der Technik abzustimmen und um den Vorgaben der Schengen-relevanten Richtlinie (EU) 2016/680 zu genügen. Dabei wurde auch Wert auf die Kompatibilität mit der Datenschutz-Grundverordnung (DSGVO) gelegt, damit Schweizer Unternehmen, welche die DSGVO-Konformität gewährleisten müssen deren Anforderungen erfüllen. Bezüglich Mindesanforderungen geht der E-VDSG von einem risikobasierten Ansatz aus. Soweit angemessen, müssen die Massnahmen zur Gewährleistung der Datensicherheit folgende Schutzziele erreichen: Zugriffskontrolle, Zugangskontrolle, Datenträgerträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Bekanntgabekontrolle, Wiederherstellung, Verfügbarkeit, Zuverlässigkeit, Datenintegrität und Erkennung.[2]

 

Vorgaben an die Protokollierung

Weiter hat der Bundesrat die Protokollierungspflicht ausgebaut und konkretisiert. Neu müssen alle privaten Verantwortlichen alle automatisierten Bearbeitungen von Personendaten protokollieren, bei denen sich aus der Datenschutz-Folgenabschätzung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen ergibt. Die Protokolle sind während zwei Jahren getrennt vom System, in welchem die Personendaten bearbeitet werden, aufzubewahren. [3]

 

Modalitäten der Informationspflichten

Nachdem das nDSG die Informationspflicht grundsätzlich auf alle Bearbeitungen ausgeweitet hat,[4] sieht der E-VDSG nun vor, dass die Informationen über die Beschaffung von Personendaten den betroffenen Personen in präziser, verständlicher und leicht zugänglicher Form mitzuteilen sind. [5]

 

Modalitäten der Bearbeitung durch den Auftragsverarbeiter

Der Verantwortliche, der die Bearbeitung von Personendaten einem Auftragsbearbeiter überträgt, bleibt für den Datenschutz verantwortlich. Er muss sicherstellen, dass die Daten vertrags- oder gesetzesgemäss bearbeitet werden. Untersteht der Auftragsbearbeiter dem nDSG nicht, so muss sich der Verantwortliche vergewissern, dass andere gesetzliche Bestimmungen einen gleichwertigen Datenschutz gewährleisten. Andernfalls muss er diesen auf vertraglichem Wege sicherstellen.[6]

 

Rechte der betroffenen Personen

Nach E-VDSG kann das Auskunftsbegehren mit dem Einverständnis des Verantwortlichen zukünftig auch in mündlicher Form gestellt werden kann.[7] Im Einvernehmen mit dem Verantwortlichen oder auf dessen Vorschlag hin kann die betroffene Person ihre Daten nach wie vor auch an Ort und Stelle einsehen.[8] Im Übrigen sind die Modalitäten bzgl. Auskunftsrecht sinngemäss anwendbar auf die mit dem nDSG neu eingeführten Rechte auf Datenherausgabe und -übertragung.[9]

 

Inhalt der Meldung der Verletzung Datensicherheit

Nach nDSG hat der Verantwortliche Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, so rasch als möglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden.[10] Der E-VDSG regelt den Inhalt dieser Meldung:[11]

  • die Art der Verletzung;
  • soweit möglich den Zeitpunkt und die Dauer der Verletzung;
  • soweit möglich die Kategorien und ungefähre Anzahl der betroffenen Personendaten;
  • soweit möglich die Kategorien und ungefähre Anzahl der betroffenen Personen;
  • die Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;
  • welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben oder die Folgen zu mildern;
  • den Namen und die Kontaktdaten einer Ansprechperson.

 

Ausnahme der Pflicht zur Führung eines Verzeichnisses der Bearbeitungen

Der E-VDSG sieht vor, Unternehmen und andere privatrechtliche Organisationen, die am Anfang eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie natürliche Personen von der Pflicht ein Verzeichnis der Bearbeitungstätigkeiten zu führen zu befreien. Ausgenommen hiervon sind Unternehmen oder natürliche Personen, die eine der folgenden Voraussetzungen erfüllen:

  • Es werden umfangreich besonders schützenswerte Personendaten bearbeitet;
  • Es wird ein Profiling mit hohem Risiko durchgeführt.

 

Kriterien für Bekanntgabe von Personendaten ins Ausland

Der E-VDSG regelt neu die Kriterien, welche für die Bekanntgabe von Personendaten ins Ausland zu berücksichtigen sind.[12] Im Anhang 1 der Verordnung sind tabellarisch diejenigen Staaten und internationalen Organe aufgeführt, welche über ein angemessenes Datenschutzniveau verfügen. Die Liste wird periodisch neu beurteilt.[13] Die Angemessenheitsliste ist zurzeit noch nicht definitiv, da die Angemessenheitsbeschlüsse der Europäischen Kommission und die Entwicklungen bei den Ratifikationen des revidierten Übereinkommens SEV 108 abgewartet werden.[14]

 

Ausblick

Die Vernehmlassung zum Entwurf der Verordnung zum DSG dauert bis am 14. Oktober 2021. Die VDSG soll gleichzeitig mit dem neuen DSG in der zweiten Jahreshälfte 2022 in Kraft treten. Der Bundesrat wird zu gegebener Zeit das genaue Datum festlegen. Was bis zum Zeitpunkt des Inkrafttretens zum neuen Datenschutzgesetz zu tun ist, sehen Sie in meinem Blogbeitrag vom 1. Mai 2021. Gleichzeitig mit Inkrafttreten des neuen DSG wird die Schweiz auch die modernisierte Datenschutzkonvention 108 des Europarates ratifizieren.[14]

[1] Die Mitteilung des Bundesrates hier.
[2] Art. 2 E-VDSG.
[3] Art. 3 E-VDSG.
[4] Art. 19 nDSG.
[5] Art. 13 E-VDSG.
[6] Art. 6 E-VDSG.
[7] Art. 20 Abs. 1 E-DSG.
[8] Art. 20 Abs. 2 E-VDSG.
[9] Art. 24 E-VDSG.
[10] Art. 24 Abs. 1 nDSG.
[11] Art. 19 E-VDSG.
[12] Art. 8 E-VDSG.
[13] Art. 8 Abs. 3 E-VDSG.
[14] Erläuternder Bericht zur Eröffnung des Vernehmlassungsverfahrens des E-VDSG, S. 49.

Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.