Fachbeitrag

Die Revision des Datenschutzgesetzes – was ist neu?

Uhr
von Bernd Leinfelder, ICT-Architekt bei der Stadt Zürich und Leiter des Fachbereichs Enterprise Computing an der Fernfachhochschule Schweiz

Die eidgenössischen Räte haben in der zu Ende gegangenen Frühjahrssession ein weiteres Mal über die Vorlage zur Totalrevision des Schweizer Datenschutzgesetzes (DSG) beraten. Wie ist der Stand der Beratungen und was kommt auf Schweizer Bürger und Firmen zu, wenn die Revision angenommen wird?

(Source: FFHS)
(Source: FFHS)

Das Bundesgesetz über den Datenschutz (DSG) stammt in der aktuellen Version aus dem Jahr 1993. Insbesondere die Verabschiedung der europäischen Datenschutzgrundverordnung (EU-DSGVO) in 2018 bringt die Schweiz in Zugzwang, da die Gleichwertigkeit des aktuellen Schweizer Gesetzes mit der entsprechenden EU-Regulierung nicht gegeben ist und für Schweizer Firmen, die im europäischen Ausland tätig sind, die Nicht-Anerkennung zu einem grossen Problem werden kann.

Die Ziele der Revision liegen dabei in der Anpassung an die technologischen Entwicklungen, in der Sicherstellung eines mindestens gleich hohen Schutzniveaus, wie es das aktuelle DSG bietet, und in der Kompatibilität mit den EU-Vorgaben. Ein "Swiss Finish" ist explizit nicht geplant.

Debatte ums Profiling

Der aktuelle Stein des Anstosses sind die vorgesehenen Regeln zum Profiling. Der Bundesrat versteht darunter "die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten". Diskutiert wird hier mit grosser Verve über die Frage, ob Profiling eine explizite Einwilligung der Betroffenen erfordert oder ob diese Einwilligung nur bei der Verarbeitung bestimmter Daten notwendig ist. Das Thema wurde auf die nächsten Session vertagt und die Linke droht bereits mit einer Ablehnung des gesamten Pakets. Der SVP geht das gesamte Vorhaben gegen den Strich, sie kritisiert die hohe Bürokratie und hat grundsätzliche Vorbehalte, "jeden Unsinn aus der EU unbesehen und unkritisch zu übernehmen".

Sollte die Revision in einer der nächsten Sessionen angenommen werden und ein allfälliges Referendum überstehen, so kommen auf Schweizer Bürger und Unternehmen die folgenden Änderungen zu: Der Eidgenössische Datenschutzbeauftragte (EDÖB) soll neue und umfassendere Befugnisse erhalten. Bei Verstössen gegen das neue Datenschutzgesetz sollen Führungskräfte von fehlbaren Unternehmen mit einer Strafe von bis zu 250'000 Fr belangt werden können. Weiter müssen neu alle Unternehmen mit mehr als 250 Mitarbeitenden ein Verzeichnis der Datenbearbeitung anlegen, das unter anderem die Verantwortlichen sowie den Bearbeitungszweck auflistet. Ausländische Verantwortliche müssen nun in vielen Fällen einen Vertreter in der Schweiz benennen, der als Anlaufstelle für Schweizer Bürger sowie für die offiziellen Stellen amtet. Die Verantwortlichen für die Datenverarbeitung stehen auch in der Pflicht, für die Bearbeitung von Daten mit hohem Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person eine Folgenabschätzung vorzunehmen. Verletzungen der Datensicherheit müssen so rasch wie möglich an den Beauftragten gemeldet werden. Personen haben neu ein Recht auf Datenherausgabe und -übertragung, sowie ein Recht auf Auskunft über die verarbeiteten Daten. Damit soll auch die Datenportabilität, das Recht, die personenbezogenen Daten in einem strukturierten Format zu erhalten, gefördert werden.

Im Vergleich zur EU-DSGVO fällt auf, dass in einzelnen Punkten weniger rigide reguliert wurde. Hier kommt klar der Wunsch vieler Räte zum Ausdruck, die Interessen der Bürger und der Unternehmen auszugleichen.

Der Autor

Bernd Leinfelder ist ICT-Architekt bei der Stadt Zürich und leitet den Fachbereich Enterprise Computing an der Fernfachhochschule Schweiz (FFHS), wo er zu Robustheit und Wartbarkeit verteilter Software doziert. Er hält diverse Zertifizierungen in den Bereichen Cloud Computing, IT-Security und IT-Audit.

Webcode
DPF8_178515