Am 25. September 2020 wurde eine umfassende Revision des Datenschutzgesetzes von National- und Ständerat beschlossen. Man hat das Datenschutzrecht den neuen Entwicklungen und dem EU-Recht angepasst, wo seit Mai 2018 die Datenschutz-Grundverordnung (EU 2016/679) gilt. Der Bundesrat bestimmt das Inkrafttreten, der Zeitpunkt ist noch ungewiss, möglicherweise schon 2021.
Grundlegende Regeln
Die Totalrevision des DSG soll der Schweiz ermöglichen, das revidierte Datenschutzübereinkommen SEV 108 des Europarats zu ratifizieren sowie die Richtlinie (EU) 680/2016 über den Datenschutz im Bereich der Strafverfolgung zu übernehmen, wozu sie aufgrund des Schengen-Abkommens verpflichtet ist. Die Ratifizierung des revidierten Übereinkommens SEV 108 ist wichtig dafür, dass die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung möglich bleibt.
Wie nach altem Recht gelten grundlegende Regeln (DSG Art. 6):
- Personendaten müssen rechtmässig, verhältnismässig und nach Treu und Glauben bearbeitet werden.
- Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden. Die Daten werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.
- Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern und alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind.
- Die Verantwortlichen sind verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden. Die Massnahmen müssen dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko entsprechen.
Pflichten der Verantwortlichen
Als Verantwortliche gelten private Personen oder Bundesorgane, die allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheiden (DSG Art. 5). Die Verantwortlichen können einen Datenschutzberater ernennen (DSG Art. 10). Dieser ist Anlaufstelle für die betroffenen Personen und für die Behörden, die in der Schweiz für den Datenschutz zuständig sind. Er organisiert die Schulung und Beratung der Verantwortlichen in Fragen des Datenschutzes und unterstützt die Verantwortlichen bei der Anwendung der Datenschutzvorschriften.
Die Verantwortlichen und Auftragsbearbeiter führen ein Verzeichnis ihrer Bearbeitungstätigkeiten (DSG Art. 12). Dieses enthält unter anderem Angaben über die Identität des Verantwortlichen, den Bearbeitungszweck und Kategorien betroffener Personen und Empfänger der Daten. Der Bundesrat sieht Ausnahmen für Unternehmen vor, die weniger als 250 Angestellte beschäftigen und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.
Bei einer Bearbeitung durch Auftragsbearbeiter muss der Verantwortliche darauf achten, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten (DSG Art. 9). Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.
Berufs-, Branchen- und Wirtschaftsverbände, die nach ihren Statuten zur Wahrung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind, sowie Bundesorgane können dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einen Verhaltenskodex vorlegen (DSB Art. 11). Einen Verhaltenskodex in Bezug auf Datenschutz haben bisher verschiedene Unternehmen. Ziel des Verhaltenskodex ist es, für alle Mitarbeiter verbindliche Verhaltensstandards in Bezug auf Datenschutz festzulegen.
Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft, die vorsätzlich bestimmte Sorgfaltspflichten oder die berufliche Schweigepflicht verletzen (DSG Art. 61 und 62). Für die Verfolgung und die Beurteilung strafbarer Handlungen sind die Kantone zuständig (Art. 65 DSG).